Windows 7 - Rechte einschränken

seb-kon

Cadet 1st Year
Dabei seit
März 2011
Beiträge
14
Hallo,

ich würde gerne wissen ob ich bei Windows 7 die Rechte so einschränken kann, wie es bei Linux der Fall ist.
Also das ist ja so das Sicherheitskonzept meine ich, dass ich immer ein PW eingeben muss, bzw. nur bei System relevanten Anwendungen.

Viele Grüße
 
I

impressive

Gast
gibt es schon seit monden bei windows udn nennt sich eingeschränktes konto.

verfeinern kann man die rechte natürlich auch, dafür solltest du dich allerdings
etwas in die materie einlesen - google is your friend ;)
 
Q

quityper

Gast
http://www.macmark.de/windows_uac_security_placebo.php

"Die UAC wird oft fälschlicherweise als eine Sicherheitsfunktion wahrgenommen. Ich erkläre hier, basierend auf original Microsoft-Informationen, daß sie ähnlich einem Plazebo nur die gefühlte Sicherheit erhöht."

0.9.8 Auswege


"Eingeschränkter Benutzer" und "Benutzer wechseln" (admin):

"Reale Sicherheit bietet ein Verzicht auf UAC. Stattdessen sollte man den schnellen Benutzerwechsel nutzen, da damit kritische von unkritischen Prozessen besser getrennt sind, weil sie unter verschiedenen Benutzern laufen. Nach der Erledigung der kritischen Aufgabe muß dann zurück gewechselt werden. Microsoft hat UAC eingeführt, weil sie glauben, der Benutzer würde nicht zurückwechseln.

Bei OS X laufen keine Prozesse unterschiedlicher Wichtigkeit unter demselben Benutzer. Wenn ein Prozeß mit Systemrechten nötig wird, dann wird er unter einem anderen Benutzer (root) gestartet als der gerade arbeitende Benutzer. Ein Einloggen (oder schneller Benutzerwechsel) auf root ist jedoch nicht notwendig und würde auch zuviele zusätzliche Risiken bergen. Daher ist ein Anmelden als root unter OS X auch deaktiviert. "
 

Grantig

Captain
Dabei seit
Okt. 2008
Beiträge
3.552
Zitat von quityper:
"Die UAC wird oft fälschlicherweise als eine Sicherheitsfunktion wahrgenommen. Ich erkläre hier, basierend auf original Microsoft-Informationen, daß sie ähnlich einem Plazebo nur die gefühlte Sicherheit erhöht."
Die UAC auf höchster Stufe ist sehr wohl ein Sicherheitsfeature und kein Placebo.
Dass die UAC unter Win 7 in der Standardeinstellung fürn Arsch ist sollte doch mittlerweile allseits bekannt sein.

@seb-kon
Schau dir doch mal den Thread hier an: [How to] Windows Rechner sicher einrichten und wichtige Verhaltensregeln
 
Q

quityper

Gast
Grantig, hier geht es gar nicht um die verschiedenen Stufen der UAC. Hier geht es um Rechte einschränken wie bei Linux, so der TE.
D.h. Passworteingabe beim durchführen von System relevanten Aktionen und das erreicht man durch ein eingeschränktes Konto.
Über Benutzer wechseln (zum admin-Konto) kann man dann entsprechende Systemrechte erlangen.
Darum gehts, nicht um das "[How to] Windows Rechner sicher einrichten...".

Du kennst doch Mark Russinovich, Microsoft Technet:

"...Es sollte nun klar sein, daß weder die UAC-Rechteerhöhungen, noch der abgesicherte Modus des IE neue Windows-Sicherheitsschranken definieren. Microsoft hat dies zwar so kommuniziert, aber ich will sicherstellen, daß dies deutlich wird..."

Reale Sicherheit bietet nur ein eingeschränktes Konto.

Nachtrag:
Noch eine kleine Anmerkung. Man kann zwar eine UAC-Passworteingabe auch unter einem Admin-Konto erzwingen, also nicht nur Ja/Nein, jedoch bringt das weitere Gefahren mit sich.

Es beleibt letztlich. Ein Konto sollte Prozesse nie in verschiedenen Security-Level ausführen dürfen,
also nicht abwechselnd mit user/admin Berechtigung:

"Mark Russinovich, Microsoft Technet:

Es ist wichtig zu wissen, daß UAC-Rechteerhöhungen Annehmlichkeiten (Komfort) sind und keine Sicherheits-Schranken. Eine Sicherheits-Schranke würde nämlich erfordern, daß irgendeine Sicherheits-Richtlinie vorschreibt, was diese Schranke passieren darf. … Weil die Erhöhungen keine Sicherheits-Schranken sind, könnte es vorkommen, daß Schadprogramme, die auf dem System mit Standard-Benutzer-Rechten laufen, einen erhöhten Prozeß kompromittieren, um administrative (Sytem-) Rechte zu erlangen. … Erhöhungs-Dialoge nennen lediglich das Programm, das erhöht werden soll; … Das Programm wird jedoch Kommandozeilen-Argumente verarbeiten, dynamische Bibliotheken laden, Dateien öffnen und mit anderen Prozessen kommunizieren. Jede dieser Operationen kann Schadprogrammen ermöglichen, den erhöhten Prozeß zu kompromittieren und dadurch administrative (System-) Rechte zu bekommen. "
 
Zuletzt bearbeitet:

seb-kon

Cadet 1st Year
Ersteller dieses Themas
Dabei seit
März 2011
Beiträge
14
Hallo,

vielen Dank für eure Antworten!

Das mit dem Eingeschränktem Konto ist schon ziemlich genau das was ich gesucht habe.


Viele Grüße
Ergänzung ()

Mh, kann ich die Rechte weiter einschränken? Ich finde da leider nirgends eien Option für?!
 
Q

quityper

Gast
Du musst erst mal einen Benutzer in der Computerverwaltung (compmgmt.msc) -> lokale Benutzer und Gruppen anlegen:
http://windows.microsoft.com/de-DE/windows7/Create-a-user-account

Diesen Benutzer in die Gruppe Gäste hinzufügen (Register Mitglied von) und alle anderen Gruppen löschen.
Gäste dürfen fast nichts. Logge dich mit diesem neuen Benutzer ein und schaue was der darf und ob es dir reicht.

Es gibt auch andere vordefinierte Gruppen mit Beschreibung.
 

Grantig

Captain
Dabei seit
Okt. 2008
Beiträge
3.552
Eines vorweg: Ich weiß, in diesem Thread geht es eigentlich nicht um die Windows UAC, deswegen wird dieser Post wohl etwas Offtopic sein. Ich will nur nochmal klarstellen, warum die UAC in meinen Augen zur Sicherheit beiträgt.


Mir ist klar, dass 2 getrennte Benutzerkonten (Adminkonto + Konto mit eingeschränkten Rechten) sicherer sind als ein Adminkonto mit aktivierter UAC.
Die UAC ist eben ein Kompromiss aus Sicherheit und Benutzerfreundlichkeit.
Ich habe unter Win XP immer 2 Konten benutzt, was durch den häufigen Benutzerwechsel sehr nervig war und worunter die Usability stark gelitten hat. Seit Win 7 benutze ich ein Admin Konto mit UAC auf höchster Stufe und bin seitdem viel zufriedener mit dem OS.

Gerade User mit weniger Computererfahrung benutzen i.d.R. ein Adminkonto. Für diese Leute ist die UAC ein sinnvolles Feature, dass die Sicherheit erhöht.
In der höchsten UAC Stufe können Prozesse nicht so einfach kompromittiert werden, sofern der Benutzer nicht bei jeder UAC Abfrage blind auf "ja" klickt, sondern nachdenkt, ob der anfordernde Prozess wirklich erhöhte Rechte benötigt. (btw. 0.9.6 Beispiel für Ausnutzung der stillen Rechte-Erhöhung unter Windows 7 --> auf höchster UAC Stufe funktioniert das nicht ohne Bestätigung durch den User)
Sicherheitslücken in Prozessen gibts natürlich immer, aber davor können auch 2 getrennte Konten nicht zuverlässig schützen.


Worauf ich hinaus will:
Meiner Meinung nach braucht es unter Win7 keine getrennten Benutzerkonten mehr, sofern man die UAC auf höchster Stufe benutzt. Die UAC bietet einen guten Kompromiss aus Sicherheit und Benutzerfreundlichkeit. Ob man diesen Kompromiss eingeht bleibt jedem selbst überlassen.

Wenn man dem "[How to] Windows Rechner sicher einrichten und wichtige Verhaltensregeln" folgt, hat man imo ausreichende Sicherheit für einen Heim PC, deswegen habe ich darauf verwiesen.
 
Zuletzt bearbeitet:
Top