c't empfiehlt nochmal: Immer als Administrator arbeiten

[Christoph Schneegans]

Hallo allerseits!

Ich war nicht der einzige c't-Leser, der sich über die Empfehlung in
c't 20/2011 wunderte, wonach "das Anlegen eines zweiten Nutzerkontos
mit eingeschränkten Rechten" zur Erhöhnung der Sicherheit "nicht
mehr lohnt". Ein entsprechender Leserbrief ist in c't 21/2011 auf
S. 10 abgedruckt.

Mit der Antwort auf diesen Leserbrief beweist die c't, daß sie das
wirklich so gemeint hat:

"Tatsächlich ist die alte Empfehlung überholt. Es mag noch
Schädlinge geben, bei denen ein Nutzerkonto mit eingeschränkten
Rechten mehr Schutz bietet. Die modernen Schädlinge sind jedoch
in der Lage, auch mit eingeschränkten Rechten den Nutzer
auszuspionieren und sich in Online-Banking einzuklinken."

Selbstverständlich gibt es Schadsoftware, die ohne
Administratorrechte ausgeführt werden kann. Die c't folgert daraus
aber, daß die Verwendung eines eingeschränkten Kontos bei solcher
Schadsoftware kein Mehr an Schutz bietet, man also genausogut als
Administrator arbeiten kann.

Und das ist einfach nur Schwachsinn.

--
“Mittlerweile bekommen auch die letzten XP-Fans zu spüren, daß an
Windows 7 auf Dauer kein Weg vorbeiführt.”

— c't-Propaganda, http://www.heise.de/ct/inhalt/2011/11/162/

[Richard W. Könning]

"Christoph Schneegans" <Chri...@Schneegans.de> wrote:

>Ich war nicht der einzige c't-Leser, der sich über die Empfehlung in
>c't 20/2011 wunderte, wonach "das Anlegen eines zweiten Nutzerkontos
>mit eingeschränkten Rechten" zur Erhöhnung der Sicherheit "nicht
>mehr lohnt". Ein entsprechender Leserbrief ist in c't 21/2011 auf
>S. 10 abgedruckt.
>
>Mit der Antwort auf diesen Leserbrief beweist die c't, daß sie das
>wirklich so gemeint hat:
>
> "Tatsächlich ist die alte Empfehlung überholt. Es mag noch
> Schädlinge geben, bei denen ein Nutzerkonto mit eingeschränkten
> Rechten mehr Schutz bietet. Die modernen Schädlinge sind jedoch
> in der Lage, auch mit eingeschränkten Rechten den Nutzer
> auszuspionieren und sich in Online-Banking einzuklinken."
>
>Selbstverständlich gibt es Schadsoftware, die ohne
>Administratorrechte ausgeführt werden kann. Die c't folgert daraus
>aber, daß die Verwendung eines eingeschränkten Kontos bei solcher
>Schadsoftware kein Mehr an Schutz bietet, man also genausogut als
>Administrator arbeiten kann.

Du hast immer noch Probleme mit der deutschen Sprache. In der Antwort
auf den Leserbrief räumt die c't ein, daß einzelne Schadsoftware ohne
Administratorrechte u.U. etwas eingeschränkt sein kann, sie warnt aber
(imho sehr zu Recht) davor, sich vom Arbeiten mit einem
eingeschränkten Konto einen großen Sicherheitsgewinn zu versprechen.
In jedem Fall ist es keine Empfehlung, immer als Administrator zu
arbeiten, diese Empfehlung ist nur ein Hirngespinst Deinerseits.

Man kann allenfalls der c't vorwerfen, daß sie nicht das Arbeiten mit
zwei eingeschränkten, gegeneinander abgeschotteten Konten empfiehlt,
eins fürs Alltägliche und eins fürs Online-Banking.
Ciao,
Richard
--
Dr. Richard Könning Heßstraße 63
Tel.: 089/5232488 80798 München

[Wolfgang Bauer]

Christoph Schneegans schrieb:

> Hallo allerseits!
> Ich war nicht der einzige c't-Leser, der sich über die Empfehlung in
> c't 20/2011 wunderte, wonach "das Anlegen eines zweiten Nutzerkontos
> mit eingeschränkten Rechten" zur Erhöhnung der Sicherheit "nicht
> mehr lohnt".

Ich lese weder die c't noch habe ich den ersten von Dir begonnenen
Thread ganz gelesen.

Bezog sich die Empfehlung auf Windows 7 oder auch auf frühere
Betriebssysteme? Bei Win Vista und Win7 lohnt es deswegen nicht weil der
User auch mit dem /Adminitratorkonto/ nur eingeschränkte Rechte hat.

Wolfgang
--
Das 40tude Dialog Skript - Archiv! http://kh-rademacher.de/4d/
Die 40tude-Dialog FAQ http://www.wolfgang-bauer.at/4td_faq/
http://www.wolfgang-bauer.at

[Michael Landenberger]

"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:

> Selbstverständlich gibt es Schadsoftware, die ohne
> Administratorrechte ausgeführt werden kann. Die c't folgert
> daraus aber, daß die Verwendung eines eingeschränkten Kontos
> bei solcher Schadsoftware kein Mehr an Schutz bietet, man also
> genausogut als Administrator arbeiten kann.
>
> Und das ist einfach nur Schwachsinn.

Komisch. Manche Leute lehnen Virenscanner mit der Begründung als unbrauchbar
ab, dass sie nicht alle Viren erkennen und somit keinen 100%igen Schutz
bieten können ("Schlangenöl", "Scheinsicherheit"). Man könne daher getrost
auf sie verzichten. Das Arbeiten unter einem eingeschränkten Benutzerkonto
wird dagegen als unverzichtbar angesehen, obwohl auch das erwiesenermaßen
nicht 100%ig schützt (womöglich gibt es sogar mehr Schadsoftware, die auch
unter eingeschränkten Benutzerrechten funktioniert, als solche, die von
aktuellen Virenscannern nicht erkannt wird). Sehr eigenartig.

Gruß

Michael

[Helmut Hullen]

Hallo, Christoph,

Du meintest am 27.09.11:

> Ich war nicht der einzige c't-Leser, der sich über die Empfehlung in
> c't 20/2011 wunderte, wonach "das Anlegen eines zweiten Nutzerkontos
> mit eingeschränkten Rechten" zur Erhöhnung der Sicherheit "nicht
> mehr lohnt". Ein entsprechender Leserbrief ist in c't 21/2011 auf
> S. 10 abgedruckt.

[...]

> Selbstverständlich gibt es Schadsoftware, die ohne
> Administratorrechte ausgeführt werden kann. Die c't folgert daraus
> aber, daß die Verwendung eines eingeschränkten Kontos bei solcher
> Schadsoftware kein Mehr an Schutz bietet, man also genausogut als
> Administrator arbeiten kann

> Und das ist einfach nur Schwachsinn.

Die Bewertung "Schwachsinn" steht Dir frei - Du darfst auch glauben,
dass der Mond aus grünem Käse besteht.

Aber Deine Behauptung, die c't empfehle, "immer als Administrator (zu)
arbeiten", ist immer noch frei erfunden; Du diffamierst damit immer
noch.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Wolfgang,

Du meintest am 27.09.11:

>> Ich war nicht der einzige c't-Leser, der sich über die Empfehlung in
>> c't 20/2011 wunderte, wonach "das Anlegen eines zweiten Nutzerkontos
>> mit eingeschränkten Rechten" zur Erhöhnung der Sicherheit "nicht
>> mehr lohnt".

> Ich lese weder die c't noch habe ich den ersten von Dir begonnenen
> Thread ganz gelesen.

> Bezog sich die Empfehlung auf Windows 7 oder auch auf frühere
> Betriebssysteme?

Weder noch. Eine derartige "Empfehlung" existiert einzig in Christophs
lebhafter Phantasie.

Viele Gruesse!
Helmut

[Robert Jasiek]

Wolfgang Bauer wrote:
>Bei Win Vista und Win7 lohnt es deswegen nicht weil der
>User auch mit dem /Adminitratorkonto/ nur eingeschränkte Rechte hat.

Warum das nicht allgemein stimmt hatten wir kürzlich hier diskutiert.

[Wolfgang Bauer]

Robert Jasiek schrieb:

Wie geschrieben hatte ich diesen Thread nicht ganz gelesen.
Es stimm auf jeden Fall dann nicht mehr wenn der User an der UAC
Einstellung rumschraubt oder direkt Rechte verändert.

[Christoph Maercker]

Michael Landenberger wrote:
> Komisch. Manche Leute lehnen Virenscanner mit der Begründung als
> unbrauchbar ab, dass sie nicht alle Viren erkennen und somit keinen
> 100%igen Schutz bieten können ("Schlangenöl", "Scheinsicherheit"). Man
> könne daher getrost auf sie verzichten.

Auch Virenscanner können die Arbeit mit einem PC ziemlich arg behindern.
In den meisten Fällen beschränkt sich das aber auf einige wenige
Ausnahmen und lassen sich deshalb tolerieren. Im Gegensatz dazu führt
das Arbeiten mit Userkonten beinahe täglich zu Konflikten:

> Das Arbeiten unter einem
> eingeschränkten Benutzerkonto wird dagegen als unverzichtbar angesehen,
> obwohl auch das erwiesenermaßen nicht 100%ig schützt (womöglich gibt es
> sogar mehr Schadsoftware, die auch unter eingeschränkten Benutzerrechten
> funktioniert, als solche, die von aktuellen Virenscannern nicht erkannt
> wird).

Wohl wissend, dass ich es digitalen Schädlingen durch Anmeldung mit
Admin-Accounts leichter mache, benutze ich sie meist trotzdem. Einfach
weil die Berechtigungen von 0815-Usern seltenst ausreichen, jedenfalls
dann nicht, wenn man keinen fest angestellten Admin hat. ;-)
Für einen guten Kompromiss halte ich den Start einzelner Programme,
insbesondere Webbrowser u.ä. mit eingeschränktem Account.
--


CU Christoph Maercker.

[Christoph Schneegans]

Michael Landenberger schrieb:

> Das Arbeiten unter einem eingeschränkten Benutzerkonto wird
> dagegen als unverzichtbar angesehen, obwohl auch das

> erwiesenermaßen nicht 100%ig schützt (...).

Das Arbeiten mit eingeschränkten Rechten schützt per se _überhaupt_
_nicht_ vor der Ausführung von Schadsoftware. Es ist aber
unabdingbare Grundvoraussetzung für alle weiteren Maßnahmen,
insbesondere für den halbwegs sinnvollen Einsatz von Virenscannern.

--
<http://schneegans.de/web/kanonische-adressen/> · Gute URLs

[Christoph Maercker]

Christoph Schneegans wrote:
> Mit der Antwort auf diesen Leserbrief beweist die c't, daß sie das
> wirklich so gemeint hat:
> "Tatsächlich ist die alte Empfehlung überholt. Es mag noch
> Schädlinge geben, bei denen ein Nutzerkonto mit eingeschränkten
> Rechten mehr Schutz bietet. Die modernen Schädlinge sind jedoch
> in der Lage, auch mit eingeschränkten Rechten den Nutzer
> auszuspionieren und sich in Online-Banking einzuklinken."

Etwas nicht mehr zu empfehlen ist etwas anderes als das Gegenteil zu
empfehlen.

> Selbstverständlich gibt es Schadsoftware, die ohne
> Administratorrechte ausgeführt werden kann. Die c't folgert daraus
> aber, daß die Verwendung eines eingeschränkten Kontos bei solcher
> Schadsoftware kein Mehr an Schutz bietet, man also genausogut als
> Administrator arbeiten kann.

Aus dem obigen Zitat lese ich das aber nicht raus. Darauf, dass digitale
Schädliche wesentlich schneller und einfacher zum Ziel kommen, wenn sie
Adminrechte haben, geht die c't in diesem Abschnitt gar nicht ein. Wobei
ich deren Antwort ziemlich dünn finde. Dass Banking-Daten auch mit
0815-Accounts ausgespäht werden können, z.B. mittels Keyloggern, ist ja
wohl ein uralter Hut.

--


CU Christoph Maercker.

[Jascha-Rolf]

Am 27.09.2011 10:28, schrieb Christoph Maercker:
> Michael Landenberger wrote:
>> Komisch. Manche Leute lehnen Virenscanner mit der Begründung als
>> unbrauchbar ab, dass sie nicht alle Viren erkennen und somit keinen
>> 100%igen Schutz bieten können ("Schlangenöl", "Scheinsicherheit"). Man
>> könne daher getrost auf sie verzichten.
>
> Auch Virenscanner können die Arbeit mit einem PC ziemlich arg
> behindern. In den meisten Fällen beschränkt sich das aber auf einige
> wenige Ausnahmen und lassen sich deshalb tolerieren. Im Gegensatz dazu
> führt das Arbeiten mit Userkonten beinahe täglich zu Konflikten:

Das ist aber auch eine sehr gewagte Aussage, es sei denn du beziehst
sie nur auf dich!
Ich arbeite sowohl in der Firma als auch an meinem privaten Rechner
ausschließlich als Hauptbenutzer und hab da außer bei
Installationsaufgaben keinen Grund das zu ändern. Nen mir mal ein paar
deiner "Konflikte".

Grundsätzlich ist der einzig 100%ig sichere PC, der ausgeschaltete!
Oder verzichte auf die Online-Verbindung (Kabel raus).
Selbst mit Benutzerrechten und Viren/Malewarescannern und aufmerksamem
Arbeitsverhalten kann mal was passieren. Das entbindet dich aber im
Umkehrschluss nicht deiner Sorgfaltspflicht!
Jeder der auf Sicherungsverfahren verzichtet handelt grob-fahrlässig.

Ich verstehe die Sorglosigkeit der Menschen einfach nicht! Manche
Leute gelten in ihrem Berufsleben als sehr gewissenhaft und sorgfältig
und wenn sie dann Abends an ihren PC gehen ist ihre Naivität kaum zu
überbieten!

--
Gruß

Jascha

[Christoph Schneegans]

"Jascha-Rolf" schrieb:

> Ich arbeite sowohl in der Firma als auch an meinem privaten
> Rechner ausschließlich als Hauptbenutzer und hab da außer bei
> Installationsaufgaben keinen Grund das zu ändern.

Hauptbenutzer sind praktisch Administratoren, keine eingeschränkten
Konten.

[Jascha-Rolf]

Am 27.09.2011 10:33, schrieb Christoph Schneegans:
> Michael Landenberger schrieb:
>
>> Das Arbeiten unter einem eingeschränkten Benutzerkonto wird
>> dagegen als unverzichtbar angesehen, obwohl auch das
>> erwiesenermaßen nicht 100%ig schützt (...).
>
> Das Arbeiten mit eingeschränkten Rechten schützt per se _überhaupt_
> _nicht_ vor der Ausführung von Schadsoftware. Es ist aber

Junge, das ist aber ne Aussage! Du solltest mal deine Sprüche etwas
zurückfahren. Genau das ist dein Problem, die aussage das NICHT 100%
geschützt = 100% Schutzlos ist, ist einfach nur Schwachsinn!


--
Gruß

Jascha

[Christoph Schneegans]

Richard W. Könning schrieb:

>> Selbstverständlich gibt es Schadsoftware, die ohne
>> Administratorrechte ausgeführt werden kann. Die c't folgert
>> daraus aber, daß die Verwendung eines eingeschränkten Kontos bei
>> solcher Schadsoftware kein Mehr an Schutz bietet, man also
>> genausogut als Administrator arbeiten kann.
>
> Du hast immer noch Probleme mit der deutschen Sprache.

Du hast immer noch nicht verstanden, worauf ich hinauswill.

> In der Antwort auf den Leserbrief räumt die c't ein, daß einzelne
> Schadsoftware ohne Administratorrechte u.U. etwas eingeschränkt
> sein kann, sie warnt aber (imho sehr zu Recht) davor, sich vom
> Arbeiten mit einem eingeschränkten Konto einen großen
> Sicherheitsgewinn zu versprechen.

*Genau* *das* kritisiere ich. Selbstverständlich bedeutet die
Verwendung eines eingeschränkten Kontos ein Mehr ein Sicherheit;
eine Schadsoftware, die mit Administratorrechten läuft, kann
ungleich mehr Schaden anrichten. Alle weiteren Maßnahmen sind
praktisch wirkungslos, wenn die Schadsoftware mit
Administratorrechten ausgeführt wird.

> In jedem Fall ist es keine Empfehlung, immer als Administrator zu
> arbeiten, diese Empfehlung ist nur ein Hirngespinst Deinerseits.

Die Aussage "Tatsächlich ist die alte Empfehlung überholt." kann man
nur so interpretieren.

--
<http://schneegans.de/usenet/mids/> · Postings verlinken

[Robert Jasiek]

Christoph Schneegans wrote:
>Das Arbeiten mit eingeschränkten Rechten schützt per se _überhaupt_
>_nicht_ vor der Ausführung von Schadsoftware.

Es schützt aber vor Wirkung von Malware auf Bereiche mit
eingeschränkten Rechten!

[Christoph Schneegans]

Robert Jasiek schrieb:

>> Das Arbeiten mit eingeschränkten Rechten schützt per se _überhaupt_
>> _nicht_ vor der Ausführung von Schadsoftware.
>
> Es schützt aber vor Wirkung von Malware auf Bereiche mit
> eingeschränkten Rechten!

Exakt. /Ich/ weiß das, die c't nicht.

--
<http://schneegans.de/web/xhtml/> · Klare Antworten zu XHTML

[Jascha-Rolf]

Am 27.09.2011 11:01, schrieb Christoph Schneegans:
> "Jascha-Rolf" schrieb:
>
>> Ich arbeite sowohl in der Firma als auch an meinem privaten
>> Rechner ausschließlich als Hauptbenutzer und hab da außer bei
>> Installationsaufgaben keinen Grund das zu ändern.
>
> Hauptbenutzer sind praktisch Administratoren, keine eingeschränkten
> Konten.
>

Wie kommst du darauf? Der Hauptbenutzer hat zwar viele Möglichkeit zum
Arbeiten, aber der Zugriff auf die Registry sowie die
Ausführungsdateien von Windows ist ihm verwehrt. Er kann keine
Programme installieren die dann vom System automatisch gestartet werden.
Wie ich schon sagte, Hinsetzen, Hirn ausschalten und einfach nur
bedudeln lassen ist nicht!
Aber ich arbeite und spiele in der Regel 10-12 Stunden täglich am PC
und kann mich nicht daran erinnern wann ich das letzte mal einen
relevanten Schadensfall durch Software auf meinen PC's hatte.

--
Gruß

Jascha
--
Es gibt nur zwei Dinge die Unendlich sind.
Das Universum und die menschliche Dummheit.
Beim Universum bin ich mir aber nicht ganz sicher!
[Albert Einstein]

Wo er Recht hat, hat er Recht!

[Robert Jasiek]

Jascha-Rolf wrote:
>Ich arbeite sowohl in der Firma als auch an meinem privaten Rechner
>ausschließlich als Hauptbenutzer und hab da außer bei
>Installationsaufgaben keinen Grund das zu ändern.

Gibt es auf den PCs zu schützende Daten? Werden sie vor Fremdzugriff
geschützt? Wie?

>Jeder der auf Sicherungsverfahren verzichtet handelt grob-fahrlässig.

Jeder, der auf JEGLICHE Sicherungsverfahren verzichtet - nicht jeder,
der NICHT ALLE existierenden Sicherungsverfahren einsetzt. Beispiel:
Wenn ich etwas whiteliste (auf meinem PC mit SRP, beim Import zB mit
Checksums), dann brauche ich es nicht auch noch blackzulisten (auf
meinem PC mit OnAccess-AV-Scans, beim Import mit partiellem
OnDemand-AV-Scan).

[Christoph Maercker]

Jascha-Rolf wrote:
> Ich arbeite sowohl in der Firma als auch an meinem privaten Rechner
> ausschließlich als Hauptbenutzer

Ich habe es vor längerer Zeit versucht und nach einigen Stunden entnervt
aufgegeben.

> und hab da außer bei Installationsaufgaben keinen Grund das zu ändern.
> Nen mir mal ein paar deiner "Konflikte".

Das fängt schon bei automatischen Updates diverser Software an,
dümmstenfalls des Webbrowsers. Lässt sich zwar abschalten, ist aber
bekanntlich für die Sicherheit auch nicht gut, eher schon für die
Systemstabilität.
Oder z.B. Platte voll, wegen zig GBytes Tempfiles in User-Profilen.
Kommt nur ein Admin ran. Kleinere (De-)Installationen von Tools kommen
ebenfalls öfter vor.

> Grundsätzlich ist der einzig 100%ig sichere PC, der ausgeschaltete!

Richtig, deshalb lasse ich ihn auch nicht über Nacht an, ganz abgesehen
von den Stromkosten. ;-)

> Oder verzichte auf die Online-Verbindung (Kabel raus).

Solange ich kein Netzwerk brauche, ist der Router/Verteiler ausgeschaltet.

> Selbst mit Benutzerrechten und Viren/Malewarescannern und aufmerksamem
> Arbeitsverhalten kann mal was passieren. Das entbindet dich aber im
> Umkehrschluss nicht deiner Sorgfaltspflicht!

Deswegen läuft auf dem PC die Firewall und der Router wurde so dicht
gemacht wie nach aktuellem Kenntnisstand möglich:
- MAC-Adressfilter für LAN & WLAN
- Passwort für WebGUI
- keine Antwort auf Pings aus dem Internet, keine offenen Ports dorthin

> Jeder der auf Sicherungsverfahren verzichtet handelt grob-fahrlässig.

Ich verzichte nicht auf Sicherungsverfahren, sondern auf überflüssige
Programme und Dienste, z.B. Messenger, Terminal-Svc, SSDP, mDNS, uPnP
und wie sie alle heißen, das bringt u.U. mehr.

> Ich verstehe die Sorglosigkeit der Menschen einfach nicht!

Ich schon: Gerade Windows biedert sich dem User so penetrant an, dass er
glaubt, nichts mehr am System machen zu müssen oder es einfach nicht kann.

> gelten in ihrem Berufsleben als sehr gewissenhaft und sorgfältig und
> wenn sie dann Abends an ihren PC gehen ist ihre Naivität kaum zu
> überbieten!

ACK, wenn ich mir viele Home-PCs ansehe, die haben, schwache
Admin-Passwörter (wenn überhaupt), (veraltete) Virenscanner und
womöglich zwei verschiedene Firewalls, die sich gegenseitig Beine
stellen. So etwa sieht deren Sicherheitskonzept aus. Dito die DSL-Router
mit Werkseinstellungen inklusive Default-Passwort.
--


CU Christoph Maercker.

[Stefan Kanthak]

"Wolfgang Bauer" <bau...@aon.at> schrieb:

> Christoph Schneegans schrieb:
>
>> Hallo allerseits!

>> Ich war nicht der einzige c't-Leser, der sich �ｿｽber die Empfehlung in

>> c't 20/2011 wunderte, wonach "das Anlegen eines zweiten Nutzerkontos

>> mit eingeschr�ｿｽnkten Rechten" zur Erh�ｿｽhnung der Sicherheit "nicht

>> mehr lohnt".
>
> Ich lese weder die c't noch habe ich den ersten von Dir begonnenen
> Thread ganz gelesen.
>

> Bezog sich die Empfehlung auf Windows 7 oder auch auf fr�ｿｽhere

> Betriebssysteme? Bei Win Vista und Win7 lohnt es deswegen nicht weil der

> User auch mit dem /Adminitratorkonto/ nur eingeschr�ｿｽnkte Rechte hat.

Bloedsinn!
Die bei der Inbetriebnahme eingerichteten Konten sind Administratoren,
nur wird das dem Benutzer GAR NICHT vermittelt.

Der gemeine DAU kapiert doch gar nicht, was das UAC genannte Sicherheits-
kasperltheater anrichtet und wird deren Fragen brav beantworten, weil
"es funzt sonst ned"!

Die Schlussfolgerung der c't zeigt nur, dass dort Vollidioten am Werk
sind: (nur) in einem "eingeschraenkten" Benutzerkonto sind Schaedlinge
durch Bordmittel wie SAFER abwehrbar.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �ｿｽ823
Abs. 1 sowie �ｿｽ1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

[Stefan Kanthak]

"Christoph Maercker" <Eva.Ry...@gmx.net> schrieb:

Immer noch gespalten?

> Michael Landenberger wrote:
>> Komisch. Manche Leute lehnen Virenscanner mit der Begründung als
>> unbrauchbar ab, dass sie nicht alle Viren erkennen und somit keinen
>> 100%igen Schutz bieten können ("Schlangenöl", "Scheinsicherheit"). Man
>> könne daher getrost auf sie verzichten.
>
> Auch Virenscanner können die Arbeit mit einem PC ziemlich arg behindern.
> In den meisten Fällen beschränkt sich das aber auf einige wenige
> Ausnahmen und lassen sich deshalb tolerieren. Im Gegensatz dazu führt
> das Arbeiten mit Userkonten beinahe täglich zu Konflikten:

Bloedsinn!
"Arbeiten" mit den installierten Anwendungen ist seit JAHREN problemlos
unter eingeschraenkten Benutzerkonten moeglich.

[...]

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.

[Stefan Kanthak]

"Christoph Maercker" <Eva.Ry...@gmx.net> schrieb:

> Jascha-Rolf wrote:
>> Ich arbeite sowohl in der Firma als auch an meinem privaten Rechner
>> ausschließlich als Hauptbenutzer
>
> Ich habe es vor längerer Zeit versucht und nach einigen Stunden entnervt
> aufgegeben.

Ganz offensichtlich gilt fuer Dich "Versuch macht klug" NICHT!

>> und hab da außer bei Installationsaufgaben keinen Grund das zu ändern.
>> Nen mir mal ein paar deiner "Konflikte".
>
> Das fängt schon bei automatischen Updates diverser Software an,
> dümmstenfalls des Webbrowsers.

Der mit Windows gelieferte Webbrowser wird (wie das gesamte System)
automatisch aktualisiert, OHNE Administratorrechte des (nicht)
angemeldeten Benutzers zu benoetigen.

Du machst was grundsaetzlioch falsch!

> Lässt sich zwar abschalten, ist aber bekanntlich für die Sicherheit
> auch nicht gut, eher schon für die Systemstabilität.

GIGO!

> Oder z.B. Platte voll, wegen zig GBytes Tempfiles in User-Profilen.

Wirf die kaputte Software weg, die solchen Bloedsinn anrichtet.

> Kommt nur ein Admin ran.

Bloedsinn. %TEMP% gehoert dem Benutzer, der kann dort nach Herzenslust
loeschen.

> Kleinere (De-)Installationen von Tools kommen ebenfalls öfter vor.

Rechtsklick->Ausfuehren als... existiert seit ueber 10 Jahren!

[Helmut Hullen]

Hallo, Christoph,

Du meintest am 27.09.11:

>>> Das Arbeiten mit eingeschränkten Rechten schützt per se _überhaupt_
>>> _nicht_ vor der Ausführung von Schadsoftware.
>>
>> Es schützt aber vor Wirkung von Malware auf Bereiche mit
>> eingeschränkten Rechten!

> Exakt. /Ich/ weiß das, die c't nicht.

Doch - auch die c't wird das wissen. Die c't weiss allerdings (anders
als Du), dass damit bestenfalls ein kleiner Teil des Systems geschützt
wird.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Christoph,

Du meintest am 27.09.11:

>> Du hast immer noch Probleme mit der deutschen Sprache.

> Du hast immer noch nicht verstanden, worauf ich hinauswill.

Doch: Du willst grundlos verleumden.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Christoph,

Du meintest am 27.09.11:

> Das Arbeiten mit eingeschränkten Rechten schützt per se _überhaupt_
> _nicht_ vor der Ausführung von Schadsoftware. Es ist aber
> unabdingbare Grundvoraussetzung für alle weiteren Maßnahmen,
> insbesondere für den halbwegs sinnvollen Einsatz von Virenscannern.

Echt?
Du irrst mal wieder.
"sinnvoller Einsatz von Virenscannern" geht über eine Live-CD o.ä. - und
da sind die Rechte eher schietegal, nicht aber "unabdingbare
Grundvoraussetzung".

Du gehst von falschen Voraussetzungen aus und verleumdest die c't-
Autoren. Beides solltest Du ändern.

Viele Gruesse!
Helmut

[Christoph Schneegans]

Christoph Maercker schrieb:

> Wohl wissend, dass ich es digitalen Schädlingen durch Anmeldung
> mit Admin-Accounts leichter mache, benutze ich sie meist trotzdem.

Dann hat die c't ja schon ihr erstes Opfer gefunden.

> Für einen guten Kompromiss halte ich den Start einzelner
> Programme, insbesondere Webbrowser u.ä. mit eingeschränktem
> Account.

Wenn du das schaffst, kannst du genausogut einzelne Programme (bspw.
control.exe, mmc.exe) mit Administratorrechten starten. Das wäre
erheblich sicherer.

[Christoph Schneegans]

"Jascha-Rolf" schrieb:

> Der Hauptbenutzer hat zwar viele Möglichkeit zum Arbeiten, aber
> der Zugriff auf die Registry sowie die Ausführungsdateien von
> Windows ist ihm verwehrt.

Die Gruppe "Power Users" darf etwa in %ProgramFiles% schreiben.

Noch Fragen?

--
<http://schneegans.de/usenet/gold-posting/> · Wie man falsch postet

[Helmut Hullen]

Hallo, Stefan,

Du meintest am 27.09.11:

> Die Schlussfolgerung der c't zeigt nur, dass dort Vollidioten am Werk
> sind: (nur) in einem "eingeschraenkten" Benutzerkonto sind
> Schaedlinge durch Bordmittel wie SAFER abwehrbar.

Schlicht falsch. Inzwischen gibt es etliche Schad-Software, die diese
Rechteverwaltung elegant ignoriert.

Viele Gruesse!
Helmut

[Robert Jasiek]

Helmut Hullen wrote:
>"sinnvoller Einsatz von Virenscannern" geht über eine Live-CD

Warum sollte ein Einsatz von Virenscannern über eine Live-CD sinnvoll
sein?

1) Wie schon Stefan richtig anmerkte, kann man damit nur Signaturen
prüfen, nicht aber Laufzeitverhalten.

2) Um eine Signaturprüfung zu ermöglichen, muss man gleichzeitig
Sicherheitsschranken fallen lassen, die beim normal eingesetzten
Betriebssystem bestehen, und einem zweiten, dem Live-Betriebssystem
vertrauen. Je nach Herkunft, kann dieses zudem kompromittiert sein.
Man erhält also etwas (die Signaturprüfung), welche du für einen
Vorteil hälst, und nimmt dabei Anderes als Nachteile inkauf. Das ist
nicht sinnvoll, sondern erzeugt überflüssige, neue Risiken. Von
denjenigen der Virenscanner selbst auch beim reinen Signaturcheck ganz
zu schweigen.

[Robert Jasiek]

Helmut Hullen wrote:
>> in einem "eingeschraenkten" Benutzerkonto sind
>> Schaedlinge durch Bordmittel wie SAFER abwehrbar.
>
>Schlicht falsch. Inzwischen gibt es etliche Schad-Software, die diese
>Rechteverwaltung elegant ignoriert.

Gib bitte Beispiele und Quellen dafür an, wie solche Malware zur
Ausführung kommt, wie sie dann die Rechteverwaltung einschließlich
SAFER, User Access Rights und gleichzeitig Integrity Levels überwindet
und wie sie das zudem elegant tut, während Windows läuft!

[Michael Paul]

On 27 Sep., 13:22, "Christoph Schneegans" <Christ...@Schneegans.de>
wrote:
> "Jascha-Rolf" schrieb:
>
> > Der Hauptbenutzer hat zwar viele M glichkeit zum Arbeiten, aber
> > der Zugriff auf die Registry sowie die Ausf hrungsdateien von

> > Windows ist ihm verwehrt.
>
> Die Gruppe "Power Users" darf etwa in %ProgramFiles% schreiben.
>
> Noch Fragen?

Ja. Ist diese Benutzergruppe nicht abgeschafft? WIMRE ist sie bei XP
schon etwas versteckt worden, bei NT6 soll es sie gat nicht mehr
geben.

Michael

[Helmut Hullen]

Hallo, Robert,

Du meintest am 27.09.11:

>>> in einem "eingeschraenkten" Benutzerkonto sind
>>> Schaedlinge durch Bordmittel wie SAFER abwehrbar.

>> Schlicht falsch. Inzwischen gibt es etliche Schad-Software, die
>> diese Rechteverwaltung elegant ignoriert.

> Gib bitte Beispiele und Quellen daf�r an, wie solche Malware zur
> Ausf�hrung kommt,

Aber gern doch!

<http://www.heise.de/security/meldung/Malware-fuer-alle-Aldi-Bot-zum-Discount-Preis-1346456.html>
<http://www.heise.de/security/meldung/c-t-seziert-Banking-Trojaner-ZeuS-1340719.html>
<http://www.heise.de/security/meldung/Die-Rueckkehr-des-BIOS-Trojaners-1341262.html>
<http://www.heise.de/newsticker/meldung/Anonymisierungsdienst-nutzt-Botnet-als-Proxies-1339231.html>
<http://www.heise.de/security/meldung/Wurm-mit-eingebautem-DHCP-Server-1255310.html>
<http://www.heise.de/security/meldung/64-Bit-Rootkit-spioniert-Onlinebanking-aus-1247509.html>
<http://www.heise.de/security/meldung/Trojaner-mit-eingebautem-DHCP-Server-187744.html>
<https://www.heise.de/artikel-archiv/ct/2011/18/178_Tatort-Internet-Operation-am-offenen-Herzen>

Nur sicherheitshalber: das sind Beschreibungen einiger entdeckter
Mechanismen; es ist wahrscheinlich, dass es noch weitere Mechanismen
gibt, die bisher noch nicht entdeckt wurden.

> wie sie dann die Rechteverwaltung einschlie�lich

> SAFER, User Access Rights und gleichzeitig Integrity Levels

> �berwindet und wie sie das zudem elegant tut, w�hrend Windows l�uft!

Das "wie" solltest Du dir im Detail von den Virenspezialisten erkl�ren
lassen, soweit es nicht schon in den zitierten Meldungen erkl�rt ist.
Die kennen die Details besser als ich. Mir reichen die Ergebnisse.

Zudem: auch wenn ich nicht alle Deine Fragen zu Deiner Zufriedenheit
beantworten kann, dann folgt daraus nicht zwingend, dass das, was ich
beschrieben habe, nicht existiert; Virenprogrammierer sind durchaus
erfinderisch.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Robert,

Du meintest am 27.09.11:

>> "sinnvoller Einsatz von Virenscannern" geht �ber eine Live-CD

> Warum sollte ein Einsatz von Virenscannern �ber eine Live-CD sinnvoll
> sein?

Weil dann etliche Mechanismen, mit denen ein Virus sich vor der
Entdeckung sch�tzen will, ausgeschaltet sind.

> 1) Wie schon Stefan richtig anmerkte, kann man damit nur Signaturen

> pr�fen, nicht aber Laufzeitverhalten.

Laufzeitverhalten pr�fen geht nat�rlich nicht. Das kann aber ein Scanner
auch nicht bei laufendem System zuverl�ssig pr�fen, weil dann der Virus
die Entdeckung verhindern kann.

Aber ein Virenscanner kann mehr als nur Signaturen pr�fen. Das hat
Stefan nicht richtig angemerkt.

> 2) Um eine Signaturpr�fung zu erm�glichen, muss man gleichzeitig

> Sicherheitsschranken fallen lassen, die beim normal eingesetzten
> Betriebssystem bestehen, und einem zweiten, dem Live-Betriebssystem
> vertrauen. Je nach Herkunft, kann dieses zudem kompromittiert sein.

Klar - diese Ungewissheit gibt es immer. Deshalb benutzen Neurotiker
nicht 1 1zige Live-CD zum Scannen.

> Man erh�lt also etwas (die Signaturpr�fung), welche du f�r einen
> Vorteil h�lst,

Das hast Du frei erfunden. Ich habe was anderes geschrieben.

> und nimmt dabei Anderes als Nachteile inkauf.

Ja und? "TANSTAAFL"

> Das ist
> nicht sinnvoll, sondern erzeugt �berfl�ssige, neue Risiken.

Schlicht falsch. Die anderen Risiken sind nicht �berfl�ssig.

"TANSTAAFL"

> Von denjenigen der Virenscanner selbst auch beim reinen Signaturcheck
> ganz zu schweigen.

Auch durch Wiederholung wird nicht richtig, dass Virenscanner nicht mehr
k�nnen als "reinen Signaturcheck".

Sie sind unvollkommen, wie alles Gebilde von Menschenhand. Aber sie sind
eines von mehreren brauchbaren Pr�fverfahren.

Viele Gruesse!
Helmut

[Robert Jasiek]

Helmut Hullen wrote:
><http://www.heise.de/security/meldung/Malware-fuer-alle-Aldi-Bot-zum-Discount-Preis-1346456.html>
><http://www.heise.de/security/meldung/c-t-seziert-Banking-Trojaner-ZeuS-1340719.html>
><http://www.heise.de/security/meldung/Die-Rueckkehr-des-BIOS-Trojaners-1341262.html>
><http://www.heise.de/newsticker/meldung/Anonymisierungsdienst-nutzt-Botnet-als-Proxies-1339231.html>

Bei all diesen Links scheitert es schon an der ersten Hürde, bei
aktivem SAFER überhaupt zur Ausführung zu kommen!

><http://www.heise.de/security/meldung/Wurm-mit-eingebautem-DHCP-Server-1255310.html>

Nur im lokalen Netz oder über Wechseldatenträger. Wie soll es über
letztere gehen, wenn die (eine Selbstverständlichkeit für
SAFER-Nutzer) keinen Autostart haben?

><http://www.heise.de/security/meldung/64-Bit-Rootkit-spioniert-Onlinebanking-aus-1247509.html>

Bei deaktiviertem Java geht also gar nichts. Natürlich muss
defaultmäßig Java deaktiviert sein!

><http://www.heise.de/security/meldung/Trojaner-mit-eingebautem-DHCP-Server-187744.html>

Es braucht Schreibrechte im Windows-Verzeichnis. Die sind nicht
gegeben!

><https://www.heise.de/artikel-archiv/ct/2011/18/178_Tatort-Internet-Operation-am-offenen-Herzen>

Der Artikel ist nicht direkt lesbar.

***

Eine mangelhafte Quellenlieferung! Die entscheidende Frage, wie die
Dinger überhaupt zum Laufen kommen, wird nicht geklärt. So etwas geht
nur ohne SAFER & Co für die Malware leicht.

[Helmut Hullen]

Hallo, Robert,

Du meintest am 27.09.11:

>> <http://www.heise.de/security/meldung/Malware-fuer-alle-Aldi-Bot-zum
>> -Discount-Preis-1346456.html> <http://www.heise.de/security/meldung/
>> c-t-seziert-Banking-Trojaner-ZeuS-1340719.html>
>> <http://www.heise.de/security/meldung/Die-Rueckkehr-des-BIOS-Trojane
>> rs-1341262.html> <http://www.heise.de/newsticker/meldung/Anonymisier

>> ungsdienst-nutzt-Botnet-als-Proxies-1339231.html>

> Bei all diesen Links scheitert es schon an der ersten Hürde, bei
> aktivem SAFER überhaupt zur Ausführung zu kommen!

Schlicht falsch. Mindestens der BIOS-Trojaner unterläuft diese Hürde.

>> <http://www.heise.de/security/meldung/64-Bit-Rootkit-spioniert-Onlin

>> ebanking-aus-1247509.html>

> Bei deaktiviertem Java geht also gar nichts. Natürlich muss
> defaultmäßig Java deaktiviert sein!

Aha. Und wenn für eine bestimmte Anwendung Java trotzdem aktiviert ist?

Du biegst Dir das Umfeld recht elegant zurecht.

>> <https://www.heise.de/artikel-archiv/ct/2011/18/178_Tatort-Internet-

>> Operation-am-offenen-Herzen>

> Der Artikel ist nicht direkt lesbar.

Für mich schon. Sogar auf Papier.

> Eine mangelhafte Quellenlieferung!

Du - das tut mir echt Leid!
Folgt daraus, dass SAFER unüberwindlich ist?

Vermutlich nicht.

> Die entscheidende Frage, wie die
> Dinger überhaupt zum Laufen kommen, wird nicht geklärt.

Aha - das ist also "die entscheidende Frage". Gut zu wissen.

> So etwas geht
> nur ohne SAFER & Co für die Malware leicht.

Und mit SAFER geht das überhaupt nicht? Ist SAFER unüberwindlich?

Viele Gruesse!
Helmut

[Christoph Schneegans]

Michael Paul schrieb:

>> Die Gruppe "Power Users" darf etwa in %ProgramFiles% schreiben.
>>
>> Noch Fragen?
>
> Ja. Ist diese Benutzergruppe nicht abgeschafft? WIMRE ist sie bei
> XP schon etwas versteckt worden, bei NT6 soll es sie gat nicht
> mehr geben.

Jascha-Rolf benutzt offenbar XP, ich habe unter XP getestet, und
unter XP haben Hauptbenutzer (Mitglieder der Gruppe "Power
Users") zahlreiche Rechte, die ein eingeschränkter Benutzer
(Mitglieder der Gruppe "Users") nicht hat.

--
<http://schneegans.de/sv/> · Schema-Validator für XML

[Stefan Kanthak]

"Robert Jasiek" <jas...@snafu.de> schrieb:

Hast Du noch nicht bemerkt, dass Das Hullen VOLLSTAENDIG merkbefreit ist?

> Helmut Hullen wrote:
>>> in einem "eingeschraenkten" Benutzerkonto sind
>>> Schaedlinge durch Bordmittel wie SAFER abwehrbar.
>>
>>Schlicht falsch. Inzwischen gibt es etliche Schad-Software, die diese
>>Rechteverwaltung elegant ignoriert.

UDIAGS: die faellt ob dieser Ignoranz spaetestens beim Versuch, Dateien
in %SystemRoot%, %SystemDrive% sowie %ProgramFiles[[(x86)]% oder Registry-
Eintraege unter [HKEY_LOCAL_MACHINE] schreiben/aendern zu wollen auf die
Nase!

> Gib bitte Beispiele und Quellen dafür an, wie solche Malware zur
> Ausführung kommt, wie sie dann die Rechteverwaltung einschließlich
> SAFER, User Access Rights und gleichzeitig Integrity Levels überwindet
> und wie sie das zudem elegant tut, während Windows läuft!

Das ist aber ganz unfair, jetzt nach Fakten zu fragen!

Stefan
[
--

Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823

Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.

[Robert Jasiek]

Helmut Hullen wrote:
>Mindestens der BIOS-Trojaner unterläuft diese Hürde.

Was zu beweisen ist! Nochmal zu deinem Verständnis: Es geht NICHT
darum, was ein BIOS-Trojaner kann, sobald er installiert ist. Es geht
darum, wie sich ein BIOS-Trojaner installiert.

>Und wenn für eine bestimmte Anwendung Java trotzdem aktiviert ist?

Dann hat es Malware leichter.

>Folgt daraus, dass SAFER unüberwindlich ist?
>Vermutlich nicht.

Jedenfalls offenbar nicht mit den von dir verlinkten Malwareklassen.

>Aha - das ist also "die entscheidende Frage".

Und wo bleibt deine Antwort?

>Ist SAFER unüberwindlich?

Vermutlich nicht, denn es gibt immer mal wieder Windows-Bugs, durch
die auf SAFER durch die Hintertür angegriffen werden könnte. Dann
greifen Benutzerrechte und Integrity Levels, die nicht jeden Bug
ausnutzbar lassen. Bei HPM greift sogar noch mehr: seine
Aufknopfdruck-Wiederherstellung.

Allerdings habe ich noch von keinem solchen 0-day-exploit gehört, der
ohne SAFER funktioniert hätte, wenn nicht ein Softwarehersteller
selbst zum Backdoorbuilder mutierte. Wenn etwa ein Staat wie der Iran
Technologie aus dem Westen bezieht, muss er sich nicht wundern, wenn
da Backdoors drin sind.

[Christoph Schneegans]

Christoph Maercker schrieb:

> ACK, wenn ich mir viele Home-PCs ansehe, die haben, schwache
> Admin-Passwörter (wenn überhaupt),

Kennwortlose Konten sind unter Windows die sichersten Konten
überhaupt, denn sie erlauben nur eine lokale, interaktive Anmeldung,
d.h. man kann sich auf dem Startbildschirm damit anmelden.
Insbesondere können kennwortlose Administratorkonten durchaus
Bestandteil einer sicheren LUA-Konfiguration sein.

[Robert Jasiek]

Stefan Kanthak wrote:
>Hast Du noch nicht bemerkt, dass Das Hullen VOLLSTAENDIG merkbefreit ist?

Nein; dass er schwer bekehrbar ist und ein eigenwilliges Arbeitsumfeld
nutzt, heißt nicht "vollständig".

[Helmut Hullen]

Hallo, Robert,

Du meintest am 27.09.11:

>> Mindestens der BIOS-Trojaner unterläuft diese Hürde.

> Was zu beweisen ist! Nochmal zu deinem Verständnis: Es geht NICHT
> darum, was ein BIOS-Trojaner kann, sobald er installiert ist. Es geht
> darum, wie sich ein BIOS-Trojaner installiert.

Schützt SAFER den Rechner vor einem BIOS-Trojaner?

>> Und wenn für eine bestimmte Anwendung Java trotzdem aktiviert ist?

> Dann hat es Malware leichter.

Eben.

>> Folgt daraus, dass SAFER unüberwindlich ist?
>> Vermutlich nicht.

> Jedenfalls offenbar nicht mit den von dir verlinkten Malwareklassen.

Mag sein. Aber demnach räumst auch Du ein, dass SAFER keinen 100-
prozentigen Schutz liefert.

>> Aha - das ist also "die entscheidende Frage".

> Und wo bleibt deine Antwort?

Wenn Du so nach und nach immer neue Kriterien einwirfst: das ist kein
Diskussionsstil, dem ich folgen mag.

>> Ist SAFER unüberwindlich?

> Vermutlich nicht, denn es gibt immer mal wieder Windows-Bugs, durch
> die auf SAFER durch die Hintertür angegriffen werden könnte.

Na also - geht doch!

> Dann greifen Benutzerrechte und Integrity Levels, die nicht jeden Bug
> ausnutzbar lassen.

Aha - "nicht jeden". Es reicht, wenn einer durchkommt.

> Bei HPM greift sogar noch mehr: seine Aufknopfdruck-Wiederherstellung.

Ersetze eine Version mit Schlupfloch A durch eine Version mit
Schlupfloch B - das ist zwar ABM, aber kein Sicherheitskonzept.

> Allerdings habe ich noch von keinem solchen 0-day-exploit gehört, der
> ohne SAFER funktioniert hätte, wenn nicht ein Softwarehersteller
> selbst zum Backdoorbuilder mutierte.

Ja und? Was beweist das?
Virenhersteller sind gelegentlich etwas schweigsam.

Wenn ich nicht merke, dass mein Rechner verwurmt ist: das besagt gar
nichts.

> Wenn etwa ein Staat wie der Iran Technologie aus dem Westen bezieht,
> muss er sich nicht wundern, wenn da Backdoors drin sind.

Und dagegen hätte SAFER geschützt?

Viele Gruesse!
Helmut

[Thomas Einzel]

Helmut Hullen schrieb am 27.09.2011 07:51:
...
> Aber Deine Behauptung, die c't empfehle, "immer als Administrator (zu)
> arbeiten", ist immer noch frei erfunden; Du diffamierst damit immer
> noch.

Helmut, was liest du denn eigentlich aus dem c't Text und dem zitierten
Leserbrief heraus? XP, welcher Kontotyp wird da nun empfohlen? Bitte
kurz und eindeutig, kein Konjunktiv, kein ausweichen - es gibt im
privaten Umfeld mit XP nur 2 Kontotypen.

Thomas

[Helmut Hullen]

Hallo, Thomas,

Du meintest am 27.09.11:

>> Aber Deine Behauptung, die c't empfehle, "immer als Administrator
>> (zu) arbeiten", ist immer noch frei erfunden; Du diffamierst damit
>> immer noch.

> Helmut, was liest du denn eigentlich aus dem c't Text und dem
> zitierten Leserbrief heraus? XP, welcher Kontotyp wird da nun
> empfohlen?

Keiner.

Viele Gruesse!
Helmut

[Robert Jasiek]

Helmut Hullen wrote:
>Schützt SAFER den Rechner vor einem BIOS-Trojaner?

SAFER schützt davor, dass sich ein BIOS-Trojaner mittels einer
ausführbaren Datei überhaupt installieren kann. Wenn SAFER nicht aktiv
war und der BIOS-Trojaner schon installiert ist, dann (!!!) schützt
SAFER nicht vor ihm.

>Aber demnach räumst auch Du ein, dass SAFER keinen 100-
>prozentigen Schutz liefert.

[...]

>Na also - geht doch!

[...]

>Aha - "nicht jeden". Es reicht, wenn einer durchkommt.

Gähn.

>Wenn Du so nach und nach immer neue Kriterien einwirfst: das ist kein
>Diskussionsstil, dem ich folgen mag.

Ich habe am Anfang das Kriterium SAFER angeführt und anschließend nur
darauf bestanden, dass du es auch berücksichtigst. Dass ich dich an
dein Versäumnis, es nicht gleich berücksichtigt zu haben, erinnerte,
heißt nicht, dass ich neue Kriterien eingeworfen hätte.

>Ja und? Was beweist das?
>Virenhersteller sind gelegentlich etwas schweigsam.
>
>Wenn ich nicht merke, dass mein Rechner verwurmt ist: das besagt gar
>nichts.

Es geht nicht um einen bestimmten PC, sondern um die Gesamtheit aller
PCs, welche SAFER, Benutzerrechte, Integrity Levels und Brain 1.0
nutzen. Bisher hat es offenbar noch niemand bemerkt, dass so ein PC
den Wurm drin hätte.

>> Wenn etwa ein Staat wie der Iran Technologie aus dem Westen bezieht,
>> muss er sich nicht wundern, wenn da Backdoors drin sind.
>
>Und dagegen hätte SAFER geschützt?

Soweit ich mich an die Stuxnet-Debatte erinnere: ja.

[Uwe Premer]

Christoph Maercker schrieb am 27.09.2011 10:28 Uhr:
> [...] Im Gegensatz dazu führt

> das Arbeiten mit Userkonten beinahe täglich zu Konflikten:

Welche "Konflikte" sollen das konkret sein?

>> Das Arbeiten unter einem
>> eingeschränkten Benutzerkonto wird dagegen als unverzichtbar angesehen,
>> obwohl auch das erwiesenermaßen nicht 100%ig schützt (womöglich gibt es
>> sogar mehr Schadsoftware, die auch unter eingeschränkten Benutzerrechten
>> funktioniert, als solche, die von aktuellen Virenscannern nicht erkannt
>> wird).

Das obige beantwortet die Frage überhaupt nicht.

Uwe

[Thomas Einzel]

Und was soll der Leser deiner Meinung nach daraus schließen, was für
einen der zwei für ihn in XP vorhandenen Kontotypen soll er als
Schlussfolgerung aus dem Beitrag nun nehmen?

Thomas

[Uwe Premer]

Christoph Maercker schrieb am 27.09.2011 12:46 Uhr:

> Jascha-Rolf wrote:
>> und hab da außer bei Installationsaufgaben keinen Grund das zu ändern.
>> Nen mir mal ein paar deiner "Konflikte".
>
> Das fängt schon bei automatischen Updates diverser Software an,
> dümmstenfalls des Webbrowsers.

Mein Webbrowser ("Nightly") starte ich einfach als Administrator im
eingeschränkten Konto, führe das Update durch bis zum Neustart auch wieder
als Admin.
Danach beende ich ihn, und kann anschliessend die neue Version ganz einfach
als User starten.

Und das, ohne Benutzerwechsel in das Admin-Konto .

> Oder z.B. Platte voll, wegen zig GBytes Tempfiles in User-Profilen.

> Kommt nur ein Admin ran. Kleinere (De-)Installationen von Tools kommen
> ebenfalls öfter vor.

Gähn, dann starte ich notfalls cmd als Admin, und räume in der Konsole auf.
Oder ich starte einen beliebigen Dateimanager (oder den Explorer) als Admin.
Ja, ich kann den Explorer unter Win 7 als Admin starten im eingeschränkten
Konto.

>> Grundsätzlich ist der einzig 100%ig sichere PC, der ausgeschaltete!

Das ist der Weichei-1.0-Modus.

>> Oder verzichte auf die Online-Verbindung (Kabel raus).
>
> Solange ich kein Netzwerk brauche, ist der Router/Verteiler ausgeschaltet.

OK, immerhin Weichei-2.0.

>> Selbst mit Benutzerrechten und Viren/Malewarescannern und aufmerksamem
>> Arbeitsverhalten kann mal was passieren. Das entbindet dich aber im
>> Umkehrschluss nicht deiner Sorgfaltspflicht!
>
> Deswegen läuft auf dem PC die Firewall und der Router wurde so dicht
> gemacht wie nach aktuellem Kenntnisstand möglich:
> - MAC-Adressfilter für LAN & WLAN

MAC-Adressfilter nutzen sicherheitstechnisch nix.

> - Passwort für WebGUI

Das sollte soviel default sein, dass man garnicht erst drüber diskutieren muß´.

> - keine Antwort auf Pings aus dem Internet, keine offenen Ports dorthin

Hat man eh richtig eingestellt.

>> Jeder der auf Sicherungsverfahren verzichtet handelt grob-fahrlässig.
>
> Ich verzichte nicht auf Sicherungsverfahren, sondern auf überflüssige
> Programme und Dienste, z.B. Messenger, Terminal-Svc, SSDP, mDNS, uPnP
> und wie sie alle heißen, das bringt u.U. mehr.

Messenger sind in meinen Laptops eine der ersten Softwares, die ich gleich
am Anfang des Inbetriebnehmens deinstalliere.
Es gibt aber andererseits durchaus Leute, die das haben wollen, und das
respektiere ich auch. Nur, für mich selber brauch ich das nicht.

>> Ich verstehe die Sorglosigkeit der Menschen einfach nicht!
>
> Ich schon: Gerade Windows biedert sich dem User so penetrant an, dass er
> glaubt, nichts mehr am System machen zu müssen oder es einfach nicht kann.

Man lernt erst richtig mit Windows umzugehen, wenn man Linux mal
kennengelernt hat.
Dort ist imho der Mehrbenutzerbetrieb von Anfang an besser und eingängiger
umgesetzt.

Uwe

[Thomas Einzel]

Uwe Premer schrieb am 27.09.2011 20:32:
> Christoph Maercker schrieb am 27.09.2011 12:46 Uhr:
>> Jascha-Rolf wrote:
>>> und hab da außer bei Installationsaufgaben keinen Grund das zu ändern.
>>> Nen mir mal ein paar deiner "Konflikte".
>>
>> Das fängt schon bei automatischen Updates diverser Software an,
>> dümmstenfalls des Webbrowsers.
>
> Mein Webbrowser ("Nightly") starte ich einfach als Administrator im
> eingeschränkten Konto, führe das Update durch bis zum Neustart auch wieder
> als Admin.
> Danach beende ich ihn, und kann anschliessend die neue Version ganz einfach
> als User starten.

Das mache ich seit längerer Zeit mit Installation und Updates von allen
Programmen (bei XP), aber nicht mal mit einem Adminkonto, sondern mit
einem eingeschränktem Benutzerkonto und SuRun.
(http://kay-bruns.de/wp/software/surun/)
Hat u.a. den Vorteil, dass bei Softwarewartung/~Installation nichts im
Admin Profil landet.

> Und das, ohne Benutzerwechsel in das Admin-Konto.

Genau. Nur die Benutzerverwaltung muss ich noch im Kontext eines
"richtigen" Administrators starten.
...

> Man lernt erst richtig mit Windows umzugehen, wenn man Linux mal
> kennengelernt hat.

...

;-)

"Sie werden Shakespeare erst wirklich genießen, wenn Sie ihn im
Klingonischen Original lesen." [1]mangels anderer Quelle außer im Film

[1]
http://de.wikipedia.org/wiki/Klingonische_Sprache#Shakespeare-.C3.9Cbersetzungen

Thomas

[Helmut Hullen]

Hallo, Robert,

Du meintest am 27.09.11:

>> Schützt SAFER den Rechner vor einem BIOS-Trojaner?

> SAFER schützt davor, dass sich ein BIOS-Trojaner mittels einer
> ausführbaren Datei überhaupt installieren kann. Wenn SAFER nicht
> aktiv war und der BIOS-Trojaner schon installiert ist, dann (!!!)
> schützt SAFER nicht vor ihm.

Und wenn dafür keine "ausführbare Datei" nötig ist, dann schützt SAFER
auch nicht.

>> Wenn Du so nach und nach immer neue Kriterien einwirfst: das ist
>> kein Diskussionsstil, dem ich folgen mag.

> Ich habe am Anfang das Kriterium SAFER angeführt und anschließend nur
> darauf bestanden, dass du es auch berücksichtigst.

Ich habe auch SAFER berücksichtigt.

> Dass ich dich an
> dein Versäumnis, es nicht gleich berücksichtigt zu haben, erinnerte,
> heißt nicht, dass ich neue Kriterien eingeworfen hätte.

Sorry - Du hast später erwähnt, was für Dich "entscheidend" sei. Wobei
ich bisher nicht nachvollziehen kann, warum Du genau dieses eine
Kriterium für "entscheidend" hältst.

>> Ja und? Was beweist das?
>> Virenhersteller sind gelegentlich etwas schweigsam.
>>
>> Wenn ich nicht merke, dass mein Rechner verwurmt ist: das besagt gar
>> nichts.

> Es geht nicht um einen bestimmten PC, sondern um die Gesamtheit aller
> PCs, welche SAFER, Benutzerrechte, Integrity Levels und Brain 1.0
> nutzen.

Und als Betriebssystem Windows ...

> Bisher hat es offenbar noch niemand bemerkt, dass so ein PC
> den Wurm drin hätte.

Ja und? Was beweist das?

>>> Wenn etwa ein Staat wie der Iran Technologie aus dem Westen
>>> bezieht, muss er sich nicht wundern, wenn da Backdoors drin sind.

>> Und dagegen hätte SAFER geschützt?

> Soweit ich mich an die Stuxnet-Debatte erinnere: ja.

Bist Du sicher, dass da nur Stuxnet gewerkelt hat?

Viele Gruesse!
Helmut

[Helmut Hullen]

Zum Schutz vor Viren usw.: da ist anscheinend der Kontotyp ziemlich egal
- keiner schützt zuverlässig.

Ist das wirklich nicht durch Lesen des Originaltextes zu erkennen?

Viele Gruesse!
Helmut

[Thomas Einzel]

Helmut Hullen schrieb am 27.09.2011 21:07:
> Hallo, Thomas, Du meintest am 27.09.11:

...

>> Und was soll der Leser deiner Meinung nach daraus schließen, was für
>> einen der zwei für ihn in XP vorhandenen Kontotypen soll er als
>> Schlussfolgerung aus dem Beitrag nun nehmen?
>
> Zum Schutz vor Viren usw.: da ist anscheinend der Kontotyp ziemlich egal
> - keiner schützt zuverlässig.

Mit einem Kontotyp muss man aber arbeiten, "egal" ist nicht dabei.

> Ist das wirklich nicht durch Lesen des Originaltextes zu erkennen?

Offenbar, du kannst dich ja auch nicht dazu entschließen einen der
beiden Kontotypen zu nennen.

Thomas

[Helmut Hullen]

Hallo, Thomas,

Du meintest am 27.09.11:

>> Zum Schutz vor Viren usw.: da ist anscheinend der Kontotyp ziemlich
>> egal - keiner schützt zuverlässig.

> Mit einem Kontotyp muss man aber arbeiten, "egal" ist nicht dabei.

Ja und? Du hattest nach Schutz vor Viren gefragt. Und da ist anscheinend
der Kontotyp egal.

>> Ist das wirklich nicht durch Lesen des Originaltextes zu erkennen?

> Offenbar, du kannst dich ja auch nicht dazu entschließen einen der
> beiden Kontotypen zu nennen.

Wenn beide nicht zuverlässig schützen, dann ist es egal, welchen Typ Du
nimmst. Dann gibt es keinen Grund, einen der Typen ausdrücklich zu
empfehlen.

Viele Gruesse!
Helmut

[Robert Jasiek]

Helmut Hullen wrote:
>Und wenn dafür keine "ausführbare Datei" nötig ist, dann schützt SAFER
>auch nicht.

Und wie macht die Malware es dann?

>Du hast später erwähnt, was für Dich "entscheidend" sei.

SAFER schützt vor Malware, welche als ausführbare Datei vorliegt,
indem sie gar nicht ausgeführt werden darf. Bevor eine Malware.EXE
Unfug anstellen darf, wird sie schon verhindert. Das ist entscheidend
für mich an SAFER, weil es das entscheidende Funktionsprinzip von
SAFER ist: schon die Ausführung überhaupt zu verbieten.

>Wobei
>ich bisher nicht nachvollziehen kann, warum Du genau dieses eine
>Kriterium für "entscheidend" hältst.

Du kannst noch so viel davon schwärmen, was Tolles ein BIOS-Trojaner
alles machen KÖNNTE, sobald er im BIOS wäre. Das ist uninteressant.
Entscheidend ist, dass der BIOS-Trojaner erst einmal ins BIOS kommen
muss, um dann als BIOS-Trojaner arbeiten zu dürfen.

>Ja und? Was beweist das?

Den Unterschied in der Praxis zur Verbreitung von Malware auf PCs die
weit weniger gründlich abgesichert sind.

>Bist Du sicher, dass da nur Stuxnet gewerkelt hat?

Nein, denn ich habe mich zu dem Thema nicht weiter im Detail
informiert. Wenn du es besser weißt, heraus damit!

[Thomas Einzel]

Helmut Hullen schrieb am 27.09.2011 21:56:
...

>> Mit einem Kontotyp muss man aber arbeiten, "egal" ist nicht dabei.
>
> Ja und? Du hattest nach Schutz vor Viren gefragt. Und da ist anscheinend
> der Kontotyp egal.

Nein, nein, ich habe nicht "nach Schutz vor Viren gefragt", meine Frage war:

| Helmut, was liest du denn eigentlich aus dem c't Text und dem
| zitierten Leserbrief heraus? XP, welcher Kontotyp wird da nun

| empfohlen? Bitte kurz und eindeutig, kein Konjunktiv, kein
| ausweichen - es gibt im privaten Umfeld mit XP nur 2 Kontotypen.

>>> Ist das wirklich nicht durch Lesen des Originaltextes zu erkennen?
>
>> Offenbar, du kannst dich ja auch nicht dazu entschließen einen der
>> beiden Kontotypen zu nennen.
>
> Wenn beide nicht zuverlässig schützen, dann ist es egal, welchen Typ Du
> nimmst. Dann gibt es keinen Grund, einen der Typen ausdrücklich zu
> empfehlen.

Habe ich dich bisher richtig verstanden, dass du tatsächlich aus dem c't
Beitrag nicht mehr oder weniger als "Keiner" und/oder "egal" (bezüglich
der Benutzerkontotypen) heraus liest?

Thomas

[Uwe Premer]

Thomas Einzel schrieb am 27.09.2011 20:52 Uhr:
> Uwe Premer schrieb am 27.09.2011 20:32:
>> Christoph Maercker schrieb am 27.09.2011 12:46 Uhr:
>>> Jascha-Rolf wrote:
>>>> und hab da außer bei Installationsaufgaben keinen Grund das zu ändern.
>>>> Nen mir mal ein paar deiner "Konflikte".
>>>
>>> Das fängt schon bei automatischen Updates diverser Software an,
>>> dümmstenfalls des Webbrowsers.
>>
>> Mein Webbrowser ("Nightly") starte ich einfach als Administrator im
>> eingeschränkten Konto, führe das Update durch bis zum Neustart auch wieder
>> als Admin.
>> Danach beende ich ihn, und kann anschliessend die neue Version ganz einfach
>> als User starten.
>
> Das mache ich seit längerer Zeit mit Installation und Updates von allen
> Programmen (bei XP), aber nicht mal mit einem Adminkonto, sondern mit
> einem eingeschränktem Benutzerkonto und SuRun.
> (http://kay-bruns.de/wp/software/surun/)
> Hat u.a. den Vorteil, dass bei Softwarewartung/~Installation nichts im
> Admin Profil landet.

SuRu kenne ich zwar auch schon länger, hatte das auch mal ausprobiert, bin
aber damals (vor langer Zeit) irgendwie nicht mit zurechtgekommen.
Ich glaube, das war mit XP.
XP nutze ich nur noch sehr selten auf diesem Notebook, wo auch 7 drauf ist.
7 nutze ich weit lieber als XP, weil es schneller durchgestartet ist als
mein XP (ich glaub, da hab ich zuviel im Autostart oder so.)

>> Und das, ohne Benutzerwechsel in das Admin-Konto.
>
> Genau. Nur die Benutzerverwaltung muss ich noch im Kontext eines
> "richtigen" Administrators starten.

Yep.

> ...
>> Man lernt erst richtig mit Windows umzugehen, wenn man Linux mal
>> kennengelernt hat.
> ...
>
> ;-)

Ich setz noch einen drauf: und OS X. Obwohl dort das erste eingerichtete
Konto auch ein Konto mit mehr Rechten ist als ein einfaches Benutzerkonto.
Also genau wie bei Ubuntu.

> "Sie werden Shakespeare erst wirklich genießen, wenn Sie ihn im
> Klingonischen Original lesen." [1]mangels anderer Quelle außer im Film
>
> [1]
> http://de.wikipedia.org/wiki/Klingonische_Sprache#Shakespeare-.C3.9Cbersetzungen

Ich hätte gerne mal ein Microsoft Linux, welches einen Paketmanager haben
müßte.
Oder noch besser: ein Windows mit Paketmanager: mit Milliarden von
kostenlosen Closed-Source-Programmen (alles, was das Netz als Freeware
hergibt), dazu als Gimmick:
alle bisherigen kommerzielle Programme auch mit Payment via diesem
Paketmanager beziehbar.

Was ich im übrigen nicht will, wäre ein reines Cloud-System wie Googles
Chromium OS. Dann nämlich wären wir wie vor vielen Jahren in vielen
Rechenzentren bei saudummen Terminals, die nix können.
Und sowas wollte ich zuhause nicht haben. Meine private Hardware soll
möglichst viel selber können und selber managen.

Ich will nicht sagen, dass ich dem Chromium OS keine Chance gebe, heute hat
das sogar mehr Chancen als noch vor Jahren. Aber es wird bei den Nutzen nie
soviel Anklang finden wie echte PCs und Laptops mit echten Betriebssystemen.
Cloud-Systeme sind was für Weicheier.
Echte User usen volle Betriebssysteme und keine Kastrat-Systeme.

Uwe

[Helmut Hullen]

Hallo, Robert,

Du meintest am 27.09.11:

> Du kannst noch so viel davon schwärmen, was Tolles ein BIOS-Trojaner
> alles machen KÖNNTE, sobald er im BIOS wäre. Das ist uninteressant.
> Entscheidend ist, dass der BIOS-Trojaner erst einmal ins BIOS kommen
> muss, um dann als BIOS-Trojaner arbeiten zu dürfen.

Die regelmässigen Sicherheits-Updates u.a. von Windows zeigen, dass auch
das Betriebssystem Sicherheitslücken hat (klar - ist nun mal von
Menschenhand). Und Virenprogrammierer können diese Lücken ausnutzen.
Ohne Dich zu informieren.

>> Bist Du sicher, dass da nur Stuxnet gewerkelt hat?

> Nein, denn ich habe mich zu dem Thema nicht weiter im Detail
> informiert. Wenn du es besser weißt, heraus damit!

Ich weiss nicht, was da sonst noch alles werkelt. Wenn aber Stuxnet
möglich war, dann sind auch andere Viren o.ä. möglich. Sogar dann, wenn
ich keinen mit Namen nennen kann.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Thomas,

Du meintest am 27.09.11:

>> Wenn beide nicht zuverlässig schützen, dann ist es egal, welchen Typ
>> Du nimmst. Dann gibt es keinen Grund, einen der Typen ausdrücklich
>> zu empfehlen.

> Habe ich dich bisher richtig verstanden, dass du tatsächlich aus dem
> c't Beitrag nicht mehr oder weniger als "Keiner" und/oder "egal"
> (bezüglich der Benutzerkontotypen) heraus liest?

Genau! Mehr hat die c't nicht geschrieben.

Viele Gruesse!
Helmut

[Christoph Schneegans]

Uwe Premer schrieb:

> Mein Webbrowser ("Nightly") starte ich einfach als Administrator
> im eingeschränkten Konto, führe das Update durch bis zum Neustart
> auch wieder als Admin. Danach beende ich ihn, und kann
> anschliessend die neue Version ganz einfach als User starten.

So klappt es praktisch immer. Manchmal geht es aber noch bequemer;
einige Programme (insbesondere Opera) zeigen auch unter XP einen
"Ausführen als"-Dialog, wenn ein Benutzer das Update installieren
will. Das spart ein paar Mausklicks.

--
<http://schneegans.de/web/kanonische-adressen/> · Gute URLs

[Christoph Maercker]

Stefan Kanthak wrote:
> Ganz offensichtlich gilt fuer Dich "Versuch macht klug" NICHT!

Würde ich sogar akzeptieren, wenn ich es *nicht* probiert hätte.

> Der mit Windows gelieferte Webbrowser wird (wie das gesamte System)

Von M$ lasse ich mir zwar notgedrungen das Betrübssystem vorschreiben,
aber nicht auch noch die Anwendungen!!

> automatisch aktualisiert, OHNE Administratorrechte des (nicht)
> angemeldeten Benutzers zu benoetigen.

> Du machst was grundsaetzlioch falsch!

Weil ich Mozilla-Browser oder Chromium nutze? Nein danke, ich bin nicht
mit Mr. Balmer & Co. verheiratet.

>> Oder z.B. Platte voll, wegen zig GBytes Tempfiles in User-Profilen.
>

> Wirf die kaputte Software weg, die solchen Bloedsinn anrichtet.

Erst mal finden und es gibt diverse davon.

>> Kommt nur ein Admin ran.

> Bloedsinn. %TEMP% gehoert dem Benutzer, der kann dort nach Herzenslust
> loeschen. ^^^

Eben. Blödsinn, anzunehmen, dort käme ein anderer 0815-User ran.

>> Kleinere (De-)Installationen von Tools kommen ebenfalls öfter vor.

> Rechtsklick->Ausfuehren als... existiert seit ueber 10 Jahren!

Funktioniert hat's bei nur bisher nur unter W7.
--


CU Christoph Maercker.

[Christoph Maercker]

Christoph Schneegans wrote:
> Kennwortlose Konten sind unter Windows die sichersten Konten
> überhaupt, denn sie erlauben nur eine lokale, interaktive Anmeldung,

Ab welcher Win-Version? Unter W2k und/oder XP habe ich WIMRE einige Male
ohne Pwd als Admin angemeldet. Voraussetzung war natürlich, dass auf den
betr. PCs der Passwortzwang deaktiviert wurde.

--


CU Christoph Maercker.

[Christoph Maercker]

Uwe Premer wrote:
> Mein Webbrowser ("Nightly") starte ich einfach als Administrator im
> eingeschränkten Konto, führe das Update durch bis zum Neustart auch wieder
> als Admin.
> Danach beende ich ihn, und kann anschliessend die neue Version ganz einfach
> als User starten.

> Und das, ohne Benutzerwechsel in das Admin-Konto .

Ich mache es eher umgekehrt: Melde mich primär als Admin an, starte den
Browser (zum Surfen) jedoch als User.

> MAC-Adressfilter nutzen sicherheitstechnisch nix.

Warum? Wegen MAC-Spoofing? Würde entweder bekannte MAC voraussetzen.
Lassen die Home-Router Brute-Force-Attacken bei MAC-Adressen zu?
Bei diesen "einfachen" Netzboxen aka NAT-Routern bin ich mir aber
sowieso unsicher, was für die Sicherheit Punkte bringt und was nicht.

>> - Passwort für WebGUI

> Das sollte soviel default sein, dass man garnicht erst drüber diskutieren muß´.

Wage ich bei der Mehrheit der Home-Boxen zu bezweifeln.

>> - keine Antwort auf Pings aus dem Internet, keine offenen Ports dorthin
> Hat man eh richtig eingestellt.

Anscheinend nicht bei allen Herstellern.

>>> Jeder der auf Sicherungsverfahren verzichtet handelt grob-fahrlässig.
>>
>> Ich verzichte nicht auf Sicherungsverfahren, sondern auf überflüssige
>> Programme und Dienste, z.B. Messenger, Terminal-Svc, SSDP, mDNS, uPnP
>> und wie sie alle heißen, das bringt u.U. mehr.
>
> Messenger sind in meinen Laptops eine der ersten Softwares, die ich gleich
> am Anfang des Inbetriebnehmens deinstalliere.

Wobei ich auch den normalen Nachrichtendienst deaktiviere, das
Messenger-Paket bleibt schon bei der Installation außen vor.

> Es gibt aber andererseits durchaus Leute, die das haben wollen, und das
> respektiere ich auch. Nur, für mich selber brauch ich das nicht.

ACK, nur die Dienste, die wirklich gebraucht werden. Aber finde erst mal
raus, welche das alles sind!

> Man lernt erst richtig mit Windows umzugehen, wenn man Linux mal
> kennengelernt hat.

Wie wahr, wie wahr. :-)

> Dort ist imho der Mehrbenutzerbetrieb von Anfang an besser und eingängiger
> umgesetzt.

Unix halt. Wie grottenschlecht das Netzwerk unter Windows war (und
teilweise immer noch ist), habe ich übrigens weniger durch Vergleich mit
Linux, sondern mit NetWare bemerkt.
--


CU Christoph Maercker.

[Helmut Rohrbeck]

Jascha-Rolf typed:
> Ich arbeite sowohl in der Firma als auch an meinem privaten Rechner
> ausschließlich als Hauptbenutzer und hab da außer bei

> Installationsaufgaben keinen Grund das zu ändern.

Na schön, solange Deine Firma und Du privat noch mit antiken
Rechnern und antiken Windows-Systemen arbeiten, mag das noch
funktionieren, aber "Hauptbenutzer" gibt es in den aktuellen
Betriebssystemen schon lange nicht mehr.

--
Helmut Rohrbeck
http://www.helmrohr.de/Kontakt.htm
Microsoft Support Center:
http://support.microsoft.com/?ln=de

[Claus Reibenstein]

Helmut Hullen schrieb:

> Auch durch Wiederholung wird nicht richtig, dass Virenscanner nicht mehr
> kï¿œnnen als "reinen Signaturcheck".

Heuristik?

Gruￜ. Claus

[Hermann]

Christoph Schneegans schrieb:
> "Jascha-Rolf" schrieb:

>
>> Ich arbeite sowohl in der Firma als auch an meinem privaten

>> Rechner ausschlie�lich als Hauptbenutzer und hab da au�er bei
>> Installationsaufgaben keinen Grund das zu �ndern.
>
> Hauptbenutzer sind praktisch Administratoren, keine eingeschr�nkten
> Konten.

http://support.microsoft.com/?id=825069

Gru�

Hermann

[Christoph Schneegans]

"Hermann" schrieb:

>> Hauptbenutzer sind praktisch Administratoren, keine

>> eingeschränkten Konten.
>
> http://support.microsoft.com/?id=825069

Darf man also davon ausgehen, daß diese Lücke weiterhin existiert
und nicht effektiv geschlossen werden kann?

[Christoph Schneegans]

Christoph Maercker schrieb:

>> Kennwortlose Konten sind unter Windows die sichersten Konten
>> überhaupt, denn sie erlauben nur eine lokale, interaktive
>> Anmeldung,
>
> Ab welcher Win-Version?

Das dürfte für die ganze NT-Familie gelten, persönliche Erfahrungen
habe ich mit XP.

> Unter W2k und/oder XP habe ich WIMRE einige Male ohne Pwd als
> Admin angemeldet.

Ja, das ist zulässig und sicher, wenn kein Unbefugter physischen
Zugriff auf den Computer hat.

[Hermann]

Christoph Schneegans schrieb:

> "Hermann" schrieb:
>
>>> Hauptbenutzer sind praktisch Administratoren, keine
>>> eingeschränkten Konten.
>>
>> http://support.microsoft.com/?id=825069
>
> Darf man also davon ausgehen, daß diese Lücke weiterhin existiert
> und nicht effektiv geschlossen werden kann?

Das Konto nicht benutzen.

Gruß

Hermann

[Joseph Terner]

On Tue, 27 Sep 2011 08:27:38 +0200, Michael Landenberger wrote:

> Komisch. Manche Leute lehnen Virenscanner mit der Begründung als
> unbrauchbar ab, dass sie nicht alle Viren erkennen und somit keinen
> 100%igen Schutz bieten können ("Schlangenöl", "Scheinsicherheit").

Ja, die Erkennungsquote in the wild liegt wohl irgendwo bei 10-30 %. Das
heißt in 2/3 der Fälle erfolgt die Fehldiagnose "sicher".

> Man könne daher getrost auf sie verzichten.

Daß Schlangenöl die Angriffsfläche erhöht, statt sie zu senken, wurde auf
diversen Sicherheitskonferenzen bereits oft genug vorgeführt. Man sollte
also darauf verzichten.

ciao, Joseph

[Joseph Terner]

On Tue, 27 Sep 2011 03:01:38 +0200, Christoph Schneegans wrote:

> Ich war nicht der einzige c't-Leser, der sich über die Empfehlung in c't
> 20/2011 wunderte, wonach "das Anlegen eines zweiten Nutzerkontos mit
> eingeschränkten Rechten" zur Erhöhnung der Sicherheit "nicht mehr
> lohnt". Ein entsprechender Leserbrief ist in c't 21/2011 auf S. 10
> abgedruckt.

Im Hinblick auf das Gruppenthema hat die Computerbild fachlich durchaus
mehr zu bieten. ;-) Wann ziehst Du Deine Konsequenzen daraus?

> Selbstverständlich gibt es Schadsoftware, die ohne Administratorrechte
> ausgeführt werden kann. Die c't folgert daraus aber, daß die Verwendung
> eines eingeschränkten Kontos bei solcher Schadsoftware kein Mehr an
> Schutz bietet, man also genausogut als Administrator arbeiten kann.

Rechteverwaltung auf Multiusersystemen dient dazu, die Daten anderer
Benutzer auf demselben System zu schützen, nicht die Ausführung von
Schadsoftware zu verhindern. Der Superuser darf natürlich alles.

A fool with a tool is still a fool. Das gilt auch für Redakteure sog.
Fachzeitschriften.

ciao, Joseph

[Christoph Schneegans]

Joseph Terner schrieb:

>> Ich war nicht der einzige c't-Leser, der sich über die Empfehlung
>> in c't 20/2011 wunderte, wonach "das Anlegen eines zweiten
>> Nutzerkontos mit eingeschränkten Rechten" zur Erhöhnung der
>> Sicherheit "nicht mehr lohnt".
>

> Im Hinblick auf das Gruppenthema hat die Computerbild fachlich
> durchaus mehr zu bieten. ;-) Wann ziehst Du Deine Konsequenzen
> daraus?

Ich bin schon lange kein c't-Abonnent mehr.

Am Zeitschriftenregal erschlagen mich die anderen Blätter leider
meistens mit Titeln wie "1000 Tricks, um Windows schneller zu
machen". Einmal habe ich eine Computerbild gekauft, weil ein Artikel
über Probleme mit Windows 7 angekündigt wurde. Im Artikel selbst
gab's dann aber nur die auch aus der c't bekannte Beweihräucherung.

>> Selbstverständlich gibt es Schadsoftware, die ohne Administratorrechte
>> ausgeführt werden kann. Die c't folgert daraus aber, daß die Verwendung
>> eines eingeschränkten Kontos bei solcher Schadsoftware kein Mehr an
>> Schutz bietet, man also genausogut als Administrator arbeiten kann.
>
> Rechteverwaltung auf Multiusersystemen dient dazu, die Daten anderer
> Benutzer auf demselben System

sowie das System selbst (!)

> zu schützen, nicht die Ausführung von Schadsoftware zu verhindern.

Ja. Ich schrieb ja schon in <news:9edg3u...@mid.individual.net>,
daß ein eingeschränktes Konto "per se überhaupt nicht vor der
Ausführung von Schadsoftware" schützt. Ein eingeschränktes Konto ist
aber notwendige Bedingung für den Einsatz von Maßnahmen, die die
Ausführung von Schadsoftware verhindern können, bspw. SAFER.

--
<http://schneegans.de/usenet/mids/> · Postings verlinken

[Hans-Peter Matthess]

Christoph Schneegans:

> Die Aussage "Tatsächlich ist die alte Empfehlung überholt." kann man
> nur so interpretieren.

Die alte Empfehlung ist aber tatsächlich überholt, denn seit Vista
gibt es nur noch eingeschränkte Konten. In welchem Konto auch immer
man arbeitet, es ist eingeschränkt! Was also soll eine Empfehlung, man
solle in eingeschränkten Konten arbeiten?

--
Scheinsicherheit und System-Zerstörung durch Virenscanner:
http://www.soehnitz.de/itsicherheit/virenscannersinnoderunsinn/index.html
Darum: http://www.soehnitz.de/itsicherheit/wassiewirklichbrauchen/index.html
Konfiguration einfach gemacht: http://home.arcor.de/skanthak/safer.html

[Helmut Hullen]

Hallo, Claus,

Du meintest am 28.09.11:

>> Auch durch Wiederholung wird nicht richtig, dass Virenscanner nicht

>> mehr können als "reinen Signaturcheck".

> Heuristik?

Auch das.

Viele Gruesse!
Helmut

[Michael Logies]

On Tue, 27 Sep 2011 10:28:47 +0200, Christoph Maercker
<Eva.Ry...@gmx.net> wrote:

>Auch Virenscanner können die Arbeit mit einem PC ziemlich arg behindern.
>In den meisten Fällen beschränkt sich das aber auf einige wenige
>Ausnahmen und lassen sich deshalb tolerieren. Im Gegensatz dazu führt
>das Arbeiten mit Userkonten beinahe täglich zu Konflikten:

Ich kann letzteres nicht bestätigen. Ich arbeite seit ca. 7 Jahren,
also seit XP, überwiegend nur mit Benutzerrechten. Ja, manchmal muß
man Software etwas anpassen, also z. B. auch für den Benutzer im
Programm- oder Windowsverzeihnis ini-Dateien beschreibbar machen. Ja,
Softwareupdates mache ich meist als Admin oder ich mache den Benutzer
vorübergehend zum Admin, installiere u. entziehe ihm die Admin-Rechte
wieder. Ja, das macht alles zusätzliche Arbeit, aber die zusätzliche
Sicherheit sollte es einem Wert sein.
Bei mir Web u . Mail nur als "Benutzer", Quicken 2008 u. andere
Finanzsachen unter einem Admin-Konto (weil Quicken 2008 mit
Benutzerrechten nicht läuft).

Grüße

M.

[Stefan Kanthak]

"Hans-Peter Matthess" <hp...@t-online.de> schrieb:

> Christoph Schneegans:
>
>> Die Aussage "Tats�chlich ist die alte Empfehlung �berholt." kann man
>> nur so interpretieren.
>
> Die alte Empfehlung ist aber tats�chlich �berholt, denn seit Vista
> gibt es nur noch eingeschr�nkte Konten.

FALSCH!
WANN HOERST DU ENDLICH AUF, DIESEN DUMMFUG ZU VERBREITEN?!

[ GIGO entsorgt ]

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

[Stefan Kanthak]

"Christoph Maercker" <Eva.Ry...@gmx.net> schrieb:

> Stefan Kanthak wrote:
>> Ganz offensichtlich gilt fuer Dich "Versuch macht klug" NICHT!
>

> W�rde ich sogar akzeptieren, wenn ich es *nicht* probiert h�tte.

Zu dumm, dass Du es nicht richtig probiert hast!

>> Der mit Windows gelieferte Webbrowser wird (wie das gesamte System)
>

> Von M$ lasse ich mir zwar notgedrungen das Betr�bssystem vorschreiben,

> aber nicht auch noch die Anwendungen!!

Dein Problem, dass Du minderwertige Anwendungen einsetzt, die zum
Einspielen ihrer Updates Administrator-Rechte vom Benutzer verlangen!

>> automatisch aktualisiert, OHNE Administratorrechte des (nicht)
>> angemeldeten Benutzers zu benoetigen.
>
>> Du machst was grundsaetzlioch falsch!
>
> Weil ich Mozilla-Browser oder Chromium nutze?

Sagte ich doch: minderwertiges kaputtes Zeux.

Nimm Opera, dessen Aktualisierung kann ein Benutzer anstossen.

> Nein danke, ich bin nicht mit Mr. Balmer & Co. verheiratet.

Dafuer mit Mozilla und Google? Und deren minderwertiger Software,
die im Gegensatz beispielsweise zu der von Microsoft vom Benutzer
administrative Rechte fuer's Aktualisieren benoetigt!

>>> Oder z.B. Platte voll, wegen zig GBytes Tempfiles in User-Profilen.
>>
>> Wirf die kaputte Software weg, die solchen Bloedsinn anrichtet.
>
> Erst mal finden und es gibt diverse davon.

Darf ich Dich als Vollidioten bezeichnen?
DU hast diese kaputte Software bereits gefunden, denn Du hast sie
installiert!

>>> Kommt nur ein Admin ran.
>
>> Bloedsinn. %TEMP% gehoert dem Benutzer, der kann dort nach Herzenslust
>> loeschen. ^^^
>

> Eben. Bl�dsinn, anzunehmen, dort k�me ein anderer 0815-User ran.

Genau. ACLs regeln den Zugriff.

>>> Kleinere (De-)Installationen von Tools kommen ebenfalls �fter vor.

>
>> Rechtsklick->Ausfuehren als... existiert seit ueber 10 Jahren!
>
> Funktioniert hat's bei nur bisher nur unter W7.

Dein Problem.
Nicht nur hier[tm] funktioniert das seit ueber 10 Jahren!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.

[Stefan Kanthak]

"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:

> Christoph Maercker schrieb:
>
>>> Kennwortlose Konten sind unter Windows die sichersten Konten

>>> �berhaupt, denn sie erlauben nur eine lokale, interaktive
>>> Anmeldung,
>>
>> Ab welcher Win-Version?
>
> Das d�rfte f�r die ganze NT-Familie gelten,

Nein, diese Einschraenkung fuer kennwortlose Konten existiert ab XP!

[Ruediger Lahl]

*Robert Jasiek* schrieb:

> Bei all diesen Links scheitert es schon an der ersten Hürde, bei
> aktivem SAFER überhaupt zur Ausführung zu kommen!

Mein Stichwort :-)

Wie richtet man einklich Ausnahmen für NT6_SAFER in Win7 ein?
Mein Hamster[1] kann nicht so gut in UAC-Atmosphäre, so dass ich das
gute Stück ausnahmsweise im Userspace laufen lasse. Das sieht SAFER aber
nicht so gerne...

[1]http://tglsoft.de/freeware_hamster.html

[Hans-Peter Matthess]

Stefan Kanthak:

>> Die alte Empfehlung ist aber tatsächlich überholt, denn seit Vista
>> gibt es nur noch eingeschränkte Konten.

> FALSCH!
> WANN HOERST DU ENDLICH AUF, DIESEN DUMMFUG ZU VERBREITEN?!
> [ GIGO entsorgt ]

Ich sehe es so wie Ziegler hier:
http://www.winvistaside.de/forum/index.php?showtopic=3030
Und das ist halt kein Dummfug, ganz einfach.

[Stefan Kanthak]

"Hans-Peter Matthess" <hp...@t-online.de> schrieb:

> Stefan Kanthak:
>
>>> Die alte Empfehlung ist aber tatsächlich überholt, denn seit Vista
>>> gibt es nur noch eingeschränkte Konten.
>
>> FALSCH!
>> WANN HOERST DU ENDLICH AUF, DIESEN DUMMFUG ZU VERBREITEN?!
>> [ GIGO entsorgt ]
>
> Ich sehe es so wie Ziegler hier:
> http://www.winvistaside.de/forum/index.php?showtopic=3030

VOELLIG IRRELEVANT!
Lies die vom Verbrecher der sog. UAC veroeffentlichte Dokumentation.

> Und das ist halt kein Dummfug, ganz einfach.

DOCH, DU VERBREITEST VOELLIGEN BLOEDSINN!

[Robert Jasiek]

Ruediger Lahl wrote:
>Wie richtet man einklich Ausnahmen für NT6_SAFER in Win7 ein?
>Mein Hamster[1] kann nicht so gut in UAC-Atmosphäre, so dass ich das
>gute Stück ausnahmsweise im Userspace laufen lasse. Das sieht SAFER aber
>nicht so gerne...

Verwendest du NT6_SAFER oder Gruppenrichtlinienobjekte? Wo ist Hamster
gespeichert und ggf. auf welche Ausführbaren will es sonst zugreifen?

[Jascha-Rolf]

Am 27.09.2011 17:06, schrieb Christoph Schneegans:
> Michael Paul schrieb:
>
>>> Die Gruppe "Power Users" darf etwa in %ProgramFiles% schreiben.
>>>
>>> Noch Fragen?
>>
>> Ja. Ist diese Benutzergruppe nicht abgeschafft? WIMRE ist sie bei
>> XP schon etwas versteckt worden, bei NT6 soll es sie gat nicht
>> mehr geben.
>
> Jascha-Rolf benutzt offenbar XP, ich habe unter XP getestet, und
> unter XP haben Hauptbenutzer (Mitglieder der Gruppe "Power
> Users") zahlreiche Rechte, die ein eingeschränkter Benutzer
> (Mitglieder der Gruppe "Users") nicht hat.
>
Die Gruppe "Hauptbenutzer existiert defakto auch unter Windows 7 ist
aber genauso wie unter XP nicht frei auswählbar sondern nur in der
Benutzer und Gruppenverwaltung zugänglich.
Wie ich schon sagte setzt das sichere Arbeiten an PC's entgegen einer
weitläufigen gegenteiligen Meinung immer auch gesunden
Menschenverstand und Grundlegendes Wissen über das voraus das man tut!
Der einzige Weg einen 100% sicheren PC zu haben ist, den Menschen ab
zu schaffen.

--
Gruß

Jascha

[Stefan Kanthak]

"Ruediger Lahl" <ruedig...@gmx.de> schrieb:

> *Robert Jasiek* schrieb:
>
>> Bei all diesen Links scheitert es schon an der ersten Hürde, bei
>> aktivem SAFER überhaupt zur Ausführung zu kommen!
>
> Mein Stichwort :-)
>
> Wie richtet man einklich Ausnahmen für NT6_SAFER in Win7 ein?
> Mein Hamster[1] kann nicht so gut in UAC-Atmosphäre,

Dann lass ihn OHNE UAC laufen!

> so dass ich das gute Stück ausnahmsweise im Userspace laufen lasse.

ALLE Windows-Anwendungen laufen im Userspace!

> Das sieht SAFER aber nicht so gerne...

Umgekehrt wird ein Schuh draus: die "Designed for Windows"-Richtlinien
sind ueber 15 Jahre alt, es wird langsam Zeit, dass Programmierer sich
daran halten!

Installiere den Hamster wie alle Programme unter %ProgramFiles% und
passe ggf. die ACLs oder die Pfade zu den genutzten Verzeichnissen an.

> [1]http://tglsoft.de/freeware_hamster.html

[Ruediger Lahl]

*Robert Jasiek* schrieb:

>>Wie richtet man einklich Ausnahmen für NT6_SAFER in Win7 ein?
>

> Verwendest du NT6_SAFER oder Gruppenrichtlinienobjekte?

NT6_SAFER in einem Win7-Standard-Benutzer-Konto.

> Wo ist Hamster gespeichert und ggf. auf welche Ausführbaren will es
> sonst zugreifen?

Der Hamster liegt in %userprofile%. Er ist Scriptgesteuert und ruft
während seiner Tätigkeit zwei weitere Programme aus dem selben
Verzeichnis auf. So weit komme ich aber gar nicht mit SAFER. Zum Schuss
ruft er den Mailclient auf, der ganz regulär im Programmeverzeichnis wohnt.

Ohne NT6_SAFER alles kein Problem...
--
bis denne

[Joseph Terner]

On Wed, 28 Sep 2011 12:32:24 +0200, Christoph Schneegans wrote:

> Joseph Terner schrieb:
[...]

> Am Zeitschriftenregal erschlagen mich die anderen Blätter leider
> meistens mit Titeln wie "1000 Tricks, um Windows schneller zu machen".
> Einmal habe ich eine Computerbild gekauft, weil ein Artikel über
> Probleme mit Windows 7 angekündigt wurde. Im Artikel selbst gab's dann
> aber nur die auch aus der c't bekannte Beweihräucherung.

Windows 7 ist doch ein ganz tolles "Betriebsprogramm". ;-)

>>> Selbstverständlich gibt es Schadsoftware, die ohne Administratorrechte
>>> ausgeführt werden kann. Die c't folgert daraus aber, daß die
>>> Verwendung eines eingeschränkten Kontos bei solcher Schadsoftware kein
>>> Mehr an Schutz bietet, man also genausogut als Administrator arbeiten
>>> kann.
>>
>> Rechteverwaltung auf Multiusersystemen dient dazu, die Daten anderer
>> Benutzer auf demselben System
>
> sowie das System selbst (!)

Abstrahieren bitte. Die Systemdateien sind nichts weiter als die Daten
des Superusers.

>> zu schützen, nicht die Ausführung von Schadsoftware zu verhindern.
>
> Ja. Ich schrieb ja schon in <news:9edg3u...@mid.individual.net>, daß
> ein eingeschränktes Konto "per se überhaupt nicht vor der Ausführung von
> Schadsoftware" schützt.

Nur deren Auswirkungen begrenzt. Zum Beispiel ein parallel installiertes
Linux vor Zugriffen schützt. Das übersteigt eben den Horizont des
inzwischen typischen c't-Lesers (zur Zielgruppe siehe "Mac & I"), weshalb
sich das nicht "lohne". Dabei ist der Weg zum Limited Account für den
Rechnereigentümer bereits vorgezeichnet: In der Form, daß es Superuser-
Zugriff nur noch für den Rechnerhersteller gibt.

Da bin ich mal gespannt, was die c't dann dazu sagt. :-)

ciao, Joseph

[Robert Jasiek]

Ruediger Lahl wrote:
>Der Hamster liegt in %userprofile%.

Es ist keine gute Idee, das ganze %userprofile% zu erlauben. Kannst du
Hamster in \Program Files oder \Program Files (x86) installieren? Wenn
nicht, dann sehen wir weiter. Aber im Programmverzeichnis ist alles
viel einfacher!

[Thomas Einzel]

Helmut Hullen schrieb am 27.09.2011 22:38:
> Hallo, Thomas, Du meintest am 27.09.11:
...
>> Habe ich dich bisher richtig verstanden, dass du tatsächlich aus dem
>> c't Beitrag nicht mehr oder weniger als "Keiner" und/oder "egal"
>> (bezüglich der Benutzerkontotypen) heraus liest?
>
> Genau! Mehr hat die c't nicht geschrieben.

Wenn du die Wahl zwischen zwei Möglichkeiten - nach A oder B gehen -
(und bisher B empfohlen wurde) ich dir sagen würde B "lohnt nicht mehr
und nervt eher", hätte ich selbstverständlich niemals etwas vom "A" gesagt.

Der korrekte Terminus wäre demnach wohl wahrscheinlich gewesen
"c't empfiehlt: "das Anlegen eines zweiten Nutzerkontos mit
eingeschränkten Rechten lohnt nicht mehr und nervt eher"

Das macht natürlich einen wörtlichen Unterschied, beim Rat nach Wahl A
oder B dem Sinn entsprechend IMO nicht.

Natürlich haben sich nun viele in spitzfindigen Argumentationen verrannt
und können argumentativ nicht mehr zurück, die c't oder gar der Autor
des Beitrages vermutlich auch.

Thomas

[Claus Reibenstein]

Joseph Terner schrieb:

> On Wed, 28 Sep 2011 12:32:24 +0200, Christoph Schneegans wrote:
>
>> Joseph Terner schrieb:
>>

>>> Rechteverwaltung auf Multiusersystemen dient dazu, die Daten anderer
>>> Benutzer auf demselben System
>>
>> sowie das System selbst (!)
>
> Abstrahieren bitte. Die Systemdateien sind nichts weiter als die Daten
> des Superusers.

Das greift zu kurz. Es gibt Systemdateien, die nicht dem Superuser gehören.

Gruß. Claus

[Hans-Peter Matthess]

Stefan Kanthak:

>> Ich sehe es so wie Ziegler hier:
>> http://www.winvistaside.de/forum/index.php?showtopic=3030

> VOELLIG IRRELEVANT!

Was da geschrieben steht, ist eine zutreffende Zusammenfassung,
ist also nicht irrelevant.

> Lies die vom Verbrecher der sog. UAC veroeffentlichte Dokumentation.

Ich hab mittlerweile genügend aus Technet/MSDN/Rosinenfitsch & Co
darüber gelesen. Es reicht.

>> Und das ist halt kein Dummfug, ganz einfach.

> DOCH, DU VERBREITEST VOELLIGEN BLOEDSINN!

Ich verbreite nur, dass Adminkonten per Default eingeschränkte Userrechte
haben und erhöhte Rechte blockiert werden bzw. der Zustimmung bedürfen.
Das ist die Situation wie sie sich seit Vista darstellt und kein Blödsinn.
Zudem arbeite ich als "Versuchskaninchen" seit Vista nur noch in Adminkonten
und mache alle Tests, auch mit Malware, nur dort.

[Helmut Hullen]

Hallo, Thomas,

Du meintest am 28.09.11:

>>> Habe ich dich bisher richtig verstanden, dass du tatsächlich aus
>>> dem c't Beitrag nicht mehr oder weniger als "Keiner" und/oder
>>> "egal" (bezüglich der Benutzerkontotypen) heraus liest?

>> Genau! Mehr hat die c't nicht geschrieben.

> Wenn du die Wahl zwischen zwei Möglichkeiten - nach A oder B gehen -
> (und bisher B empfohlen wurde) ich dir sagen würde B "lohnt nicht
> mehr und nervt eher", hätte ich selbstverständlich niemals etwas vom
> "A" gesagt.

> Der korrekte Terminus wäre demnach wohl wahrscheinlich gewesen
> "c't empfiehlt: "das Anlegen eines zweiten Nutzerkontos mit
> eingeschränkten Rechten lohnt nicht mehr und nervt eher"

Nein - die c't hat nichts empfohlen.

Viele Gruesse!
Helmut

[Thomas Einzel]

Helmut Hullen schrieb am 28.09.2011 19:25:
> Hallo, Thomas,
>
> Du meintest am 28.09.11:

...

>> Der korrekte Terminus wäre demnach wohl wahrscheinlich gewesen
>> "c't empfiehlt: "das Anlegen eines zweiten Nutzerkontos mit
>> eingeschränkten Rechten lohnt nicht mehr und nervt eher"
>
> Nein - die c't hat nichts empfohlen.

Also dann:
"c't: "das Anlegen eines zweiten Nutzerkontos mit

eingeschränkten Rechten lohnt nicht mehr und nervt eher"

Vermutlich ist der ganze Thread ein richtiger Spaß für dich. Freut mich.

:-)

Thomas

[Helmut Hullen]

Hallo, Thomas,

Du meintest am 28.09.11:

>>> Der korrekte Terminus wäre demnach wohl wahrscheinlich gewesen

>>> "c't empfiehlt: "das Anlegen eines zweiten Nutzerkontos mit
>>> eingeschränkten Rechten lohnt nicht mehr und nervt eher"

>> Nein - die c't hat nichts empfohlen.

> Also dann:
> "c't: "das Anlegen eines zweiten Nutzerkontos mit
> eingeschränkten Rechten lohnt nicht mehr und nervt eher"

Eben - es reicht, den Text zu nehmen, den der Redakteur selbst
geschrieben hat.

> Vermutlich ist der ganze Thread ein richtiger Spaß für dich. Freut
> mich.

Eher nicht - leider.
Mich befremdet, dass hier jemand keinerlei Bedenken hat, mit frei
erfundenen Behauptungen Rufmord zu betreiben. Trotz vielfacher Hinweise,
dass seine Behauptungen frei erfunden sind.

Viele Gruesse!
Helmut

[Christoph Schneegans]

Hans-Peter Matthess schrieb:

> Die alte Empfehlung ist aber tatsächlich überholt, denn seit Vista
> gibt es nur noch eingeschränkte Konten.

Das ist nicht der Grund, den die c't anführt, weder im Artikel aus
c't 20/2011 noch in der Antwort auf den Leserbrief. Vielmehr wird
als Grund für die Empfehlung angegeben, daß es Schadsoftware gebe,
die mit eingeschränkten Rechten ebensogut laufe wie mit
Administratorrechten, so daß überhaupt kein Grunde mehr bestehe,
sich mit "nervigen" Benutzerrechten zu befassen, mithin also immer
als Administrator gearbeitet werden sollte. Diese Argumentation paßt
auf getrennte Administrator- und Benutzerkonten unter XP ebensogut
wie auf ein durch UAC geschütztes Administratorkonto unter 7 und
Vista. Hätte die c't etwas anderes sagen wollen, hätte sie UAC
explizit erwähnen müssen – hat sie aber nicht.

Der Leserbriefschreiber verwendete übrigens offenkundig selber UAC,
denn er berichtete freudig darüber, daß Installations-Programme
inzwischen so schlau seien, daß der Benutzer nur sein Kennwort
eingeben müsse. Und genau darauf antwortete die c't mit dem Hinweis
auf moderne Schadsoftware, die keine Administratorrechte mehr
benötigt! Man muß man wohl davon ausgehen, daß die c't UAC in ihren
Überlegungen durchaus berücksichtigt hat und gleichfalls als
überflüssig ansieht.

Die c't empfiehlt also sogar, mit einem Administratorkonto zu
arbeiten und UAC abzuschalten, falls vorhanden.

> In welchem Konto auch immer man arbeitet, es ist eingeschränkt!

Du solltest wissen, daß die alberne UAC eine echte Kontentrennung
nicht ersetzen kann (und dafür auch nicht entworfen wurde).

--
<http://schneegans.de/web/xhtml/> · Klare Antworten zu XHTML

[Helmut Hullen]

Hallo, Christoph,

Du meintest am 28.09.11:

>> Die alte Empfehlung ist aber tatsächlich überholt, denn seit Vista
>> gibt es nur noch eingeschränkte Konten.

> Das ist nicht der Grund, den die c't anführt, weder im Artikel aus
> c't 20/2011 noch in der Antwort auf den Leserbrief. Vielmehr wird
> als Grund für die Empfehlung angegeben,

Da gibt es nirgendwo eine Empfehlung der c't.

> daß es Schadsoftware gebe, die mit eingeschränkten Rechten ebensogut
> laufe wie mit Administratorrechten, so daß überhaupt kein Grunde mehr
> bestehe, sich mit "nervigen" Benutzerrechten zu befassen,

Soweit korrekt zitiert.

> mithin also immer als Administrator gearbeitet werden sollte.

Und das hast Du immer noch frei erfunden. Offensichtlich nur, um zu
diffamieren.

Viele Gruesse!
Helmut

[Stefan Kanthak]

"Hans-Peter Matthess" <hp...@t-online.de> schrieb:

> Stefan Kanthak:
>
>>> Ich sehe es so wie Ziegler hier:
>>> http://www.winvistaside.de/forum/index.php?showtopic=3030
>
>> VOELLIG IRRELEVANT!
>
> Was da geschrieben steht, ist eine zutreffende Zusammenfassung,
> ist also nicht irrelevant.

Information aus dritter Hand ist bei vorhandener Dokumentation aus erster
Hand irrelevant!

>> Lies die vom Verbrecher der sog. UAC veroeffentlichte Dokumentation.
>
> Ich hab mittlerweile genügend aus Technet/MSDN/Rosinenfitsch & Co
> darüber gelesen. Es reicht.
>
>>> Und das ist halt kein Dummfug, ganz einfach.
>
>> DOCH, DU VERBREITEST VOELLIGEN BLOEDSINN!
>
> Ich verbreite nur, dass Adminkonten per Default eingeschränkte Userrechte
> haben und erhöhte Rechte blockiert werden bzw. der Zustimmung bedürfen.

Falsch! Du hast konkret folgendes verbreitet:

| denn seit Vista gibt es nur noch eingeschränkte Konten. In welchem Konto
| auch immer man arbeitet, es ist eingeschränkt!

Und das ist falsch, in mehrfacher Hinsicht.

1. gibt es unter eNTe auch bei eingeschalteter UAC noch immer DAS
"Administrator"-Konto (das es per Default deaktiviert ist spielt
fuer Deine Pauschal-Aussage keine Rolle).

2. ist es unter eNTe 6.1 bei eingeschalteter UAC wurscht, das ein
Benutzer-Konto durch UAC "eingeschraenkt" ist: Aktionen werden
nicht vom Benutzer-Konto durchgefuehrt, sondern von Programmen.
Und bei etwa 70 Standard-Programmen ist die Einschraenkung AUSSER
Kraft!

3. hast Du vergessen, dass UAC (komplett, oder nur deren Nachfragen)
abschaltbar ist!

> Das ist die Situation wie sie sich seit Vista darstellt und kein Blödsinn.
> Zudem arbeite ich als "Versuchskaninchen" seit Vista nur noch in Adminkonten
> und mache alle Tests, auch mit Malware, nur dort.

Du machst Dir die Welt halt wie sei Dir gefaellt.

[Hans-Peter Matthess]

Stefan Kanthak:

>>>> http://www.winvistaside.de/forum/index.php?showtopic=3030

>>> VOELLIG IRRELEVANT!

>> Was da geschrieben steht, ist eine zutreffende Zusammenfassung,
>> ist also nicht irrelevant.

> Information aus dritter Hand ist bei vorhandener Dokumentation aus erster
> Hand irrelevant!

Aaach, die gut verständliche korrekte Zusammenfassung schwer lesbarer,
englischer Kost kann nich irre levant sein!

>> Ich verbreite nur, dass Adminkonten per Default eingeschränkte Userrechte
>> haben und erhöhte Rechte blockiert werden bzw. der Zustimmung bedürfen.

> Falsch! Du hast konkret folgendes verbreitet:

>| denn seit Vista gibt es nur noch eingeschränkte Konten. In welchem Konto
>| auch immer man arbeitet, es ist eingeschränkt!

Eine bewusst einfach formulierte Kurzform.

> Und das ist falsch, in mehrfacher Hinsicht.
>
> 1. gibt es unter eNTe auch bei eingeschalteter UAC noch immer DAS
> "Administrator"-Konto (das es per Default deaktiviert ist spielt
> fuer Deine Pauschal-Aussage keine Rolle).
>
> 2. ist es unter eNTe 6.1 bei eingeschalteter UAC wurscht, das ein
> Benutzer-Konto durch UAC "eingeschraenkt" ist: Aktionen werden
> nicht vom Benutzer-Konto durchgefuehrt, sondern von Programmen.
> Und bei etwa 70 Standard-Programmen ist die Einschraenkung AUSSER
> Kraft!
>
> 3. hast Du vergessen, dass UAC (komplett, oder nur deren Nachfragen)
> abschaltbar ist!

Das steht nicht im Widerspruch zu obiger Kurzform, sondern ist eine
Ergänzung, wobei Punkt 2 änderbar ist.

>> Das ist die Situation wie sie sich seit Vista darstellt und kein Blödsinn.
>> Zudem arbeite ich als "Versuchskaninchen" seit Vista nur noch in Adminkonten
>> und mache alle Tests, auch mit Malware, nur dort.

> Du machst Dir die Welt halt wie sei Dir gefaellt.

Ich nehme derzeit halt das an, was MS mir mit Vista/7 auftischte und
verwende es so, wie Ziegler es in seinem Artikel beschreibt und auch
empfiehlt. Für mich gilt: Nie war Windows angenehmer zu benutzen als mit
UAC. Ein gewaltiger Fortschritt.

[Hans-Peter Matthess]

Christoph Schneegans:

>> In welchem Konto auch immer man arbeitet, es ist eingeschränkt!

> Du solltest wissen, daß die alberne UAC eine echte Kontentrennung
> nicht ersetzen kann (und dafür auch nicht entworfen wurde).

Doch, sie ersetzt *mir als Admin* die umständliche Kontentrennung.
Nicht-Admins bekommen natürlich ihr Standardkonto.
Und albern ist daran nichts, siehe:
http://www.winvistaside.de/forum/index.php?showtopic=3030

[Christoph Maercker]

Stefan Kanthak wrote:
> Zu dumm, dass Du es nicht richtig probiert hast!

Ich bin nicht Betatester von M$.

> Dein Problem, dass Du minderwertige Anwendungen einsetzt, die zum
> Einspielen ihrer Updates Administrator-Rechte vom Benutzer verlangen!

Dann scheinen die teuersten Anwendungen wohl die minderwertigsten zu
sein. Die machen bei Updates häufig die meisten Probleme.

>> Weil ich Mozilla-Browser oder Chromium nutze?

> Sagte ich doch: minderwertiges kaputtes Zeux.

Ach ja, IE ist natürlich ganz super. Und vor allem so unheimlich
transparent.

> Nimm Opera, dessen Aktualisierung kann ein Benutzer anstossen.

Möglicherweise geht das bei anderen Browsern/Apps ebenfalls, alles eine
Frage des HowTo.

> Dafuer mit Mozilla und Google? Und deren minderwertiger Software,

[x] Du weißt nicht mal, dass Chromium nicht von Google kommt. Aber große
Schnauze und beleidigen wollen:

> Darf ich Dich als Vollidioten bezeichnen?

Darf ich Dir ein *PLONK* anbieten?

> DU hast diese kaputte Software bereits gefunden, denn Du hast sie
> installiert!

[x] Du kannst nicht lesen. Es handelt sich um grundverschiedene Probleme.

>> Funktioniert hat's bei nur bisher nur unter W7.

> Dein Problem.

Nich nur. Andere haben mir gerade bestätigt, dass sie unter XP damit
ebenfalls Probleme hatten.

> Nicht nur hier[tm] funktioniert das seit ueber 10 Jahren!

Nicht nur bei mir funktioniert das seit ueber 10 Jahren schlecht bis gar
nicht!

--


CU Christoph Maercker.

[Stefan Kanthak]

"Christoph Maercker" <Eva.Ry...@gmx.net> schrieb:

> Stefan Kanthak wrote:
>> Zu dumm, dass Du es nicht richtig probiert hast!
>
> Ich bin nicht Betatester von M$.

Falsch.
Du waerst Betatester fuer die Verbrecher der minderwertigen Software!
Die "Designed for Windows"-Richtlinien sind ueber 16 Jahre alt.

>> Dein Problem, dass Du minderwertige Anwendungen einsetzt, die zum
>> Einspielen ihrer Updates Administrator-Rechte vom Benutzer verlangen!
>
> Dann scheinen die teuersten Anwendungen wohl die minderwertigsten zu
> sein. Die machen bei Updates häufig die meisten Probleme.

Je "profesioneller" der Preis desto schlimmer sind solche Anwendungen
typischerweise.
Dummerweise wollen Muellionen von Vollidioten nicht auf diese
minderwertigen kaputten Anwendungen verzichten, werfen deren Verbrechern
weiterhin Geld in den Rachen und fordern sie nicht zur ihnen zustehenden
Nachbesserung der mangelhaeften Produkte auf. YGWYPF.

>>> Weil ich Mozilla-Browser oder Chromium nutze?
>
>> Sagte ich doch: minderwertiges kaputtes Zeux.
>
> Ach ja, IE ist natürlich ganz super. Und vor allem so unheimlich
> transparent.

Schrieb ich schon mal, dass Du ganz offensichtlich ein Vollidiot bist?
Habe ich irgendwo irgendwas zum IE geschrieben?
Und was auch immer Du mit unheimlich transparent sagen willst: lass es!

Am IE wie auch an MSOffice, MSSQLServer etc. ist ganz super, dass sie wie
alle anderen Windows-Komponenten ueber die "automatischen Updates" stets
aktuell gehalten werden, auch ohne Eingriff eines "Administrators".

An "Windows/Microsoft Update" ist ganz uebel, dass MOFT dieses nicht
fuer andere Anbieter oeffnet.

>> Nimm Opera, dessen Aktualisierung kann ein Benutzer anstossen.
>
> Möglicherweise geht das bei anderen Browsern/Apps ebenfalls, alles eine
> Frage des HowTo.

Die Vollidioten von Mozilla, Google, Adobe, ... koennten es schon laengst
so implementiert haben: RunAs.Exe gibt's seit ueber 10 Jahren.

>> Dafuer mit Mozilla und Google? Und deren minderwertiger Software,
>
> [x] Du weißt nicht mal, dass Chromium nicht von Google kommt.

Genau.
Chromium basiert nur ein ganz winzig kleines bisschen auf Google Chrome.

[...]

>> DU hast diese kaputte Software bereits gefunden, denn Du hast sie
>> installiert!
>
> [x] Du kannst nicht lesen. Es handelt sich um grundverschiedene Probleme.

Falsch.
Du behauptest, Arbeiten in einem "eingeschraenkten" Benutzerkonto sei
nicht moeglich, und fuehrst dann minderwertige und mangelhafte Applikation
an, bei denen die Aktualisierung nicht funktioniert.

>>> Funktioniert hat's bei nur bisher nur unter W7.
>
>> Dein Problem.
>
> Nich nur. Andere haben mir gerade bestätigt, dass sie unter XP damit
> ebenfalls Probleme hatten.

Die sollen sich genau wie Du einen faehigen Administrator suchen, der
ihnen ihren PC einrichtet. Dann klappt das, OHNE Probleme.

>> Nicht nur hier[tm] funktioniert das seit ueber 10 Jahren!
>
> Nicht nur bei mir funktioniert das seit ueber 10 Jahren schlecht bis gar
> nicht!

Fuer Deine Unfaehigkeit kann ich nichts: wirf die kaputte Software weg,
oder fordere deren Hersteller zur Nachbesserung auf.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.

[Christoph Schneegans]

Hans-Peter Matthess schrieb:

> http://www.winvistaside.de/forum/index.php?showtopic=3030

Ein langatmiger Text voller Gebetsmühlen-Sprüche.

Am Ende kommt der Autor zu der bahnbrechenden Erkenntnis, daß man,
wenn man seine täglichen Arbeiten bekloppterweise als Administrator
erledigt, durch UAC zumindest ein bißchen vor der eigenen
Beklopptheit geschützt wird. Dem will ich nicht widersprechen.

--
<http://schneegans.de/web/kanonische-adressen/> · Gute URLs