Hallo, Juergen,
Du meintest am 05.01.16:
>>>>> Einfache Benutzer-Accounts fuer das alltaegliche
>>>>> arbeiten/spielen/... und zu- saetzlich Administrator-Accounts,
>>>>> die *ausschliesslich* fuer administrative Aufgaben verwendet
>>>>> werden. Kein arbeiten/spielen mit erweiterten Rechten.
>>>> Windows bietet im Kontext-Menu "Als Administrator ausführen" an.
>>> ... und das zaehlt auch als "als Administrator arbeiten" (zumindest
>>> was dieses als Admin ausgefuehrte Programm betrifft).
>> Mein Reden ...
> Vorher hast du noch nahezu das Gegenteil behauptet ...
Wo denn, wie denn?
>>>> Schon bei der Installation muss ich bei Windows des öfteren
>>>> (meistens?) mit Admin-Rechten arbeiten.
>>> Installation von Software ist eine administrative Taetigkeit.
>> Nicht unbedingt.
> Doch, genau das installieren von Software ist Administration.
Bestenfalls für den Sonderfall "Installieren im Microsoft-Sinn". Denn
genau diesen Spezialfall darf bei Microsoft seit einigen Versionen nur
jemand mit Admin-Rechten (die sich Otto Endanwender kinderleicht
beschaffen kann).
>> Nicht jede Software muss im Windows-Sinn "installiert" werden.
> Das kommt darauf an, wie restriktiv das System konfiguriert ist.
Da waren wir doch schon mehrfach: Otto Endanwender kann diese
Restriktionen einrichten, und er kann sie abschalten oder umgehen.
>> Und wenn ich Programme von der CD oder vom USB-Stick o.ä. starte,
>> dann brauche ich (auch) nicht unbedingt Admin-Rechte.
> Wenn du die Programme ausfuehren kannst ohne sie zu installieren,
> dann ist die Ausfuehrung keine administrative Taetigkeit und daher
> auch nicht mit Admin-Rechten auszufuehren.
Eben - Spezialfall "Installieren im Microsoft-Sinn". Etliche Programme
lassen sich auch benutzen ("ausführen"), ohne dass sie auf diesem
seltsamen Weg "installiert" worden sind. Da hilft Deine "restriktive
Konfiguration" nicht.
> Das alles sind keine
> Gegenbeispiele fuer das was ich geschrieben habe: Installation von
> Software ist eine administrative Taetigkeit.
"Installation im Microsoft-Sinn".
Was ein Pleonasmus ist, denn Microsoft benutzt diesen Begriff neuerdings
für den Spezialfall, dass Admin-Rechte benötigt werden.
>>> Dafuer gilt:
>>> 1. ist mit Administrator-Rechten auszufuehren
>>> 2. wird nur vom zustaendigen Administrator und nicht von
>>> jedem beliebigen Benutzer ausgeufehrt
>> Auf Otto Endanwenders Rechner bei ihm zuhause ist er sowohl
>> "Beliebiger Benutzer" als auch Administrator.
> Nutzt er den Administrator-Account, ist er Administrator, nutzt er
> seinen normalen User-Account, ist er User. So schwer verstaendlich
> ist das nun wirklich nicht. Das nennt sich auch "rollenbasierte
> Rechteverteilung" oder einfach "Rechtetrennung".
Ein wunderschönes Modell, das die realen Probleme für den Fall der
Personalunion übertünchen soll. Die Fähigkeiten und Schwächen der Person
ändern sich nun mal nicht dadurch, dass sie den Hut wechselt.
>> Wenn er sich übertölpeln lässt, wenn er Fehler macht: das kann er
>> auch als Administrator.
> Als Administrator hat er kritischer und sorgfaeltiger mit seinem
> System umzugehen.
So - hat er das? Was passiert ihm denn, wenn er nicht so mit dem System
umgeht?
Du wechselst mal wieder von der Realität zum Wunschdenken.
> Das gehoert dazu (genau wie es dazu gehoert, dass
> ein Busfahrer als Busfahrer anders fahren muss als er es als
> PKW-Fahrer in seinem PKW auf den Strassen darf).
Endlich wieder ein (wieder mal) untaugliches Auto-Beispiel.
Du kennst die Begriffe Führerschein, StVO, Ordnungswidrigkeit etc. aus
dem Auto-Bereich? Und ihre Äquivalente bei Rechnern und deren Benutzung?
> Es sind zwei
> verschiedene Rollen, und in denen hat er sich der jeweiligen Rolle
> entsprechend zu verhalten. Bei Leuten, die das Konzept verstanden
> haben, funktioniert das auch.
Und dann gibt es noch die vielen anderen ...
>>> 3. der Administrator hat dabei (wie bei allem was er tut)
>>> *mehrmals* *gruendlich* darueber nachzudenken, was er tut
>>> und ob die
>>> Software auch wirklich benoetigt wird (und ob er dem
>>> Herausgeber dieser Software genuegend vertraut, um dessen
>>> Produkte einzusetzen)
>>
>> Schöner Witz!
> Das ist kein Witz sondern funktionierende Praxis, nicht nur bei mir
> sondern bei nahezu allen wirklich kompetenten Windows-Nutzern, die
> ihre Rechner selbst administrieren (wenn du es anders machst, fehlt
> es dir an Kompetenz).
Aha - wir arbeiten jetzt mit dem diffusen und schwer bis gar nicht
quantifizierbaren Begriff "Kompetenz"! Rhetorik für Anfänger ...
Vermutlich hältst Du Dich für kompetent, wo und wie auch immer.
Dazu fällt mir zuallererst "Annie get your gun" ein: "Alles, was Du
kannst, das kann ich viel besser!"
>> Zudem: selbiges Vertrauen ist schon von vielen Herausgebern
>> enttäuscht worden - "Vertrauen ist gut, Kontrolle ist besser!"
> Deswegen kontrolliert ein Malware-Autor auch, ob sein MAchwerk denn
> von daengigen Scannern erkannt wird und veroeffentlicht es ansonsten
> gar nicht (bzw. modifiziert es so lange, bis es nicht mehr erkannt
> wird). Warum wohl dauert es zwischen mehrerehn Stunden bis zu
> mehreren Wochen, bis manche Malware von den gaengigen Scannern
> erkannt wird? Weil die Autoren vonMalware nicht so bescheuert sind,
> wie du zu glauben scheinst.
Hmmm - Microsofts Betriebssysteme als Malware zu diffamieren ist doch
etwas grob.
Trotz vermutlich intensiver Prüfung geht da mal ein Schuss in den Ofen.
Auch ohne Beteiligung von Virenscannern.
>> Zudem: Software kann Fehler haben, auch Software von
>> "vertrauenswürdigen Herausgebern".
> Besonders auch bei den Autoren von Virenscannern. Man holt sich mit
> dem Kram also eine zusaetzliche Fehlerquelle auf den Rechner ...
>>> Auch ein Admin kann Fehler machen, aber dagegen hilft5 auch kein
>>> Virenscanner (bzw. wenn ein Virenscanner da Abhilfe schaffen
>>> koennte, ist der Admin als Admin untauglich).
>> Mal wieder grandiose Schwarz-Weiss-Malerei!
> Nein, eine simple Tatsache.
Admins machen Fehler, so wie jeder Mensch. Das ist komplett unabhängig
von Virenscannern. Aber Du brauchst ja einen Abwehr-Zauber ...
>> Ein Virenscanner kann einen Teil der Arbeit erledigen. Oft besser
>> als der Admin.
> Wenn letztetres zutrifft, sollte sich der Admin ein Betaetigungsfeld
> suchen, auf dem er mehr Kompetenz aufweisen kann, als Admin ist er
> dann jedenfalls untauglich.
Und schon wieder ein Totschlag-Argument, angeknüpft an den beliebten
Ausweg, einzig Virenscanner zu verteufeln.
Noch mal: ich betrachte Virenscanner als 1 Komponente eines
Sicherheitskonzepts, nicht als einzige.
Am Rande: wie schützt Du das von Dir als Admin betreute System vor
Fehlern, die der Admin begangen hat?
"Admin" darf sich übrigens jeder nennen, das ist keine geschützte
Berufsbezeichnung. Das beschreibt insbesondere weder Pflichten noch
Qualifikation. Nur Funktion.
>>>>> Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies)
>>>>> verwenden (sind auf den Microsoft Webseiten und moeglicherweise
>>>>> in der Windows-Hilfe beschrieben). "SAFER" ist eine Methode, das
>>>>> anzuwenden.
>>>> Lässt sich mit Admin-Rechten aushebeln. Also kann auch Otto
>>>> Endanwender das.
>>> Otto Endanwender kann das nur, wenn er Administrator-Rechte
>>> besitzt.
>> Die hat er, auf seinem Rechner zuhause.
> Dann nuetzt der Scanner auch nichts, denn den kann er mit de3n selben
> Admin- Rechten auch beliebig ausschalten ("musste ich ja, sonst
> konnte ich das tolle Spiel nicht starten ...").
Schön, dass Du mir (wenn auch indirekt) zustimmst, dass der Admin bei
Windows alle Sicherheitskonzepte aushebeln kann.
Und schon wieder der Ausweg, auf dem Virenscanner herumzutrampeln - das
ist nur 1 Komponente.
>>> und da hilft ihm auch kein Virenscanner weiter (den er mit Admin-
>>> Rechten mindestens genauso leicht ab- schalten kann).
>> Mein Reden ... die auch von Dir so hochgelobten Schutzmechanismen
>> lassen sich recht einfach ausschalten. Ist wie mit der Stadtmauer
>> von Troja - die wurde von den Bürgern Trojas plattgemacht, weil sie
>> unbedingt das Pferd haben wollten.
> Und das spricht jetzt inwiefern fuer Virenscanner (abgesehen von
> "ueberhaupt nicht" meine ich)???
???
Wo und wie habe ich Virenscanner als (einzigen) Schutzmechanismus
propagiert? Den benutzt Du doch nur als (untauglichen) Abwehrzauber, um
Dein Sicherheitskonzept aufzuhübschen.
Viele Gruesse!
Helmut