Virenschutz: Zwischen Sicherheit und Systembremse

[Thorsten Klein]

Hallo und frohes neues.

Ich nutze auf Win10 den Defender und unter Win7 die MSE.
Ich kann mich an Diskussionen vor einigen Jahren hier oder in einer
Nachbargruppe erinnern, wo es hiess "MSE reicht und liefert gute
Ergebnisse, alles andere bremst zu sehr".

Nun merke ich seit einiger Zeit und erst Recht nach Umstieg auf W10 bei
einem Rechner stark angezogene Bremsen in meinem System.
In den FAQ vom XYplorer (Free ect.), welchen ich standardmässig zuhause
und im Büro nutze, steht, dass der Defender/MSE stark bremsen und man
deshalb zwei Dateien (xyplorer.exe und xycopy.exe) in die Ausnahmeliste
vom Defender aufnehmen soll.

Im Büro (W7) merke ich diese Bremse nicht wirklich, es könnte aber auch
daran liegen, dass wir dort keine wirklich kleine Dateien haben (wie
z.B. ein Thunderbird Profil oder Treiberverzeichnisse) - wenn davon jede
Datei gescannt wird, bremst es logischerweise - Oder dass das Netz im
Büro physikalisch eher langsam ist.

Kann jemand bestätigen, dass Defender bremst? Vielleicht noch etwas mehr
als MSE?
Irgendwelche Tips, wie man die Bremse bestmöglich löst, ohne ein
unsicheres System zu haben?

Danke & Gruss,
Thorsten

[Stefan Kanthak]

"Thorsten Klein" <du....@ich-tarzan.de> schrieb:

> Hallo und frohes neues.
>
> Ich nutze auf Win10 den Defender und unter Win7 die MSE.

[...]

> Kann jemand bestätigen, dass Defender bremst? Vielleicht noch etwas mehr
> als MSE?

Ja & nein.
JEDER "on-access" Scanner bremst.
Auf 10 Jahre alter Hardware mit Pentium 4 Single Core deutlichst,
mit Pentium 4 Dual Core spuerbar, auf 5 Jahre alter Hardware mit
Core 2 Duo noch messbar, aber nicht spuerbar.

> Irgendwelche Tips, wie man die Bremse bestmöglich löst, ohne ein
> unsicheres System zu haben?

KEIN Virenscanner kann ein System sicher machen!
ALLE Virenscanner sind als Schutzmassnahme UNTAUGLICH.

<http://www.asd.gov.au/infosec/top35mitigationstrategies.htm>

| At least 85% of the targeted cyber intrusions that the Australian
| Signals Directorate (ASD) responds to could be prevented by following
| the Top 4 mitigation strategies listed in our Strategies to Mitigate
| Targeted Cyber Intrusions:
| * use application whitelisting to help prevent malicious software and
| unapproved programs from running
| * patch applications such as Java, PDF viewers, Flash, web browsers
| and Microsoft Office
| * patch operating system vulnerabilities
| * restrict administrative privileges to operating systems and
| applications based on user duties.

Falls Dir das IT-Grundschutzhandbuch des Bundesamtes fuer Sicherheit
in der Informationstechnik lieber ist: dort findest Du diese 4 Regeln
ebenfalls, nur nicht so einfach zusammengefasst.

Falls Dir (abstrakte) Anleitungen des Betruebssystem-Hersteller lieber
sind: <https://technet.microsoft.com/de-de/magazine/2008.06.srp.aspx>
<https://technet.microsoft.com/de-de/aa940985.aspx>

Falls Du konkrete Anleitungen bevorzugst:
<http://mechbgon.com/srp/index.html>
<http://home.arcor.de/skanthak/SAFER.html>

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


--- news://freenews.netfront.net/ - complaints: ne...@netfront.net ---

[Helmut Hullen]

Hallo, Stefan,

Du meintest am 03.01.16:

> KEIN Virenscanner kann ein System sicher machen!

Auch keine sonstige einzelne Schutzmassnahme.

> ALLE Virenscanner sind als Schutzmassnahme UNTAUGLICH.

Das mag für kleine Werte von "alle" zutreffen.

Ach ja - es gibt keine 100-prozentige Sicherheit. Nur das ist sicher.

Viele Gruesse!
Helmut

[Thorsten Klein]

Am 03.01.2016 um 17:16 schrieb Stefan Kanthak:
> Ja & nein.
> JEDER "on-access" Scanner bremst.

Ist mir bewusst. Aber nicht jeder gleich.

> KEIN Virenscanner kann ein System sicher machen!
> ALLE Virenscanner sind als Schutzmassnahme UNTAUGLICH.
>
> <http://www.asd.gov.au/infosec/top35mitigationstrategies.htm>
>
> | At least 85% of the targeted cyber intrusions that the Australian
> | Signals Directorate (ASD) responds to could be prevented by following
> | the Top 4 mitigation strategies listed in our Strategies to Mitigate
> | Targeted Cyber Intrusions:
> | * use application whitelisting to help prevent malicious software and
> | unapproved programs from running
> | * patch applications such as Java, PDF viewers, Flash, web browsers
> | and Microsoft Office
> | * patch operating system vulnerabilities
> | * restrict administrative privileges to operating systems and
> | applications based on user duties.

Und was davon benutzt Du?
Btw, Punkt 4 mache ich seit langem so, Punkt 2&3: *wie* patchen?

[Stefan Kanthak]

"Thorsten Klein" <du....@ich-tarzan.de> schrieb:

Alles.
Ist der Verweis auf <http://home.arcor.de/skanthak/SAFER.html> SOOO
schwer zu verstehen?

> Btw, Punkt 4 mache ich seit langem so, Punkt 2&3: *wie* patchen?

Windows/Microsoft Updates automatisch herunterladen und beim
Herunterfahren installieren lassen.
Bei anderem Zeux benachrichtigen lassen, wenn Updates verfuegbar
sind (Standardbenutzer koennen diese ja nicht installieren, also
wuerde jegliche Automatik scheitern). Schwachsinniges Zeux wie
"Mozilla Maintenance Service" oder "Google Update" niemals
nutzen resp. niemals installieren.

[Helmut Hullen]

Hallo, Stefan,

Du meintest am 03.01.16:

>>> | At least 85% of the targeted cyber intrusions that the Australian
>>> | Signals Directorate (ASD) responds to could be prevented by
>>> following | the Top 4 mitigation strategies listed in our
>>> Strategies to Mitigate | Targeted Cyber Intrusions:
>>> | * use application whitelisting to help prevent malicious software
>>> and | unapproved programs from running
>>> | * patch applications such as Java, PDF viewers, Flash, web
>>> browsers | and Microsoft Office
>>> | * patch operating system vulnerabilities
>>> | * restrict administrative privileges to operating systems and
>>> | applications based on user duties.

>> Und was davon benutzt Du?

> Alles.
> Ist der Verweis auf <http://home.arcor.de/skanthak/SAFER.html> SOOO
> schwer zu verstehen?

Ja, denn er setzt voraus, dass Otto Endanwender nie mit Admin-Rechten
arbeitet. Stattdessen muss er bei Windows des Öfteren mit diesen Rechten
arbeiten, und dann sind alle Tore offen.

Du kennst diesen Schwachpunkt, Du ignorierst ihn.

Zudem scheinst Du felsenfest zu glauben, dass der Administrator sich nie
übertölpeln lässt und nie einen Fehler macht. So etwas als Teil des
Sicherheitskonzepts ist ein Fehler.

Viele Gruesse!
Helmut

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:
>> ALLE Virenscanner sind als Schutzmassnahme UNTAUGLICH.
> Das mag für kleine Werte von "alle" zutreffen.

Kein Virenscanner bietet einen Schutz, den man nicht mindestens genauso
oder besser auch mit Rechtetrennung, restriktiver Konfiguration, Disziplin
und Kompetenz des Admins erreichen koennte. Ja, das ist so trotz der Menge
an untauglichen Gegenargumenten, die du jetzt wieder anfuehren wirst.

> Ach ja - es gibt keine 100-prozentige Sicherheit. Nur das ist sicher.

Es geht auch nicht um 100%igen Schutz, sondern um sinnvolle und taugliche
Massnahmen (Virenscanner fallen eher weniger in diese Kathegorie, und wenn
man schon derartiges einsetzt, dann wenigstens etwas, dass vermutlich nicht
aufgrund von Fehlalarmen das Basissystem lahmlegt, also eher ein Produkt des
Systemherstellers, der die Vertraeglichkeit vonvirenscanner und System hof-
fentlich *vor* jeder Veroeffentlichung von Updates prueft und somit seine
Kunden vor manch unliebsamen Ueberraschungen schuetzt).

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 03.01.16:

>>> ALLE Virenscanner sind als Schutzmassnahme UNTAUGLICH.

>> Das mag für kleine Werte von "alle" zutreffen.

> Kein Virenscanner bietet einen Schutz, den man nicht mindestens
> genauso oder besser auch mit Rechtetrennung, restriktiver
> Konfiguration, Disziplin und Kompetenz des Admins erreichen koennte.

Mal wieder der Vergleich zwischen 1 Massnahme und einem Bündel von
Masnahmen, mal wieder als Alternative dargestellt. Immer noch ein
unsinniger Vergleich.

Ich benutze Virenscanner nicht anstelle der anderen Massnahmen, sondern
als weitere Ergänzung.

U.a. misstraue ich auch der "Kompetenz des Admins". Betrüger sind nun
mal findig.

>> Ach ja - es gibt keine 100-prozentige Sicherheit. Nur das ist
>> sicher.

> Es geht auch nicht um 100%igen Schutz, sondern um sinnvolle und
> taugliche Massnahmen (Virenscanner fallen eher weniger in diese
> Kathegorie,

Aha - "eher weniger". Also doch keine "alles oder nichts"-Alternative.

Viele Gruesse!
Helmut

[Harald Hengel]

Helmut Hullen schrieb:

> Zudem scheinst Du felsenfest zu glauben, dass der Administrator
> sich nie übertölpeln lässt und nie einen Fehler macht. So etwas als
> Teil des Sicherheitskonzepts ist ein Fehler.

Das ist das Prinzip aller Wunderheiler und Gesundbeter.

Grüße Harald

[Harald Hengel]

Thorsten Klein schrieb:

> Am 03.01.2016 um 17:16 schrieb Stefan Kanthak:

>> KEIN Virenscanner kann ein System sicher machen!
>> ALLE Virenscanner sind als Schutzmassnahme UNTAUGLICH.
>>
>> <http://www.asd.gov.au/infosec/top35mitigationstrategies.htm>

Ach, Kanthack, der selbsterannte Gott des Usenet.

Mir hat er verboten Linux zu benutzen, weil er angeblich am Kernel
mitgearbeitet hat.

Meinem Usenet Anbieter hat ihn gesperrt weil er demmit Klagen gedroht
hat, sowie Beschwerden an dessen Provider geschrieben hat.

Der Mann braucht einen guten Psychiater.
Der Mann ist krank.

Grüße Harald

[Harald Hengel]

Juergen Ilse schrieb:

> Kein Virenscanner bietet einen Schutz, den man nicht mindestens
> genauso oder besser auch mit Rechtetrennung,

Rechtetrennung?
Wo im Windows Handbuch wird das beschrieben?
Ach, ich vergaß es gibt seit Jahren kein Handbuch mehr.

> restriktiver Konfiguration,

Wo im Windows Handbuch wird das beschrieben?
Ach, ich vergaß es gibt seit Jahren kein Handbuch mehr.

> Disziplin

Äh ja.
Kannst du mal erklären wie das aussieht?

Ein toller Begriff.
Für einen katholischen Priester kann er bedeuten, immer pünktlich
seine Andacht zu halten.
Meinst du das hilft bei Windows.

> und Kompetenz des Admins

Wer ist denn Admin?
Ich kenne nur Armin.

> erreichen koennte.

Könnte ist das richtige Wort.

Kann wäre aber das Ziel.

> Ja, das ist so trotz der Menge an untauglichen
> Gegenargumenten, die du jetzt wieder anfuehren wirst.

Ausser dümmlichen Geschwafel kommt doch nichts von dir.
Welche Argumente hast du denn?

Hast du mal einen Fahrplan, mit dem Normalanwender das hinbekommen
kann?
Und bitte nur Verweise auf als vertrauenwürdig einstufbare Seiten.

>> Ach ja - es gibt keine 100-prozentige Sicherheit. Nur das ist
>> sicher.
>
> Es geht auch nicht um 100%igen Schutz,

Ein paar Viren auf deinem Rechner sind dir egal?

> sondern um sinnvolle und taugliche Massnahmen

Und das wären?
Bitte etwas was der ONU auch verstehen und umsetzen kann.

> (Virenscanner fallen eher weniger in diese
> Kathegorie,

Und warum nicht.
Weil du es behauptest?

Ich kenne keine etablierte Fachzeitschrift, die dem ONU empfiehlt
keinen Virenscanner zu verwenden.

Kannst du welche benennen?

Selbst Microsoft empfiehlt Virenscanner, warnt wenn keiner gefunden
wird.

Du weißt mehr als der Betriebssystemhersteller?

> und wenn man schon derartiges einsetzt, dann wenigstens
> etwas, dass vermutlich nicht aufgrund von Fehlalarmen das
> Basissystem lahmlegt,

Ach je, wieder diese Leier.
Microsoft hat es sogar ohne Virenscanner geschafft.

Du bist also überzeugt ein durch einen Virus totgelegtes System ist
weniger schlimm als ein durch einen Fehler des Scanerherstellers tot
gelegtes?

> also eher ein Produkt des Systemherstellers,

Welches ebenso Mängel aufweist wie die anderen.

> der die Vertraeglichkeit vonvirenscanner und System hof- fentlich
> *vor* jeder Veroeffentlichung von Updates prueft und somit seine
> Kunden vor manch unliebsamen Ueberraschungen schuetzt).

ROTFL.

Wie gut Microsoft seine Updates prüft hat man in der Vergangenheit oft
genug erleben dürfen.

Du bist Virenprogrammierer?

Anders kann ich deine Einstellung nicht nachvollziehen.

Grüße Harald

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:
> Juergen Ilse schrieb:
>> Kein Virenscanner bietet einen Schutz, den man nicht mindestens
>> genauso oder besser auch mit Rechtetrennung,
> Rechtetrennung?
> Wo im Windows Handbuch wird das beschrieben?

Einfache Benutzer-Accounts fuer das alltaegliche arbeiten/spielen/... und zu-
saetzlich Administrator-Accounts, die *ausschliesslich* fuer administrative
Aufgaben verwendet werden. Kein arbeiten/spielen mit erweiterten Rechten.
Software, die zwingend Admin-Rechte braucht, entsorgen oder sie beim Hersteller
als defekt / nicht mit Microsoft Desig Richtlinien konform melden und sie dann
mit dieser Begruendung zurueckgeben. Ja, gute Software fuer den "End-User"
laeuft auch ohne Admin-Rechte.

>> restriktiver Konfiguration,
> Wo im Windows Handbuch wird das beschrieben?
> Ach, ich vergaß es gibt seit Jahren kein Handbuch mehr.

Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies) verwenden
(sind auf den Microsoft Webseiten und moeglicherweise in der Windows-Hilfe
beschrieben). "SAFER" ist eine Methode, das anzuwenden.

>> Disziplin
> Äh ja.
> Kannst du mal erklären wie das aussieht?

Sich daran halten, den Administrator.Account nur fuer administratie Zwecke
zu verwenden, bei allem was man mit Admin-Recten tut, mermals *vorher*
darueber nachdenken was man da tut, wenn man nicht das noetige Wissen fuer
kompetente Administration des Systems hat, diese Aufgabe an jemanden deleg-
gieren, der das noetige Wissen hat (den man notfalls mittels Bezahlung
dazu bringt, diese Aufgabe zu uebernehmen).

> Meinst du das hilft bei Windows.

Das hilft bei so ziemlich *jedem* System.

>> und Kompetenz des Admins
> Wer ist denn Admin?

Derjenige, der das System administriert.

> Hast du mal einen Fahrplan, mit dem Normalanwender das hinbekommen
> kann?
> Und bitte nur Verweise auf als vertrauenwürdig einstufbare Seiten.

Du vertraust a noc nict einmal Artikeln aus dem M$-Technet (wie z.B.
dem, der besagt, dass gegen eine Kompromittierung nur "plattmachen
und neu aufsetzen" hilft).

>> (Virenscanner fallen eher weniger in diese
>> Kathegorie,
> Und warum nicht.
> Weil du es behauptest?

Kann man sich darauf verlassen, dass sie alle Scaedlinge finden? Nein.
Kann man sich wenigstens darauf verlassen, dass jede von diesen Dingern
angemaulte Software auch schaedlich ist? Nein. Egal welches Ergebnis
sie melden: man weiss dadurch ganz genau, dass das System infiziert ist
oder auch nicht. Das weiss ich aber auch voellig ohne diesen Kram.

> Ich kenne keine etablierte Fachzeitschrift, die dem ONU empfiehlt
> keinen Virenscanner zu verwenden.

Etablierte Fachzeitschriften lassen oftmals in manchen Bereichen das
Fachwissen vermissen ...

> Selbst Microsoft empfiehlt Virenscanner, warnt wenn keiner gefunden
> wird.

Weil ein Virenscanner bei voellig verbloedeten Anwendern, die nicht
einen einzigen Punkt der von mir genannten Massnahmen umsetzen, evt.
ein winziges bischen besser sein koennten als gar nichts, und weil
idiotischerweise Virenscanner als "Stand der Technik" angesehen
werden, was bei Firmen gerade bei Versicherung gegen Schaeden in der
EDV relevant sein koennte ...

> Du weißt mehr als der Betriebssystemhersteller?

Diese Empfehlung ist Resignation vor der Bloedheit un Inkompetenz der
Anwender.

>> und wenn man schon derartiges einsetzt, dann wenigstens
>> etwas, dass vermutlich nicht aufgrund von Fehlalarmen das
>> Basissystem lahmlegt,
> Ach je, wieder diese Leier.
> Microsoft hat es sogar ohne Virenscanner geschafft.

Die Faelle, wo das ein Virenscanner geschafft hat, kommen auf die
Anzahl der Faelle, bei denen ein missgluecktes Update das geschafft
hat, dazu ... Es ist ein Vorteil, wenn man sich diese zusaetzlichen
Faelle von "System lahmlegen" ersparen (oder zumindest die Wahrschein-
lichkeit davon reduzieren) kann.

>> also eher ein Produkt des Systemherstellers,
> Welches ebenso Mängel aufweist wie die anderen.

Im Gegensatz zu allen anderen kann der Systemhersteller Updates des
Systems *vor* der Veroeffentlichung auf Vertraeglichkeit mit seiner
"Sicherheitssoftware" testen (und wird das i.d.R. auch tun).

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 04.01.16:

>>> Kein Virenscanner bietet einen Schutz, den man nicht mindestens
>>> genauso oder besser auch mit Rechtetrennung,

>> Rechtetrennung?
>> Wo im Windows Handbuch wird das beschrieben?

> Einfache Benutzer-Accounts fuer das alltaegliche arbeiten/spielen/...
> und zu- saetzlich Administrator-Accounts, die *ausschliesslich* fuer
> administrative Aufgaben verwendet werden. Kein arbeiten/spielen mit
> erweiterten Rechten.

Windows bietet im Kontext-Menu "Als Administrator ausführen" an.

> Software, die zwingend Admin-Rechte braucht,
> entsorgen oder sie beim Hersteller als defekt / nicht mit Microsoft
> Desig Richtlinien konform melden und sie dann mit dieser Begruendung
> zurueckgeben. Ja, gute Software fuer den "End-User" laeuft auch ohne
> Admin-Rechte.

Schon bei der Installation muss ich bei Windows des öfteren (meistens?)
mit Admin-Rechten arbeiten.

Klar - Du scheinst felsenfest dran zu glauben, dass ein Administrator
nie Fehler macht ...

>>> restriktiver Konfiguration,
>> Wo im Windows Handbuch wird das beschrieben?
>> Ach, ich vergaß es gibt seit Jahren kein Handbuch mehr.

> Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies)
> verwenden (sind auf den Microsoft Webseiten und moeglicherweise in
> der Windows-Hilfe beschrieben). "SAFER" ist eine Methode, das
> anzuwenden.

Lässt sich mit Admin-Rechten aushebeln. Also kann auch Otto Endanwender
das.

Viele Gruesse!
Helmut

[Peter Koerber]

Am 04.01.2016 um 13:36 schrieb Juergen Ilse:

> Software, die zwingend Admin-Rechte braucht, entsorgen oder sie beim Hersteller
> als defekt / nicht mit Microsoft Desig Richtlinien konform melden und sie dann
> mit dieser Begruendung zurueckgeben. Ja, gute Software fuer den "End-User"
> laeuft auch ohne Admin-Rechte.
>

Ach ja? In welchem Jahrhundert lebst Du eigentlich? Die Admin-Rechte
werden schon bei der Installation der Software angefordert. Auch bei
Software von Microsoft.

Wenn ich so Dein Elaborat über die Sicherheit lese, dann kommst Du mir
vor wie ein Islamist, der ganz konservativ nur noch nach der Scharia
leben will. Solche Gesundbeter wie Dich habe ich in meiner früheren
Tätigkeit zuerst mal mehrere Wochen in den Keller zum Kabelbau schicken
lassen. Und wenn er sich nicht zum Besseren geändert hat, dann wurde er
entlassen. Mit dem Zeugnis hat er dann nie mehr in einer Grossfirma als
Admin eine Stelle gefunden. Auch KMUs haben sich nicht um ihn gerissen.
Nimmt mich nur wunder, wo Du überhaupt als echter Admin funktionierst?
Peter

[Philipp Schneider]

On Tue, 05 Jan 2016 03:42:00 +0100, Helmut Hullen wrote:


>> Software, die zwingend Admin-Rechte braucht,
>> entsorgen oder sie beim Hersteller als defekt / nicht mit Microsoft
>> Desig Richtlinien konform melden und sie dann mit dieser Begruendung
>> zurueckgeben. Ja, gute Software fuer den "End-User" laeuft auch ohne
>> Admin-Rechte.
>
> Schon bei der Installation muss ich bei Windows des öfteren (meistens?)
> mit Admin-Rechten arbeiten.

Ja.

Wie soll man denn sonst Software _installieren_?

Wenn man zur _Benutzung_ Admin-Rechte braucht, ist es Murks.

[Helmut Hullen]

Hallo, Philipp,

Du meintest am 05.01.16:

>>> Software, die zwingend Admin-Rechte braucht,
>>> entsorgen oder sie beim Hersteller als defekt / nicht mit Microsoft
>>> Desig Richtlinien konform melden und sie dann mit dieser
>>> Begruendung zurueckgeben. Ja, gute Software fuer den "End-User"
>>> laeuft auch ohne Admin-Rechte.

>> Schon bei der Installation muss ich bei Windows des öfteren
>> (meistens?) mit Admin-Rechten arbeiten.

> Ja.

> Wie soll man denn sonst Software _installieren_?

Software muss nicht im "Windows"-Sinn "installiert werden, wozu u.a.
irgendeine Verankerung in der Registry gehört.

Ich kann als unterprivilegierte User auch "portable" Programme benutzen,
ich kann auch Programme von der CD, vom USB-Stick oder aus dem Netz
starten.

> Wenn man zur _Benutzung_ Admin-Rechte braucht, ist es Murks.

Dass "man" zur Installation Admin-Rechte benötigt, ist auch Murks.
Insbesondere bei Rechnern in der alleinigen Verfügung von Endanwendern.

Viele Gruesse!
Helmut

[Stefan Kanthak]

"Philipp Schneider" <foo.ph...@gmail.com> schrieb:

Pack diesen VOELLIG merkbefreiten Volltroll in's Killfile.

> On Tue, 05 Jan 2016 03:42:00 +0100, Helmut Hullen wrote:
>
>
>>> Software, die zwingend Admin-Rechte braucht,
>>> entsorgen oder sie beim Hersteller als defekt / nicht mit Microsoft
>>> Desig Richtlinien konform melden und sie dann mit dieser Begruendung
>>> zurueckgeben. Ja, gute Software fuer den "End-User" laeuft auch ohne
>>> Admin-Rechte.
>>
>> Schon bei der Installation muss ich bei Windows des öfteren (meistens?)
>> mit Admin-Rechten arbeiten.
>
> Ja.

Falsch.
Im Gegensatz zu aelteren/anderen Betruebssystemen, bei denen mit
root-Rechten laufende "Benutzer"-Programme wie pkgadd, rpm, apt die
Installation durchfuehren, erfolgt diese bei Windows durch mit
SYSTEM-Rechten laufende Hintergrund-Dienste: MSIExec.exe alias
"Windows Installer" (frueher "Microsoft Installer") und
TrustedInstaller.exe ("Windows Servicing Stack" alias "Component
Based Servicing", inkl. dem 20 Jahre alten SetupAPI).

Zur Kommunikation mit diesen Diensten gibt's die Benutzerprogramme
MSIExec.exe sowie PkgMgr.exe, DISM.exe, WUSA.exe, PnPUtil.exe, ...
Diese vermitteln/signalisieren i.W. nur vom Aufrufer erteilte Auftraege
zur (De-) Installation. Falls die Durchfuehrung eines solchen Auftrags
den schreibenden Zugriff auf (mittels Rechtetrennung) geschuetzte
Ressourcen (wie %ProgramFiles% oder %SystemRoot%, die Konfiguration
des Systems, ...) voraussetzt, dann muss der Auftraggeber seine
Legitimation fuer den jeweiligen Auftrag nachweisen, indem er das
betreffende Benutzerprogramm mit Administrator-Rechten aufruft.

Also: Rechtetrennung und Kapselung aus dem Bilderbuch.

> Wie soll man denn sonst Software _installieren_?
>
> Wenn man zur _Benutzung_ Admin-Rechte braucht, ist es Murks.

Ebenfalls GROESSTER Murks ist es, wenn man Software in vom Benutzer
schreibbaren Pfaden installiert oder irgendwelches VOELLIG kaputte
DrexZeux wie ausfuehrbare Installationsprogramme, selbst-extrahierende
ausfuehrbare Archive oder "portable" Programme in vom Benutzer
schreibbaren Pfaden aufruft.
Siehe <http://seclists.org/fulldisclosure/2015/Dec/index.html>:
"Executable installers are vulnerable^WEVIL (case ..."

[Helmut Hullen]

Hallo, Stefan,

Du meintest am 05.01.16:

>>> Schon bei der Installation muss ich bei Windows des öfteren
>>> (meistens?) mit Admin-Rechten arbeiten.

>> Ja.

> Falsch.

[...]

> Auftraege zur (De-) Installation. Falls die Durchfuehrung eines
> solchen Auftrags den schreibenden Zugriff auf (mittels
> Rechtetrennung) geschuetzte Ressourcen (wie %ProgramFiles% oder
> %SystemRoot%, die Konfiguration des Systems, ...) voraussetzt, dann
> muss der Auftraggeber seine Legitimation fuer den jeweiligen Auftrag
> nachweisen, indem er das betreffende Benutzerprogramm mit
> Administrator-Rechten aufruft.

> Also: Rechtetrennung und Kapselung aus dem Bilderbuch.

Ach - das ist Rechtetrennung? Er braucht also doch ab und zu Admin-
Rechte. Und Otto Endanwender muss dazu nur den Hut wechseln.

Am Rande: auch Admins lassen sich übertölpeln, auch sie machen Fehler.

Viele Gruesse!
Helmut

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

> Du meintest am 04.01.16:
>>>> Kein Virenscanner bietet einen Schutz, den man nicht mindestens
>>>> genauso oder besser auch mit Rechtetrennung,
>>> Rechtetrennung?
>>> Wo im Windows Handbuch wird das beschrieben?
>> Einfache Benutzer-Accounts fuer das alltaegliche arbeiten/spielen/...
>> und zu- saetzlich Administrator-Accounts, die *ausschliesslich* fuer
>> administrative Aufgaben verwendet werden. Kein arbeiten/spielen mit
>> erweiterten Rechten.
> Windows bietet im Kontext-Menu "Als Administrator ausführen" an.

... und das zaehlt auch als "als Administrator arbeiten" (zumindest was
dieses als Admin ausgefuehrte Programm betrifft).

>> Software, die zwingend Admin-Rechte braucht,
>> entsorgen oder sie beim Hersteller als defekt / nicht mit Microsoft
>> Desig Richtlinien konform melden und sie dann mit dieser Begruendung
>> zurueckgeben. Ja, gute Software fuer den "End-User" laeuft auch ohne
>> Admin-Rechte.
> Schon bei der Installation muss ich bei Windows des öfteren (meistens?)
> mit Admin-Rechten arbeiten.

Installation von Software ist eine administrative Taetigkeit. Dafuer gilt:
1. ist mit Administrator-Rechten auszufuehren
2. wird nur vom zustaendigen Administrator und nicht von jedem
beliebigen Benutzer ausgeufehrt
3. der Administrator hat dabei (wie bei allem was er tut) *mehrmals*
*gruendlich* darueber nachzudenken, was er tut und ob die Software
auch wirklich benoetigt wird (und ob er dem Herausgeber dieser
Software genuegend vertraut, um dessen Produkte einzusetzen)

> Klar - Du scheinst felsenfest dran zu glauben, dass ein Administrator
> nie Fehler macht ...

Auch ein Admin kann Fehler machen, aber dagegen hilft5 auch kein Virenscanner
(bzw. wenn ein Virenscanner da Abhilfe schaffen koennte, ist der Admin als
Admin untauglich).

>>>> restriktiver Konfiguration,
>>> Wo im Windows Handbuch wird das beschrieben?
>>> Ach, ich vergaß es gibt seit Jahren kein Handbuch mehr.
>> Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies)
>> verwenden (sind auf den Microsoft Webseiten und moeglicherweise in
>> der Windows-Hilfe beschrieben). "SAFER" ist eine Methode, das
>> anzuwenden.
> Lässt sich mit Admin-Rechten aushebeln. Also kann auch Otto Endanwender
> das.

Otto Endanwender kann das nur, wenn er Administrator-Rechte besitzt. Wenn er
sie leichtfertig verwendet, ist er selbst schuld und da hilft ihm auch kein
Virenscanner weiter (den er mit Admin-Rechten mindestens genauso leicht ab-
schalten kann).

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>> Wenn man zur _Benutzung_ Admin-Rechte braucht, ist es Murks.
> Dass "man" zur Installation Admin-Rechte benötigt, ist auch Murks.

Nein, das ist Absicht und durchaus sinnvoll.

> Insbesondere bei Rechnern in der alleinigen Verfügung von Endanwendern.

Auch wenn es sich um die *selbe* Person handelt, sind es doch (mindestens)
2 "Rollen" in denen auf solchen Rechnern der User taetig ist: als "Benutzer"
und als "Administrator". Fuer letzteres hat er gefaelligst die notwendige
Disziplin aufzubringen und entsprechend kritisch mit dem Rechner und ggfs. zu
installierender Software umzugehen, als Benutzer hat er nicht die Rechte,
um administrative Aufgaben zu erledigen (und das ist gut so und auch so
gedacht). Das ist das Konzept der "Rechtetrennnng, und das hat sich (nicht
nur bei Windows) seit Jahrzehnten bewaehrt. Nur Idioten ignorieren oder
bezweifeln die Sinnhaftigkeit dieser Trennung.

[Juergen Ilse]

Hallo,

Peter Koerber <peter.koer...@freesurf.ch> wrote:
> Am 04.01.2016 um 13:36 schrieb Juergen Ilse:
>> Software, die zwingend Admin-Rechte braucht, entsorgen oder sie beim Hersteller
>> als defekt / nicht mit Microsoft Desig Richtlinien konform melden und sie dann
>> mit dieser Begruendung zurueckgeben. Ja, gute Software fuer den "End-User"
>> laeuft auch ohne Admin-Rechte.
> Ach ja? In welchem Jahrhundert lebst Du eigentlich? Die Admin-Rechte
> werden schon bei der Installation der Software angefordert. Auch bei
> Software von Microsoft.

Haettest du den Text nicht aus dem Zusammenhang gerissen, waere dir aufge-
fallen, dass hier von der *NUTZUNG* der Software die Rede ist, nicht von
administrativen Aufgaben (die natuerlich mit Administrator-Rechten ausge-
fuehrt werden) wie z.B. der Installation.

> Wenn ich so Dein Elaborat über die Sicherheit lese, dann kommst Du mir
> vor wie ein Islamist, der ganz konservativ nur noch nach der Scharia
> leben will.

Wenn ich Kommentare wie deinen lese, habe ich das Gefuehl, ich haette es
mit hirnverbrannten Vollidioten zu tun ... Nein, ich habe nicht behauptet,
dass du ein solcher waerst, sondern dass mich bei Kommentaren wie dem deinen
ein solches Gefuehl ueberkommt.

> Solche Gesundbeter wie Dich habe ich in meiner früheren
> Tätigkeit zuerst mal mehrere Wochen in den Keller zum Kabelbau schicken
> lassen. Und wenn er sich nicht zum Besseren geändert hat, dann wurde er
> entlassen. Mit dem Zeugnis hat er dann nie mehr in einer Grossfirma als
> Admin eine Stelle gefunden.

Mit einer Einstellung wie deiner zur Sicherheit in der EDV haettest du
bei keiner ernsthaften Pruefung bzgl. EDV-Security auch nur den Hauch
einer Chance. Btw. ich bereite mich gerade auf "CCNA Security" vor (nach-
dem ich "CCNA Routing & Switching" vor kurzem erfolgreich erneuert und mir
fuer die3ses Jahr noch "CCNP Routing & Switching" vorgenommen habe).

> Nimmt mich nur wunder, wo Du überhaupt als echter Admin funktionierst?

Netzwerk-Administrator. Seit vielen Jahren.

[Stefan Kanthak]

"Juergen Ilse" <jue...@usenet-verwaltung.de> schrieb:

> Hallo,
>
> Peter Koerber <peter.koer...@freesurf.ch> wrote:

| telnet mx2.smx.sunrise.ch 25
[...]
| MAIL FROM:<>
| 250 2.1.0 <>... Sender ok
| RCPT TO:peter.koer...@freesurf.ch
| 550 5.2.1 <peter.koer...@freesurf.ch>... Unknown user or mailbox deactivated - Adressat unbekannt oder Mailbox
deaktiviert - Destinataire inconnu ou boite aux lettres desactivee - Destinatario sconosciuto o mailbox disatttivata

<http://news.albasani.net/info/terms_of_use.html.de>:

| Die in From:, Reply-To: bzw. Sender: verwendeten Adressen müssen
| gültig sein und unter der eigenen Kontrolle stehen.

Stefan

JFTR: dummdreiste Adressfaelscher und Clowns, die ihre eigenen
Nutzungsbedingungen missachten, gehoeren in JEDES Killfile!

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

[...]

> Mit einer Einstellung wie deiner zur Sicherheit in der EDV haettest
> du bei keiner ernsthaften Pruefung bzgl. EDV-Security auch nur den
> Hauch einer Chance.

Tolles Argument! Der Käufer eines Windows-Rechners wird weder vom
Blödmarkt noch von Amazon o.ä. in dieser Weise geprüft.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>>> Wenn man zur _Benutzung_ Admin-Rechte braucht, ist es Murks.
>> Dass "man" zur Installation Admin-Rechte benötigt, ist auch Murks.

> Nein, das ist Absicht und durchaus sinnvoll.

>> Insbesondere bei Rechnern in der alleinigen Verfügung von
>> Endanwendern.

> Auch wenn es sich um die *selbe* Person handelt, sind es doch
> (mindestens) 2 "Rollen" in denen auf solchen Rechnern der User taetig
> ist: als "Benutzer" und als "Administrator". Fuer letzteres hat er
> gefaelligst die notwendige Disziplin aufzubringen

Toller Witz! Du ignorierst den Unterschied zwischen Theorie und Praxis,
zwischen Wunschdenken und Wirklichkeit.

> Nur Idioten ignorieren oder
> bezweifeln die Sinnhaftigkeit dieser Trennung.

Tolles Argument. Du verwechselst Sinnhaftigkeit mit Umsetzung.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>>> Einfache Benutzer-Accounts fuer das alltaegliche
>>> arbeiten/spielen/... und zu- saetzlich Administrator-Accounts, die
>>> *ausschliesslich* fuer administrative Aufgaben verwendet werden.
>>> Kein arbeiten/spielen mit erweiterten Rechten.

>> Windows bietet im Kontext-Menu "Als Administrator ausführen" an.

> ... und das zaehlt auch als "als Administrator arbeiten" (zumindest
> was dieses als Admin ausgefuehrte Programm betrifft).

Mein Reden ...

>> Schon bei der Installation muss ich bei Windows des öfteren
>> (meistens?) mit Admin-Rechten arbeiten.

> Installation von Software ist eine administrative Taetigkeit.

Nicht unbedingt. Nicht jede Software muss im Windows-Sinn "installiert"
werden.

Und wenn ich Programme von der CD oder vom USB-Stick o.ä. starte, dann
brauche ich (auch) nicht unbedingt Admin-Rechte.

> Dafuer gilt:
> 1. ist mit Administrator-Rechten auszufuehren
> 2. wird nur vom zustaendigen Administrator und nicht von jedem
> beliebigen Benutzer ausgeufehrt

Auf Otto Endanwenders Rechner bei ihm zuhause ist er sowohl "Beliebiger
Benutzer" als auch Administrator. Wenn er sich übertölpeln lässt, wenn
er Fehler macht: das kann er auch als Administrator.

> 3. der Administrator hat dabei (wie bei allem was er tut) *mehrmals*
> *gruendlich* darueber nachzudenken, was er tut und ob die
> Software auch wirklich benoetigt wird (und ob er dem Herausgeber
> dieser Software genuegend vertraut, um dessen Produkte
> einzusetzen)

Schöner Witz! Zudem: selbiges Vertrauen ist schon von vielen
Herausgebern enttäuscht worden - "Vertrauen ist gut, Kontrolle ist
besser!"

Zudem: Software kann Fehler haben, auch Software von "vertrauenswürdigen
Herausgebern".

>> Klar - Du scheinst felsenfest dran zu glauben, dass ein
>> Administrator nie Fehler macht ...

> Auch ein Admin kann Fehler machen, aber dagegen hilft5 auch kein
> Virenscanner (bzw. wenn ein Virenscanner da Abhilfe schaffen koennte,
> ist der Admin als Admin untauglich).

Mal wieder grandiose Schwarz-Weiss-Malerei!

Ein Virenscanner kann einen Teil der Arbeit erledigen. Oft besser als
der Admin. Und ein Admin sollte nicht einzig Software auf Viren prüfen -
das solltest Du als Admin in einem Kleinbetrieb eigentlich wissen.

Es ist allerdings lobenswert, dass wenigstens Du Admins nicht für
unfehlbar hältst. Wie hast Du das in Deinem Sicherheitskonzept
berücksichtigt?

>>> Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies)
>>> verwenden (sind auf den Microsoft Webseiten und moeglicherweise in
>>> der Windows-Hilfe beschrieben). "SAFER" ist eine Methode, das
>>> anzuwenden.
>> Lässt sich mit Admin-Rechten aushebeln. Also kann auch Otto
>> Endanwender das.

> Otto Endanwender kann das nur, wenn er Administrator-Rechte besitzt.

Die hat er, auf seinem Rechner zuhause.

> Wenn er sie leichtfertig verwendet, ist er selbst schuld

Prima - dann ist die Schuldfrage geklärt!
Am Rande: auch BOFHs können leichtfertig handeln.

> und da hilft ihm auch kein Virenscanner weiter (den er mit Admin-
> Rechten mindestens genauso leicht ab- schalten kann).

Mein Reden ... die auch von Dir so hochgelobten Schutzmechanismen lassen
sich recht einfach ausschalten. Ist wie mit der Stadtmauer von Troja -
die wurde von den Bürgern Trojas plattgemacht, weil sie unbedingt das
Pferd haben wollten.

Hatten wir übrigens schon des öfteren durchdiskutiert, immer mit diesem
Ergebnis.

Viele Gruesse!
Helmut

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>>> Insbesondere bei Rechnern in der alleinigen Verfügung von
>>> Endanwendern.
>> Auch wenn es sich um die *selbe* Person handelt, sind es doch
>> (mindestens) 2 "Rollen" in denen auf solchen Rechnern der User taetig
>> ist: als "Benutzer" und als "Administrator". Fuer letzteres hat er
>> gefaelligst die notwendige Disziplin aufzubringen
> Toller Witz! Du ignorierst den Unterschied zwischen Theorie und Praxis,
> zwischen Wunschdenken und Wirklichkeit.

Die Wirklichkeit sieht fuer *sehr* *viele* kompetente Windows-Nutzer (nein,
niocht die Idioten, die sich nur fuer kompetent halten, sondern die, die
wirklich wissen was sie tun) genauso aus: Administrator-Account fuer das
administrieren, normale User-Accounts (ohne Admin-Rechte) fuer das normale
arbeiten. Und (Ueberraschung) bei denen funktioniert das auch.

>> Nur Idioten ignorieren oder
>> bezweifeln die Sinnhaftigkeit dieser Trennung.
> Tolles Argument. Du verwechselst Sinnhaftigkeit mit Umsetzung.

Ich verwechsele da gar nichts, ich setze das so um (und viele andere nicht
ganz so stur auf "funktioniert doch in der Praxis sowieso nicht" vernagelten
Nutzer auch). Ja, das funktioniert, nicht nur in der Theorie sondern ganz
praktisch an laufenden Rechnern.

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>>>> Einfache Benutzer-Accounts fuer das alltaegliche
>>>> arbeiten/spielen/... und zu- saetzlich Administrator-Accounts, die
>>>> *ausschliesslich* fuer administrative Aufgaben verwendet werden.
>>>> Kein arbeiten/spielen mit erweiterten Rechten.
>>> Windows bietet im Kontext-Menu "Als Administrator ausführen" an.
>> ... und das zaehlt auch als "als Administrator arbeiten" (zumindest
>> was dieses als Admin ausgefuehrte Programm betrifft).
> Mein Reden ...

Vorher hast du noch nahezu das Gegenteil behauptet ...

>>> Schon bei der Installation muss ich bei Windows des öfteren
>>> (meistens?) mit Admin-Rechten arbeiten.
>> Installation von Software ist eine administrative Taetigkeit.
> Nicht unbedingt.

Doch, genau das installieren von Software ist Administration.

> Nicht jede Software muss im Windows-Sinn "installiert"
> werden.

Das kommt darauf an, wie restriktiv das System konfiguriert ist.

> Und wenn ich Programme von der CD oder vom USB-Stick o.ä. starte, dann
> brauche ich (auch) nicht unbedingt Admin-Rechte.

Wenn du die Programme ausfuehren kannst ohne sie zu installieren, dann ist
die Ausfuehrung keine administrative Taetigkeit und daher auch nicht mit
Admin-Rechten auszufuehren. Das alles sind keine Gegenbeispiele fuer das
was ich geschrieben habe: Installation von Software ist eine administrative
Taetigkeit.

>> Dafuer gilt:
>> 1. ist mit Administrator-Rechten auszufuehren
>> 2. wird nur vom zustaendigen Administrator und nicht von jedem
>> beliebigen Benutzer ausgeufehrt
>
> Auf Otto Endanwenders Rechner bei ihm zuhause ist er sowohl "Beliebiger
> Benutzer" als auch Administrator.

Nutzt er den Administrator-Account, ist er Administrator, nutzt er seinen
normalen User-Account, ist er User. So schwer verstaendlich ist das nun
wirklich nicht. Das nennt sich auch "rollenbasierte Rechteverteilung" oder
einfach "Rechtetrennung".

> Wenn er sich übertölpeln lässt, wenn er Fehler macht: das kann er auch
> als Administrator.

Als Administrator hat er kritischer und sorgfaeltiger mit seinem System
umzugehen. Das gehoert dazu (genau wie es dazu gehoert, dass ein Busfahrer
als Busfahrer anders fahren muss als er es als PKW-Fahrer in seinem PKW
auf den Strassen darf). Es sind zwei verschiedene Rollen, und in denen hat
er sich der jeweiligen Rolle entsprechend zu verhalten. Bei Leuten, die
das Konzept verstanden haben, funktioniert das auch.

>> 3. der Administrator hat dabei (wie bei allem was er tut) *mehrmals*
>> *gruendlich* darueber nachzudenken, was er tut und ob die
>> Software auch wirklich benoetigt wird (und ob er dem Herausgeber
>> dieser Software genuegend vertraut, um dessen Produkte
>> einzusetzen)
>
> Schöner Witz!

Das ist kein Witz sondern funktionierende Praxis, nicht nur bei mir sondern
bei nahezu allen wirklich kompetenten Windows-Nutzern, die ihre Rechner selbst
administrieren (wenn du es anders machst, fehlt es dir an Kompetenz).

> Zudem: selbiges Vertrauen ist schon von vielen Herausgebern enttäuscht
> worden - "Vertrauen ist gut, Kontrolle ist besser!"

Deswegen kontrolliert ein Malware-Autor auch, ob sein MAchwerk denn von
daengigen Scannern erkannt wird und veroeffentlicht es ansonsten gar nicht
(bzw. modifiziert es so lange, bis es nicht mehr erkannt wird). Warum wohl
dauert es zwischen mehrerehn Stunden bis zu mehreren Wochen, bis manche
Malware von den gaengigen Scannern erkannt wird? Weil die Autoren von
Malware nicht so bescheuert sind, wie du zu glauben scheinst.

> Zudem: Software kann Fehler haben, auch Software von "vertrauenswürdigen
> Herausgebern".

Besonders auch bei den Autoren von Virenscannern. Man holt sich mit dem
Kram also eine zusaetzliche Fehlerquelle auf den Rechner ...

>> Auch ein Admin kann Fehler machen, aber dagegen hilft5 auch kein
>> Virenscanner (bzw. wenn ein Virenscanner da Abhilfe schaffen koennte,
>> ist der Admin als Admin untauglich).
> Mal wieder grandiose Schwarz-Weiss-Malerei!

Nein, eine simple Tatsache.

> Ein Virenscanner kann einen Teil der Arbeit erledigen. Oft besser als
> der Admin.

Wenn letztetres zutrifft, sollte sich der Admin ein Betaetigungsfeld
suchen, auf dem er mehr Kompetenz aufweisen kann, als Admin ist er
dann jedenfalls untauglich.

>>>> Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies)
>>>> verwenden (sind auf den Microsoft Webseiten und moeglicherweise in
>>>> der Windows-Hilfe beschrieben). "SAFER" ist eine Methode, das
>>>> anzuwenden.
>>> Lässt sich mit Admin-Rechten aushebeln. Also kann auch Otto
>>> Endanwender das.
>> Otto Endanwender kann das nur, wenn er Administrator-Rechte besitzt.
> Die hat er, auf seinem Rechner zuhause.

Dann nuetzt der Scanner auch nichts, denn den kann er mit de3n selben Admin-
Rechten auch beliebig ausschalten ("musste ich ja, sonst konnte ich das tolle
Spiel nicht starten ...").

>> und da hilft ihm auch kein Virenscanner weiter (den er mit Admin-
>> Rechten mindestens genauso leicht ab- schalten kann).
> Mein Reden ... die auch von Dir so hochgelobten Schutzmechanismen lassen
> sich recht einfach ausschalten. Ist wie mit der Stadtmauer von Troja -
> die wurde von den Bürgern Trojas plattgemacht, weil sie unbedingt das
> Pferd haben wollten.

Und das spricht jetzt inwiefern fuer Virenscanner (abgesehen von "ueberhaupt
nicht" meine ich)???

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>>>> Insbesondere bei Rechnern in der alleinigen Verfügung von
>>>> Endanwendern.

>>> Auch wenn es sich um die *selbe* Person handelt, sind es doch
>>> (mindestens) 2 "Rollen" in denen auf solchen Rechnern der User
>>> taetig ist: als "Benutzer" und als "Administrator". Fuer letzteres
>>> hat er gefaelligst die notwendige Disziplin aufzubringen

>> Toller Witz! Du ignorierst den Unterschied zwischen Theorie und
>> Praxis, zwischen Wunschdenken und Wirklichkeit.

> Die Wirklichkeit sieht fuer *sehr* *viele* kompetente Windows-Nutzer
> (nein, niocht die Idioten, die sich nur fuer kompetent halten,
> sondern die, die wirklich wissen was sie tun) genauso aus:
> Administrator-Account fuer das administrieren, normale User-Accounts
> (ohne Admin-Rechte) fuer das normale arbeiten. Und (Ueberraschung)
> bei denen funktioniert das auch.

Und dann gibt es noch die anderen Endanwender ...

Schön, dass Du nach schwarzen und weissen Schafen differenzierst. Ich
befürchte allerdings, dass die schwarzen Schafe zwar existieren, sich
aber weder um Deine noch um meine Meinung kümmern. Schlimmer noch: sie
wissen nicht mal, dass es uns gibt! Trotzdem benutzen sie ihren Rechner.

>>> Nur Idioten ignorieren oder
>>> bezweifeln die Sinnhaftigkeit dieser Trennung.
>> Tolles Argument. Du verwechselst Sinnhaftigkeit mit Umsetzung.

> Ich verwechsele da gar nichts, ich setze das so um (und viele andere
> nicht ganz so stur auf "funktioniert doch in der Praxis sowieso
> nicht" vernagelten Nutzer auch). Ja, das funktioniert, nicht nur in
> der Theorie sondern ganz praktisch an laufenden Rechnern.

Und die anderen nennst Du ganz salopp "Idioten" ... schon damit Du Dich
über sie erheben kannst.

Viele Gruesse!
Helmut

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>> Die Wirklichkeit sieht fuer *sehr* *viele* kompetente Windows-Nutzer
>> (nein, niocht die Idioten, die sich nur fuer kompetent halten,
>> sondern die, die wirklich wissen was sie tun) genauso aus:
>> Administrator-Account fuer das administrieren, normale User-Accounts
>> (ohne Admin-Rechte) fuer das normale arbeiten. Und (Ueberraschung)
>> bei denen funktioniert das auch.
> Und dann gibt es noch die anderen Endanwender ...
> Schön, dass Du nach schwarzen und weissen Schafen differenzierst. Ich
> befürchte allerdings, dass die schwarzen Schafe zwar existieren, sich
> aber weder um Deine noch um meine Meinung kümmern. Schlimmer noch: sie
> wissen nicht mal, dass es uns gibt! Trotzdem benutzen sie ihren Rechner.

Und was hilft in dem Fall ein Virenscanner? Richtig: nichts!

>>>> Nur Idioten ignorieren oder
>>>> bezweifeln die Sinnhaftigkeit dieser Trennung.
>>> Tolles Argument. Du verwechselst Sinnhaftigkeit mit Umsetzung.
>> Ich verwechsele da gar nichts, ich setze das so um (und viele andere
>> nicht ganz so stur auf "funktioniert doch in der Praxis sowieso
>> nicht" vernagelten Nutzer auch). Ja, das funktioniert, nicht nur in
>> der Theorie sondern ganz praktisch an laufenden Rechnern.
> Und die anderen nennst Du ganz salopp "Idioten" ... schon damit Du Dich
> über sie erheben kannst.

Nein. Ich nenne sie Idioten, weil sie (auch wenn sie die Erklaerung fuer
die Sinnhaftigkeit dieser Trennung erhalten haben) die Sinnhaftigkeit
einer solchen Trennung ignorieren. Und das tue ich, weil dann deren
Verhalten tatsaechlich idiotisch *IST*.

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>>>>> Einfache Benutzer-Accounts fuer das alltaegliche
>>>>> arbeiten/spielen/... und zu- saetzlich Administrator-Accounts,
>>>>> die *ausschliesslich* fuer administrative Aufgaben verwendet
>>>>> werden. Kein arbeiten/spielen mit erweiterten Rechten.

>>>> Windows bietet im Kontext-Menu "Als Administrator ausführen" an.

>>> ... und das zaehlt auch als "als Administrator arbeiten" (zumindest
>>> was dieses als Admin ausgefuehrte Programm betrifft).

>> Mein Reden ...

> Vorher hast du noch nahezu das Gegenteil behauptet ...

Wo denn, wie denn?

>>>> Schon bei der Installation muss ich bei Windows des öfteren
>>>> (meistens?) mit Admin-Rechten arbeiten.

>>> Installation von Software ist eine administrative Taetigkeit.

>> Nicht unbedingt.

> Doch, genau das installieren von Software ist Administration.

Bestenfalls für den Sonderfall "Installieren im Microsoft-Sinn". Denn
genau diesen Spezialfall darf bei Microsoft seit einigen Versionen nur
jemand mit Admin-Rechten (die sich Otto Endanwender kinderleicht
beschaffen kann).

>> Nicht jede Software muss im Windows-Sinn "installiert" werden.

> Das kommt darauf an, wie restriktiv das System konfiguriert ist.

Da waren wir doch schon mehrfach: Otto Endanwender kann diese
Restriktionen einrichten, und er kann sie abschalten oder umgehen.

>> Und wenn ich Programme von der CD oder vom USB-Stick o.ä. starte,
>> dann brauche ich (auch) nicht unbedingt Admin-Rechte.

> Wenn du die Programme ausfuehren kannst ohne sie zu installieren,
> dann ist die Ausfuehrung keine administrative Taetigkeit und daher
> auch nicht mit Admin-Rechten auszufuehren.

Eben - Spezialfall "Installieren im Microsoft-Sinn". Etliche Programme
lassen sich auch benutzen ("ausführen"), ohne dass sie auf diesem
seltsamen Weg "installiert" worden sind. Da hilft Deine "restriktive
Konfiguration" nicht.

> Das alles sind keine
> Gegenbeispiele fuer das was ich geschrieben habe: Installation von
> Software ist eine administrative Taetigkeit.

"Installation im Microsoft-Sinn".
Was ein Pleonasmus ist, denn Microsoft benutzt diesen Begriff neuerdings
für den Spezialfall, dass Admin-Rechte benötigt werden.

>>> Dafuer gilt:
>>> 1. ist mit Administrator-Rechten auszufuehren
>>> 2. wird nur vom zustaendigen Administrator und nicht von
>>> jedem beliebigen Benutzer ausgeufehrt

>> Auf Otto Endanwenders Rechner bei ihm zuhause ist er sowohl
>> "Beliebiger Benutzer" als auch Administrator.

> Nutzt er den Administrator-Account, ist er Administrator, nutzt er
> seinen normalen User-Account, ist er User. So schwer verstaendlich
> ist das nun wirklich nicht. Das nennt sich auch "rollenbasierte
> Rechteverteilung" oder einfach "Rechtetrennung".

Ein wunderschönes Modell, das die realen Probleme für den Fall der
Personalunion übertünchen soll. Die Fähigkeiten und Schwächen der Person
ändern sich nun mal nicht dadurch, dass sie den Hut wechselt.

>> Wenn er sich übertölpeln lässt, wenn er Fehler macht: das kann er
>> auch als Administrator.

> Als Administrator hat er kritischer und sorgfaeltiger mit seinem
> System umzugehen.

So - hat er das? Was passiert ihm denn, wenn er nicht so mit dem System
umgeht?

Du wechselst mal wieder von der Realität zum Wunschdenken.

> Das gehoert dazu (genau wie es dazu gehoert, dass
> ein Busfahrer als Busfahrer anders fahren muss als er es als
> PKW-Fahrer in seinem PKW auf den Strassen darf).

Endlich wieder ein (wieder mal) untaugliches Auto-Beispiel.

Du kennst die Begriffe Führerschein, StVO, Ordnungswidrigkeit etc. aus
dem Auto-Bereich? Und ihre Äquivalente bei Rechnern und deren Benutzung?

> Es sind zwei
> verschiedene Rollen, und in denen hat er sich der jeweiligen Rolle
> entsprechend zu verhalten. Bei Leuten, die das Konzept verstanden
> haben, funktioniert das auch.

Und dann gibt es noch die vielen anderen ...

>>> 3. der Administrator hat dabei (wie bei allem was er tut)
>>> *mehrmals* *gruendlich* darueber nachzudenken, was er tut
>>> und ob die
>>> Software auch wirklich benoetigt wird (und ob er dem
>>> Herausgeber dieser Software genuegend vertraut, um dessen
>>> Produkte einzusetzen)
>>
>> Schöner Witz!

> Das ist kein Witz sondern funktionierende Praxis, nicht nur bei mir
> sondern bei nahezu allen wirklich kompetenten Windows-Nutzern, die
> ihre Rechner selbst administrieren (wenn du es anders machst, fehlt
> es dir an Kompetenz).

Aha - wir arbeiten jetzt mit dem diffusen und schwer bis gar nicht
quantifizierbaren Begriff "Kompetenz"! Rhetorik für Anfänger ...

Vermutlich hältst Du Dich für kompetent, wo und wie auch immer.

Dazu fällt mir zuallererst "Annie get your gun" ein: "Alles, was Du
kannst, das kann ich viel besser!"

>> Zudem: selbiges Vertrauen ist schon von vielen Herausgebern
>> enttäuscht worden - "Vertrauen ist gut, Kontrolle ist besser!"

> Deswegen kontrolliert ein Malware-Autor auch, ob sein MAchwerk denn
> von daengigen Scannern erkannt wird und veroeffentlicht es ansonsten
> gar nicht (bzw. modifiziert es so lange, bis es nicht mehr erkannt
> wird). Warum wohl dauert es zwischen mehrerehn Stunden bis zu
> mehreren Wochen, bis manche Malware von den gaengigen Scannern

> erkannt wird? Weil die Autoren vonMalware nicht so bescheuert sind,

> wie du zu glauben scheinst.

Hmmm - Microsofts Betriebssysteme als Malware zu diffamieren ist doch
etwas grob.
Trotz vermutlich intensiver Prüfung geht da mal ein Schuss in den Ofen.
Auch ohne Beteiligung von Virenscannern.

>> Zudem: Software kann Fehler haben, auch Software von
>> "vertrauenswürdigen Herausgebern".

> Besonders auch bei den Autoren von Virenscannern. Man holt sich mit
> dem Kram also eine zusaetzliche Fehlerquelle auf den Rechner ...

>>> Auch ein Admin kann Fehler machen, aber dagegen hilft5 auch kein
>>> Virenscanner (bzw. wenn ein Virenscanner da Abhilfe schaffen
>>> koennte, ist der Admin als Admin untauglich).

>> Mal wieder grandiose Schwarz-Weiss-Malerei!

> Nein, eine simple Tatsache.

Admins machen Fehler, so wie jeder Mensch. Das ist komplett unabhängig
von Virenscannern. Aber Du brauchst ja einen Abwehr-Zauber ...

>> Ein Virenscanner kann einen Teil der Arbeit erledigen. Oft besser
>> als der Admin.

> Wenn letztetres zutrifft, sollte sich der Admin ein Betaetigungsfeld
> suchen, auf dem er mehr Kompetenz aufweisen kann, als Admin ist er
> dann jedenfalls untauglich.

Und schon wieder ein Totschlag-Argument, angeknüpft an den beliebten
Ausweg, einzig Virenscanner zu verteufeln.

Noch mal: ich betrachte Virenscanner als 1 Komponente eines
Sicherheitskonzepts, nicht als einzige.


Am Rande: wie schützt Du das von Dir als Admin betreute System vor
Fehlern, die der Admin begangen hat?

"Admin" darf sich übrigens jeder nennen, das ist keine geschützte
Berufsbezeichnung. Das beschreibt insbesondere weder Pflichten noch
Qualifikation. Nur Funktion.

>>>>> Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies)
>>>>> verwenden (sind auf den Microsoft Webseiten und moeglicherweise
>>>>> in der Windows-Hilfe beschrieben). "SAFER" ist eine Methode, das
>>>>> anzuwenden.

>>>> Lässt sich mit Admin-Rechten aushebeln. Also kann auch Otto
>>>> Endanwender das.

>>> Otto Endanwender kann das nur, wenn er Administrator-Rechte
>>> besitzt.

>> Die hat er, auf seinem Rechner zuhause.

> Dann nuetzt der Scanner auch nichts, denn den kann er mit de3n selben
> Admin- Rechten auch beliebig ausschalten ("musste ich ja, sonst
> konnte ich das tolle Spiel nicht starten ...").

Schön, dass Du mir (wenn auch indirekt) zustimmst, dass der Admin bei
Windows alle Sicherheitskonzepte aushebeln kann.

Und schon wieder der Ausweg, auf dem Virenscanner herumzutrampeln - das
ist nur 1 Komponente.

>>> und da hilft ihm auch kein Virenscanner weiter (den er mit Admin-
>>> Rechten mindestens genauso leicht ab- schalten kann).

>> Mein Reden ... die auch von Dir so hochgelobten Schutzmechanismen
>> lassen sich recht einfach ausschalten. Ist wie mit der Stadtmauer
>> von Troja - die wurde von den Bürgern Trojas plattgemacht, weil sie
>> unbedingt das Pferd haben wollten.

> Und das spricht jetzt inwiefern fuer Virenscanner (abgesehen von
> "ueberhaupt nicht" meine ich)???

???
Wo und wie habe ich Virenscanner als (einzigen) Schutzmechanismus
propagiert? Den benutzt Du doch nur als (untauglichen) Abwehrzauber, um
Dein Sicherheitskonzept aufzuhübschen.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>> Schön, dass Du nach schwarzen und weissen Schafen differenzierst.
>> Ich befürchte allerdings, dass die schwarzen Schafe zwar existieren,
>> sich aber weder um Deine noch um meine Meinung kümmern. Schlimmer
>> noch: sie wissen nicht mal, dass es uns gibt! Trotzdem benutzen sie
>> ihren Rechner.

> Und was hilft in dem Fall ein Virenscanner? Richtig: nichts!

a) ich habe nirgendwo behauptet, dass ein Virenscanner vor schwarzen
Schafen schütze,
b) auch etliche andere Komponenten eines Sicherheitskonzepts schützen
den Rechner nicht vor schwarzen Schafen.

Du scheinst inzwischen fast nur noch mit "aber Virenscanner ..."
argumentieren zu können. Dünn.

>>>>> Nur Idioten ignorieren oder
>>>>> bezweifeln die Sinnhaftigkeit dieser Trennung.

>>>> Tolles Argument. Du verwechselst Sinnhaftigkeit mit Umsetzung.

>>> Ich verwechsele da gar nichts, ich setze das so um (und viele
>>> andere nicht ganz so stur auf "funktioniert doch in der Praxis
>>> sowieso nicht" vernagelten Nutzer auch). Ja, das funktioniert,
>>> nicht nur in der Theorie sondern ganz praktisch an laufenden
>>> Rechnern.

>> Und die anderen nennst Du ganz salopp "Idioten" ... schon damit Du
>> Dich über sie erheben kannst.

> Nein. Ich nenne sie Idioten, weil sie (auch wenn sie die Erklaerung
> fuer die Sinnhaftigkeit dieser Trennung erhalten haben) die
> Sinnhaftigkeit einer solchen Trennung ignorieren. Und das tue ich,
> weil dann deren Verhalten tatsaechlich idiotisch *IST*.

Wenn eine solche Trennung in der Theorie wunderschön klingt, in der
Praxis aber z.B. an der Personalunion des Trägers beider Rollen
scheitert: welchen Wert hat dann diese Theorie für die Praxis?

"Wenn wir alle Engel wären ..." ist eine ähnliche Theorie, die an der
Praxis bei vielen Endanwendern scheitert.

Viele Gruesse!
Helmut

[Herrand Petrowitsch]

Mathias Fuhrmann schrieb:
> Juergen Ilse schrieb:

>> Ich nenne sie Idioten, weil sie (auch wenn sie die Erklaerung fuer
>> die Sinnhaftigkeit dieser Trennung erhalten haben) die Sinnhaftigkeit
>> einer solchen Trennung ignorieren. Und das tue ich, weil dann deren
>> Verhalten tatsaechlich idiotisch *IST*.
>

> Hallo Jürgen,
> ich bin also in deinen Augen ein Idiot (ja, das geht mir tatsächlich
> an der gewissen Stelle vorbei), weil ich z.B. nicht deinen
> Vorstellungen folge, welche i.d.A. die einzigen richtigen sind.
> Ich nutze _meine_ Rechner schon über 30 Jahre nur persönlich,

was keinerlei Relevanz zur Sache hat,

> und das
> Internet ca. 20 Jahre, bisher ohne Schaden zu nehmen oder zu
> verbreiten. Wie konnte ich das nur ohne deine Ratschläge erreichen?

In deinem Fall: Glueck gehabt oder nicht genau hingesehen ...

> Diese mögen ja für gewisse Arbeiten die Sicherheit erhöhen, nur nicht
> jeder benötigt sie, zumindest wenn er etwas erfahren ist.

Unabhaengig vom Grad der "Erfahrung" sind Sicherheitsvorkehrungen immer
und fuer alle Arbeiten erforderlich. Und ja, gerade erfahrene
Benutzer^WAdministratoren bauen ihre eigene und die Umgebung der ihnen
anvertrauten Nutzer unabhaengig vom OS darauf auf.

> Und Anfänger werden bestimmt nicht deinen Vorstellungen folgen, die
> sind froh, wenn es 'funktioniert'

und kommen dann irgendwann jammernd angelaufen ("hilfe, du hattest
damals recht"). Vielfach erlebtes Bild.

> BTW: Kennst du eigentlich 'das normale Leben' außerhalb deiner
> 'Administrations-Tätigkeit'? Das war eine rhetorische Frage.

Gerade jenes von dir zitierte 'normale Leben' verneint die oben von dir
geaeusserten Vorstellungen, hingegen bejaht es die absolute
Notwendigkeit zur Ergreifung entsprechender Sicherheitsmassnahmen zur
Genuege.

P.S.: Lass bitte dieses unsaegliche und darueber hinaus grossteils
wirkungslose "X-No-Archive: yes" beiseite.

Gruß Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.

[Harald Hengel]

Juergen Ilse schrieb:

> Helmut Hullen <Hel...@hullen.de> wrote:
>>> Wenn man zur _Benutzung_ Admin-Rechte braucht, ist es Murks.
>> Dass "man" zur Installation Admin-Rechte benötigt, ist auch Murks.
>
> Nein, das ist Absicht und durchaus sinnvoll.

Ach.

>> Insbesondere bei Rechnern in der alleinigen Verfügung von
>> Endanwendern.
>
> Auch wenn es sich um die *selbe* Person handelt, sind es doch
> (mindestens) 2 "Rollen" in denen auf solchen Rechnern der User
> taetig ist: als "Benutzer" und als "Administrator". Fuer letzteres
> hat er gefaelligst die notwendige Disziplin aufzubringen

Jaja.

> und entsprechend kritisch mit dem Rechner und ggfs. zu
> installierender
> Software umzugehen, als Benutzer hat er nicht die Rechte,

Und wie kann er kritisch umgehen?

> um administrative Aufgaben zu erledigen (und das ist gut so und
> auch so gedacht). Das ist das Konzept der "Rechtetrennnng, und das
> hat sich (nicht nur bei Windows) seit Jahrzehnten bewaehrt. Nur
> Idioten ignorieren oder bezweifeln die Sinnhaftigkeit dieser
> Trennung.

Nichts hat sich bewährt, weil Windows sich durchaus überlisten läßt
und Nutzer noch viel leichter.

AV Programme mildern das Problem.

Grüße Harald

[Harald Hengel]

Philipp Schneider schrieb:

>> Schon bei der Installation muss ich bei Windows des öfteren
>> (meistens?) mit Admin-Rechten arbeiten.
>
> Ja.
>
> Wie soll man denn sonst Software _installieren_?
>
> Wenn man zur _Benutzung_ Admin-Rechte braucht, ist es Murks.

Hat jemand anderes gesagt?

Grüße Harald

[Harald Hengel]

Juergen Ilse schrieb:

> Die Wirklichkeit sieht fuer *sehr* *viele* kompetente
> Windows-Nutzer (nein, niocht die Idioten, die sich nur fuer
> kompetent halten, sondern die, die wirklich wissen was sie tun)
> genauso aus: Administrator-Account fuer das administrieren, normale
> User-Accounts (ohne Admin-Rechte) fuer das normale arbeiten. Und
> (Ueberraschung) bei denen funktioniert das auch.

In der Vergangenheit wurde nur all zu oft das Gegenteil bewiesen.

Grüße Harald

[Harald Hengel]

Juergen Ilse schrieb:

> Und was hilft in dem Fall ein Virenscanner? Richtig: nichts!

Ach, du hälst Micrsosoft für blöd, weil sie einen Virenscanner ins
System integriert haben.

Die meisten Viren kann ein Virenscanner abhalten.

Du hälst eine Bremse beim Auto sicher auch für überflüssig, de kann ja
versagen oder den Tresor der Bank, den kann man knacken...

>>>>> Nur Idioten ignorieren

die Realität.

>> Und die anderen nennst Du ganz salopp "Idioten" ... schon damit Du
>> Dich über sie erheben kannst.
>
> Nein. Ich nenne sie Idioten, weil sie (auch wenn sie die Erklaerung
> fuer die Sinnhaftigkeit dieser Trennung erhalten haben) die
> Sinnhaftigkeit einer solchen Trennung ignorieren. Und das tue ich,
> weil dann deren Verhalten tatsaechlich idiotisch *IST*.

Idiotisch ist, zu glauben, dass Anwender sich intensiv mit dem
Betreibssystem beschäftigen.

Sie machen das, was ihnen das Betriebssystem erlaubt.

Nur Idioten kritisieren die Anwender.

Grüße Harald

[Helmut Hullen]

Hallo, Herrand,

Du meintest am 05.01.16:

>> BTW: Kennst du eigentlich 'das normale Leben' außerhalb deiner
>> 'Administrations-Tätigkeit'? Das war eine rhetorische Frage.

> Gerade jenes von dir zitierte 'normale Leben' verneint die oben von
> dir geaeusserten Vorstellungen, hingegen bejaht es die absolute
> Notwendigkeit zur Ergreifung entsprechender Sicherheitsmassnahmen zur
> Genuege.

Bullshit-Bingo.

"absolute Notwendigkeit", "Ergreifung", "entsprechender ...massnahmen" -
das sind Schlagworte ohne konkreten Inhalt. Werbefuzzy-Sprache.

Viele Gruesse!
Helmut

[Herrand Petrowitsch]

Mathias Fuhrmann schrieb:
> Herrand Petrowitsch schrieb:
>> Mathias Fuhrmann schrieb:

>>> ich bin also in deinen Augen ein Idiot (ja, das geht mir tatsächlich
>>> an der gewissen Stelle vorbei), weil ich z.B. nicht deinen
>>> Vorstellungen folge, welche i.d.A. die einzigen richtigen sind.
>>> Ich nutze _meine_ Rechner schon über 30 Jahre nur persönlich,
>
>> was keinerlei Relevanz zur Sache hat,
>

> Es bedeutet, daß ich nur für mein Handel die Verantwortung trage, wäre
> ich 'Administrator' bei/auf fremden Rechnern, wäre es evtl. anders.

Dabei uebersiehst du (nebst vielen anderen) offenbar gerne, dass es
nicht alleine um lokale Verantwortung geht.

Es obliegt der Verantwortung jedes Betreibers von Rechnern, fuer dessen
Sicherheit nach innen UND aussen Sorge zu tragen. Nicht mehr, aber auch
nicht weniger.

Ueberdenke bitte das folgende Szenario:

Wenn du beispielsweise auf einem abgeschotteten (offline!) und somit
vermeintlich sicheren, aber nicht gepatchten System eine verseuchte
Datei von einem externen Datentraeger oeffnest und somit deren
Schadcode, der gerade eine Patchluecke ausnuetzt, ausfuehrst, wirst du
dies vielleicht auf dem abgeschotteten Rechner nicht oder nicht sogleich
bmerken. Nach Bearbeitung dieser Datei wirfst du sie oder eine andere,
gleichartige, mittlerweile ebenfalls (vorerst unbemerkt) von diesem
Schadcode befallene Datei auf den Stick oder die CD oder ... und gibst
sie so weiter. Danach wird der Schadcode am Zielrechner deines Bekannten
oder Geschaeftspartners aktiv.

Von mir kann das ja nicht kommen, denkt sich der unbedarfte Verbreiter.

[...]

>>> Und Anfänger werden bestimmt nicht deinen Vorstellungen folgen, die
>>> sind froh, wenn es 'funktioniert'
>
>> und kommen dann irgendwann jammernd angelaufen ("hilfe, du hattest
>> damals recht"). Vielfach erlebtes Bild.
>

> Meine wenigen Bekannten, bei welchen ich auf Wunsch und unverbindlich
> den Rechner, den Browser, etwas sicherer einstelle und diese
^^^^^^^^^^^^^^
> Einstellungen genauer erkläre, damit sie nicht ausgesperrt bleiben,
> sind mir dankbar.

Das oben Unterstrichene bedeutet nicht zwingend sicher.

> [...]
> Ich lösche mögliche Schadprogramme mit deren Einverständnis

In dieser Situation sind Anti-Irgendwas-Programme idR gar nicht (mehr)
in der Lage, bereits mutierte und Freunde nachgeladen habende
Schadsoftware zu eliminieren. Im Gegenteil: der Schaden schlaengelt sich
bereits elegant am Anti-Dingsbums vorbei. So entstehen u.a. Botnetze.

> und teile
> ihnen mit, daß Onlinebanking u.U. nicht mehr sicher ist.

Wobei du dir das "u.U." bei den Herbeibetern dieses Zustandes aka als
staendig unter Adminrechten arbeitenden Benutzern getrost sparen kannst.

> Dazu sollten
> sie ihr Windows neu aufsetzen bzw. aufsetzen lassen
> [...]

>> P.S.: Lass bitte dieses unsaegliche und darueber hinaus grossteils
>> wirkungslose "X-No-Archive: yes" beiseite.
>

> :-))
> Meine Beiträge sind eine normale Archivierung nicht wert.

Dann schreibe halt keine. :-)

[Thorsten Klein]

Am 05.01.2016 um 13:17 schrieb Juergen Ilse:
> Auch wenn es sich um die *selbe* Person handelt, sind es doch (mindestens)
> 2 "Rollen" in denen auf solchen Rechnern der User taetig ist: als "Benutzer"
> und als "Administrator". Fuer letzteres hat er gefaelligst die notwendige
> Disziplin aufzubringen und entsprechend kritisch mit dem Rechner und ggfs. zu
> installierender Software umzugehen, als Benutzer hat er nicht die Rechte,
> um administrative Aufgaben zu erledigen (und das ist gut so und auch so
> gedacht). Das ist das Konzept der "Rechtetrennnng, und das hat sich (nicht
> nur bei Windows) seit Jahrzehnten bewaehrt. Nur Idioten ignorieren oder
> bezweifeln die Sinnhaftigkeit dieser Trennung.

Komisch, dass ich nun am dritten Unternehmen seit dem Studium immer
lokale Adminrechte an meinem Arbeitsplatz habe. Lokale Benutzer mit
eingeschränkten Rechten gibts nicht. Eins von den Unternehmen ist sogar
ein internationaler Grosskonzern. Software, die ich zum arbeiten
brauchte und vom EDV Team nicht standardmässig installiert wird,
musste/durfte ich mir immer selbst installieren.

Daheim handhabe ich es sicherlich so wie beschrieben mit der Trennung.

[Thorsten Klein]

Am 05.01.2016 um 16:48 schrieb Helmut Hullen:
> Hmmm - Microsofts Betriebssysteme als Malware zu diffamieren ist doch
> etwas grob.

Malware ist es nicht, vielmehr Spyware. Aber das ist ein anderes Thema.

[Helmut Hullen]

Hallo, Herrand,

Du meintest am 05.01.16:

>> Es bedeutet, daß ich nur für mein Handel die Verantwortung trage,
>> wäre ich 'Administrator' bei/auf fremden Rechnern, wäre es evtl.
>> anders.

> Dabei uebersiehst du (nebst vielen anderen) offenbar gerne, dass es
> nicht alleine um lokale Verantwortung geht.

> Es obliegt der Verantwortung jedes Betreibers von Rechnern, fuer
> dessen Sicherheit nach innen UND aussen Sorge zu tragen. Nicht mehr,
> aber auch nicht weniger.

Bestenfalls moralisch. Nicht jedoch rechtlich.
Du arbeitest mal wieder als Kinderschreck.

Viele Gruesse!
Helmut

[Thorsten Klein]

Nach dem Krieg pro oder Contr Virenscannern und wie man seinen Rechner
zu führen hat, könnten wir vielleicht zur Ursprungsfrage zurückkommen?

Ich beziehe mich auf Heimrechner, wo es keinen gesonderten Admin gibt
und der Benutzer auch keine aussergewöhnlich hohen
Administrationskenntnisse hat, dennoch aber Software installieren und
konfigurieren muss.

[Stefan Kanthak]

"Thorsten Klein" <du....@ich-tarzan.de> schrieb:

> Am 05.01.2016 um 13:17 schrieb Juergen Ilse:

[...]

>> Das ist das Konzept der "Rechtetrennnng, und das hat sich (nicht
>> nur bei Windows) seit Jahrzehnten bewaehrt. Nur Idioten ignorieren oder
>> bezweifeln die Sinnhaftigkeit dieser Trennung.
>
> Komisch,

Falsch. TRAURIG.

> dass ich nun am dritten Unternehmen seit dem Studium immer
> lokale Adminrechte an meinem Arbeitsplatz habe.

Schoenen Gruss an die Verantwortlichen VOLLIDIOTEN: sie handeln
GROB fahrlaessig bzw. mit VORSATZ!
Kauf Dir einen Vogonen, der ihnen das Grundschutzhandbuch des BSI
vorliest.

> Lokale Benutzer mit eingeschränkten Rechten gibts nicht.

"Zwei Dinge sind unendlich: das Weltall und die menschliche Dummheit."

> Eins von den Unternehmen ist sogar ein internationaler Grosskonzern.

Dann sind's besonders viele Vollidioten.

> Software, die ich zum arbeiten brauchte und vom EDV Team nicht
> standardmässig installiert wird, musste/durfte ich mir immer selbst
> installieren.

Dummerweise koenntest Du das ebenso, wenn Du standardmaessig in einem
unprivilegierten Benutzerkonto arbeiten wuerdest.

> Daheim handhabe ich es sicherlich so wie beschrieben mit der Trennung.

Dann kannst Du es dem EDV-Team Deiner Firma ja mal beibringen.

Stefan

[Philipp Schneider]

On Tue, 05 Jan 2016 12:47:00 +0100, Helmut Hullen wrote:

> Am Rande: auch Admins lassen sich übertölpeln, auch sie machen Fehler.

Ja. Aber dann habe ich ein Problem. Unabhängig vom Betriebsystem, egal ob
mit oder ohne Virenscanner.

[Philipp Schneider]

On Tue, 05 Jan 2016 20:54:41 +0100, Thorsten Klein wrote:

> Nach dem Krieg pro oder Contr Virenscannern und wie man seinen Rechner
> zu führen hat, könnten wir vielleicht zur Ursprungsfrage zurückkommen?

Die Streithähne in diesem Thread werden auch auf keinen gemeinsamen
Nenner kommen.

> Ich beziehe mich auf Heimrechner, wo es keinen gesonderten Admin gibt
> und der Benutzer auch keine aussergewöhnlich hohen
> Administrationskenntnisse hat, dennoch aber Software installieren und
> konfigurieren muss.

Surfst du mit Adminrechten im Internet?

[Lars Gebauer]

Thorsten Klein schrieb:

> Ich beziehe mich auf Heimrechner, wo es keinen gesonderten Admin gibt

Auf diesem Heimrechner gibt es Benutzer und Admin in Personalunion.

> und der Benutzer auch keine aussergewöhnlich hohen
> Administrationskenntnisse hat,

Muß er auch nicht haben.

> dennoch aber Software installieren und
> konfigurieren muss.

Ein (unprivilegiertes) Benutzerkonto anzulegen ist kein besonders großes
Problem und mit wenigen Mausklicks erledigt. Dieses Konto wird dann für
die normale tägliche Arbeit genutzt. Das funktioniert - entgegen allen
Unkenrufen - mittlerweile recht gut sofern keine außergewöhnlich blöde
Software zum Laufen gebracht werden muß.

Für die Installation (oder Konfiguration sofern notwendig) von Software
wird dann das Administratorkonto benutzt. Aber eben nur dafür,
keinesfalls für die normale Arbeit.

Da man üblicherweise nicht jeden Tag fünferlei Software installiert hält
sich der Mehraufwand durch den dann erforderlichen Kontenwechsel in
engen Grenzen, der Gewinn betreffs Sicherheit ist allerdings recht hoch.

[Helmut Hullen]

Hallo, Philipp,

Du meintest am 05.01.16:

>> Ich beziehe mich auf Heimrechner, wo es keinen gesonderten Admin
>> gibt und der Benutzer auch keine aussergewöhnlich hohen
>> Administrationskenntnisse hat, dennoch aber Software installieren
>> und konfigurieren muss.

> Surfst du mit Adminrechten im Internet?

Zu den Grenzen von SAFER/SRP/Safer.inf hat Stefan Kanthak sich des
öfteren geäussert:


am 26.5.13:
Bisher kenne ich fuer jede Windows-Version mindestens eine auf solchen
Schlampereien basierende Moeglichkeit, Code einzuschleusen und diesen mit
Administrator- oder LocalSystem-Privilegien auszufuehren.

am 4.6.13:
Erst eine weitere Luecke, z.B. in Deinem Web-Browser, Deinem Mail-
Programm, Deinem PDF- oder Word/Excel/PowerPoint-Viewer, Deinem Bild-
Betrachter oder MediaPlayer etc., ueber die sich Code einschleusen und
ausfuehren laesst, fuehrt dann zum Ernstfall.

am 21.8.13:
0. Unter Wixxa und Nachfolgern sind die Benutzer IMMER NOCH im
Administrator-Konto unterwegs!

am 13.9.13:
Dummerweise genuegt EIN Mausklick, und volle Administratorrechte zu
erlangen! Welcher ONU bricht denn ab, wenn ein Programm volle Rechte
anfordert?

am 30.9.13:
Mickeysoft hat SAUDUMMERWEISE vor 20 Jahren den nichtwiedergutzumachenden
Fehler begangen, alle in eNTe vorhandenen Sicherheitsbarrieren NICHT zu
benutzen, und das noch mit dem FADENSCHEINIGEN "Argument" Kompatibilitaet
begruendet.
Dabei war das NEUE Win32-API INKOMPATIBEL zum Win16- und DOS-API.

Und vor 10 Jahren haben sie eine weitere, ebenso grosse Dummheit obendrauf
gesetzt: UAC^WSicherheitskasperltheater. Noch immer laesst Mickeysoft die
nichtsahnenden unbedarften Benutzer in ADMINISTRATOR-Konten herumspielen!

am 6.1.14:
JFTR: M$FT traut sich seit 20 Jahren auch nicht, die bei der Installation
eingerichteten Benutzerkonten als STANDARD-Benutzer ohne Administratorrechte
anzulegen.... obwohl "Anwendungsprogramme muessen ohne Administratorrechte"
laufen eine MINIMAL-Forderung der o.g. 18 Jahre alten Richtlinien ist.

am 7.1.14
Dummerweise ist Schad-Software nicht von Gut-Software unterscheidbar!

am 17.5.15
Halbwegs aktuelle Schaedlinge laufen OHNE Administratorrechte.
Insbesonders die, die die Dateien im Benutzerprofil verschluesseln.

<news:mjau1q$5o$1...@adenine.netfront.net>

am 29.7.15
In Standardeinstellung der UAC ist es TRIVIAL, auch ohne UAC-Prompt
Administratorrechte zu erlangen.

<news:mpbcuh$pb6$1...@adenine.netfront.net>

----------------- Ende der Kanthak-Zitate --------------

Also: Schädlinge kannst Du Dir auch ohne Admin-Rechte einfangen.

Es gibt nun mal keine absolute Sicherheit.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Philipp,

Du meintest am 05.01.16:

>> Am Rande: auch Admins lassen sich übertölpeln, auch sie machen
>> Fehler.

> Ja. Aber dann habe ich ein Problem. Unabhängig vom Betriebsystem,
> egal ob mit oder ohne Virenscanner.

Eben! So etwas kann vorkommen, so etwas kommt vor. Auch bei einem hier
von einigen Leuten als Allheilmittel angepriesenen "restriktiven
Sicherheitskonzept".

Wer schützt den Rechner vor einem Administrator, der ja auch nur ein
fehlbarer Mensch ist?

Viele Gruesse!
Helmut

[Herrand Petrowitsch]

Thorsten Klein schrieb:
> Juergen Ilse:

>> [sinnvolle Rechtetrennung]

>> Auch wenn es sich um die *selbe* Person handelt, sind es doch (mindestens)
>> 2 "Rollen" in denen auf solchen Rechnern der User taetig ist: als "Benutzer"
>> und als "Administrator". Fuer letzteres hat er gefaelligst die notwendige
>> Disziplin aufzubringen und entsprechend kritisch mit dem Rechner und ggfs. zu
>> installierender Software umzugehen, als Benutzer hat er nicht die Rechte,
>> um administrative Aufgaben zu erledigen (und das ist gut so und auch so
>> gedacht). Das ist das Konzept der "Rechtetrennnng, und das hat sich (nicht
>> nur bei Windows) seit Jahrzehnten bewaehrt. Nur Idioten ignorieren oder
>> bezweifeln die Sinnhaftigkeit dieser Trennung.


> Komisch, dass ich nun am dritten Unternehmen seit dem Studium immer
> lokale Adminrechte an meinem Arbeitsplatz habe. Lokale Benutzer mit
> eingeschränkten Rechten gibts nicht.

Himmel!

Es ist mir zwar bekannt, dass mancherorts (noch) eingesetzte
Entwicklungs-Software ausschliesslich mit Admin-Rechten laeuft.
Deren schlampende Hersteller gehoeren sowieso zumindest halbwegs
gesteinigt, auch wenn sie mit einiger Verspaetung dann doch noch ein auf
die aktuellen Gegebenheiten zugeschnittenes Produkt zustande brachten.

> [...]

> Eins von den Unternehmen ist sogar
> ein internationaler Grosskonzern.

> Daheim handhabe ich es sicherlich so wie beschrieben mit der Trennung.

[Herrand Petrowitsch]

Thorsten Klein schrieb:
> Juergen Ilse:

>> [sinnvolle Rechtetrennung]

> Komisch, dass ich nun am dritten Unternehmen seit dem Studium immer
> lokale Adminrechte an meinem Arbeitsplatz habe. Lokale Benutzer mit
> eingeschränkten Rechten gibts nicht.

Himmel!

Es ist mir zwar bekannt, dass mancherorts (noch) eingesetzte
Entwicklungs-Software ausschliesslich mit Admin-Rechten laeuft.
Deren schlampende Hersteller gehoeren sowieso zumindest halbwegs
gesteinigt, auch wenn sie mit einiger Verspaetung dann doch noch ein auf
die aktuellen Gegebenheiten zugeschnittenes Produkt zustande brachten.

> [...]

> Eins von den Unternehmen ist sogar
> ein internationaler Grosskonzern.

Wobei ich einmal nicht annehme, dass du ... ;-)

> Daheim handhabe ich es sicherlich so wie beschrieben mit der Trennung.

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>>>>>> Nur Idioten ignorieren oder
>>>>>> bezweifeln die Sinnhaftigkeit dieser Trennung.
>>>>> Tolles Argument. Du verwechselst Sinnhaftigkeit mit Umsetzung.
>>>> Ich verwechsele da gar nichts, ich setze das so um (und viele
>>>> andere nicht ganz so stur auf "funktioniert doch in der Praxis
>>>> sowieso nicht" vernagelten Nutzer auch). Ja, das funktioniert,
>>>> nicht nur in der Theorie sondern ganz praktisch an laufenden
>>>> Rechnern.
>>> Und die anderen nennst Du ganz salopp "Idioten" ... schon damit Du
>>> Dich über sie erheben kannst.
>> Nein. Ich nenne sie Idioten, weil sie (auch wenn sie die Erklaerung
>> fuer die Sinnhaftigkeit dieser Trennung erhalten haben) die
>> Sinnhaftigkeit einer solchen Trennung ignorieren. Und das tue ich,
>> weil dann deren Verhalten tatsaechlich idiotisch *IST*.
> Wenn eine solche Trennung in der Theorie wunderschön klingt, in der
> Praxis aber z.B. an der Personalunion des Trägers beider Rollen
> scheitert:

Wieso sollte sie daran scheitern? Selbstverstaendlich ist es moeglich,
dass eine einzige Person mehrere Rollen ausfuellt und trotzdem eine
Trennung dieser Rollen durchzieht. ja, das funktioniert, sogar ohne
dass man dazu schizophren sein muss.

> welchen Wert hat dann diese Theorie für die Praxis?

Warum glaubst du, dass das in der Praxis nicht funktionieren kann?
Es funktioniert auch in der Praxis, wenn der Admin seine Rollen als
Administrator und als User auseinanderhaelt (und ja, das ist moeglich,
solange ihnen nicht immer wieder Leute wie du oder Garald einzureden
versuchen, dass so etwas sowieso nicht funktionieren koenne).

[Juergen Ilse]

Hallo,

Mathias Fuhrmann <yz.sh...@spamfence.net> wrote:
> Es bedeutet, daß ich nur für mein Handel die Verantwortung trage, wäre
> ich 'Administrator' bei/auf fremden Rechnern, wäre es evtl. anders.

Welchen Grund sollte es geben, fuer meine eigenen Rechner nicht die
selben bewaehrten <schutzmassnahmen anzuwenden, die man bei fremden
Rechnern als Administrator durchsetzt? Ausser bewusster Fahrlaaessigkeur
meine ich.

> Ich bin im Bekanntenkreis als Sicherheitsfanatiker verschrien. ;-)

Mit deiner Verweigerung elementarster Sicherheitsmassnahmen wie der
Anwendung der vom Betriebssystem bereitgestellten Rechtetrennung?
Hast du wirklich keine einzige halbwegs EDV-kundige Person in deinem
Bekanntenkreis? Oder wie kommen die zu dieser krassen Fehleinschaetzung?

> Ich lösche mögliche Schadprogramme mit deren Einverständnis und teile

> ihnen mit, daß Onlinebanking u.U. nicht mehr sicher ist.

Ein kompromittiertes System nicht neu aufzusetzen, sondern sich an
einer "Reinigung" zu versuchen, ist i.a. hochgradig fahrlaessig.

> Meine Beiträge sind eine normale Archivierung nicht wert.

Das scheint eine der wenigen zutrefenden Aussagen in deinen Postings
zu sein ...

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>> Dabei uebersiehst du (nebst vielen anderen) offenbar gerne, dass es
>> nicht alleine um lokale Verantwortung geht.
>> Es obliegt der Verantwortung jedes Betreibers von Rechnern, fuer
>> dessen Sicherheit nach innen UND aussen Sorge zu tragen. Nicht mehr,
>> aber auch nicht weniger.
> Bestenfalls moralisch. Nicht jedoch rechtlich.

Leider. Solange die Vollidioten keine Verantwortung fuer ihre Fahrlaessig-
keit uebernehmen muessen, werden viele davon leider nie vernueftig ...

Tschuess,
Juergen Ilse (jue...@usenet-erwaltung.de)

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:
> Die meisten Viren kann ein Virenscanner abhalten.

Wenn ein neuer auftaucht (und es tauchen taeglich neue auf), dauert es
i.d.R. einige Stunden, bis der zum ersten Mal bei den Virenscanner-
Herstellern zur Verfuegung steht. Dann vergehen i.d.R. weitere 8 Stunden
nis mehrere Wochen, bis die Erkennung des Schaedlings in die Updates der
Virenscanner-Sodtware eingebaut ist. Das kann man sehr schoen beobachten,
wenn man so manches per Mail erhaltene Stueck Software mal ueber laengere
Zeit immer wieder bei z.B. jotti.org einwirft: zuerst kennt es oftmals
kein einziger der um die 40 verschiedenen Scanner mit denen das Ding dort
untersucht wird im Laufe der folgenden Tage und Wochen wird es dann von
immer mehr Scannern als Schadsoftware erkannt. Nur nuetzt das nichts,
wenn man es bis dahin schon auf seinem Rechner ausgefuehrt und damit
den eigenen Rechner verseucht hat ...

>>> Und die anderen nennst Du ganz salopp "Idioten" ... schon damit Du
>>> Dich über sie erheben kannst.
>> Nein. Ich nenne sie Idioten, weil sie (auch wenn sie die Erklaerung
>> fuer die Sinnhaftigkeit dieser Trennung erhalten haben) die
>> Sinnhaftigkeit einer solchen Trennung ignorieren. Und das tue ich,
>> weil dann deren Verhalten tatsaechlich idiotisch *IST*.
> Idiotisch ist, zu glauben, dass Anwender sich intensiv mit dem
> Betreibssystem beschäftigen.

Um die elementarsten Sicherheitsregeln (die du aus Dummheit ignorierst)
einzuhalten, muss man kein Experte sein: sich einmal die Massnahmen
erklaeren lassen und etwas Disziplin, um sie dann auch umzusetzen,
genuegt voellig.

[Juergen Ilse]

Hallo,

Thorsten Klein <du....@ich-tarzan.de> wrote:
> Ich beziehe mich auf Heimrechner, wo es keinen gesonderten Admin gibt

Wenn es keinen gesonderten Admin-Account neben einem Account mit ein-
fachen Benutzerrechten gibt, ist das bereits ein (bedauerlicher) Fehler,
auf den *leider* nei der Installation des Systems von Microsoft nicht
ausreichend hingewiesen wird ...

[Harald Hengel]

Juergen Ilse schrieb:

> Wieso sollte sie daran scheitern? Selbstverstaendlich ist es
> moeglich, dass eine einzige Person mehrere Rollen ausfuellt und
> trotzdem eine Trennung dieser Rollen durchzieht. ja, das
> funktioniert, sogar ohne dass man dazu schizophren sein muss.

Sicher?
Du willst hier wirklich behaupten, der Ahnungslose ONU kann das?

>> welchen Wert hat dann diese Theorie für die Praxis?
>
> Warum glaubst du, dass das in der Praxis nicht funktionieren kann?

Weil dem ONU die Ahnung fehlt.

> Es funktioniert auch in der Praxis, wenn der Admin seine Rollen als
> Administrator und als User auseinanderhaelt (und ja, das ist
> moeglich, solange ihnen nicht immer wieder Leute wie du oder Garald
> einzureden versuchen, dass so etwas sowieso nicht funktionieren
> koenne).

Du bist ein dummer Laberheini.
Sorry, anders kann man dich und deines gleichen nicht bezeichnen.

Alles was du vorschlägst setzt eine gewisse Ahnung vorraus, die du bei
>95% der Anwender nicht erwarten kannst.

Grüße Harald

[Harald Hengel]

Mathias Fuhrmann schrieb:

> BTW: Kennst du eigentlich 'das normale Leben' außerhalb deiner
> 'Administrations-Tätigkeit'? Das war eine rhetorische Frage.

Was für eine Frage an einen selbsternannten Gott.

Grüße Harald

[Harald Hengel]

Helmut Hullen schrieb:

> Du scheinst inzwischen fast nur noch mit "aber Virenscanner ..."
> argumentieren zu können. Dünn.

Das einzige Konzept was er anderen vorschlägt ist, Virenscanner
wegzulassen.

Und er schlägt eine sichere Konfiguration vor, ist aber nicht in der
Lage das für eine ONU nur halbwegs braucbar zu erklären.

Er hasst eben Virenscanner, was vermuten läßt, dass er
Virenprogrammierer ist.

>> Nein. Ich nenne sie Idioten, weil sie (auch wenn sie die Erklaerung
>> fuer die Sinnhaftigkeit dieser Trennung erhalten haben) die
>> Sinnhaftigkeit einer solchen Trennung ignorieren. Und das tue ich,
>> weil dann deren Verhalten tatsaechlich idiotisch *IST*.
>

> Wenn eine solche Trennung in der Theorie wunderschön klingt, in der
> Praxis aber z.B. an der Personalunion des Trägers beider Rollen

> scheitert: welchen Wert hat dann diese Theorie für die Praxis?

Für den Virenprogrammierer Jürgen Ilse hat es auf jeden Fall einen
Wert.

Grüße Harald

[Harald Hengel]

Philipp Schneider schrieb:

Du meinst, wenn der Admin dir einen Virus unterjubelt findet ihn der
Scanner neimals?

Grüße Harald

[Harald Hengel]

Juergen Ilse schrieb:

> Haettest du den Text nicht aus dem Zusammenhang gerissen, waere dir
> aufge- fallen, dass hier von der *NUTZUNG* der Software die Rede
> ist, nicht von administrativen Aufgaben (die natuerlich mit
> Administrator-Rechten ausge- fuehrt werden) wie z.B. der
> Installation.

Würdest du nicht so furchtbar lügen hättest du das nicht behaupten
können.

Hier ist nicht nur von Nutzung die rede.

> Wenn ich Kommentare wie deinen lese, habe ich das Gefuehl, ich
> haette es mit hirnverbrannten Vollidioten zu tun

Du musst nicht in anderen sehen was du selbst bist.

> Mit einer Einstellung wie deiner zur Sicherheit in der EDV haettest
> du bei keiner ernsthaften Pruefung bzgl. EDV-Security auch nur den
> Hauch einer Chance.

Sie ist um Welten besser als deine.

> Btw. ich bereite mich gerade auf "CCNA Security" vor
> (nach- dem ich "CCNA Routing & Switching" vor kurzem erfolgreich
> erneuert und mir fuer die3ses Jahr noch "CCNP Routing & Switching"
> vorgenommen habe).

Das hört sich richtig wichtig an,.

Ich glaube aber nicht, dass du es verstanden hast oder jemals
verstehen wirst.

>> Nimmt mich nur wunder, wo Du überhaupt als echter Admin
>> funktionierst?
>
> Netzwerk-Administrator. Seit vielen Jahren.

Und du hortest sicher einen Park von Viren.

Grüße Harald

[Harald Hengel]

Lars Gebauer schrieb:

> Für die Installation (oder Konfiguration sofern notwendig) von
> Software wird dann das Administratorkonto benutzt. Aber eben nur
> dafür, keinesfalls für die normale Arbeit.

Und das ist das Problem.

> Da man üblicherweise nicht jeden Tag fünferlei Software installiert
> hält sich der Mehraufwand durch den dann erforderlichen
> Kontenwechsel in engen Grenzen, der Gewinn betreffs Sicherheit ist
> allerdings recht hoch.

ROTFL.

Das verhindert, dass sich jemand einen Virus einfämgt?

Grüße Harald

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

> Ein kompromittiertes System nicht neu aufzusetzen, sondern sich an
> einer "Reinigung" zu versuchen, ist i.a. hochgradig fahrlaessig.

Ein weiterer unsinniger Dauerbrenner.

Du weisst nie, ob ein System kompromittiert ist. Also müsstest Du dieses
System unentwegt neu aufsetzen - Unsinn.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>> Die meisten Viren kann ein Virenscanner abhalten.

> Wenn ein neuer auftaucht (und es tauchen taeglich neue auf), dauert
> es i.d.R. einige Stunden, bis der zum ersten Mal bei den
> Virenscanner- Herstellern zur Verfuegung steht.

Ja und? Du kennst die Bedeutung von "die meisten"?

> Nur nuetzt das nichts, wenn man
> es bis dahin schon auf seinem Rechner ausgefuehrt und damit den
> eigenen Rechner verseucht hat ...

Das Dauerbrenner-Bwehr-Argument: "weil xyz nicht _alles_ erwischt, ist
es _komplett_ untauglich".

Das gilt auch für Dein Bündel von Sicherheitsmassnahmen - keine von
ihnen reicht als alleinige Massnahme.

>> Idiotisch ist, zu glauben, dass Anwender sich intensiv mit dem
>> Betreibssystem beschäftigen.

> Um die elementarsten Sicherheitsregeln (die du aus Dummheit
> ignorierst) einzuhalten, muss man kein Experte sein: sich einmal die
> Massnahmen erklaeren lassen und etwas Disziplin, um sie dann auch
> umzusetzen, genuegt voellig.

Daraus folgt nicht, dass Anwender sich tatsächlich intensiv mit dem
Betriebssystem beschäftigen. Weder in der Firma noch zuhause. Du
dekorierst Deinen Traum vom Paradies nur mal wieder mit Attacken zur
Person - gaaanz schlechter Diskussionsstil.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>> Ich beziehe mich auf Heimrechner, wo es keinen gesonderten Admin
>> gibt

> Wenn es keinen gesonderten Admin-Account neben einem Account mit ein-
> fachen Benutzerrechten gibt, ist das bereits ein (bedauerlicher)
> Fehler, auf den *leider* nei der Installation des Systems von
> Microsoft nicht ausreichend hingewiesen wird ...

Du sagst es ...
Und auch ein solcher Hinweis hilft nicht gegen Schadsoftware. Er zeigt
nur den Weg, wie Sicherheitsmassnahmen umgangen werden können.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>> Wenn eine solche Trennung in der Theorie wunderschön klingt, in der
>> Praxis aber z.B. an der Personalunion des Trägers beider Rollen
>> scheitert:

> Wieso sollte sie daran scheitern? Selbstverstaendlich ist es
> moeglich, dass eine einzige Person mehrere Rollen ausfuellt und
> trotzdem eine Trennung dieser Rollen durchzieht. ja, das
> funktioniert, sogar ohne dass man dazu schizophren sein muss.

Und schon wieder: Du verwechselst Theorie ("es ist möglich") mit der
Praxis.

>> welchen Wert hat dann diese Theorie für die Praxis?

> Warum glaubst du, dass das in der Praxis nicht funktionieren kann?

"es kann" ist die Theorie.

> Es funktioniert auch in der Praxis, wenn der Admin seine Rollen als
> Administrator und als User auseinanderhaelt

Nein - als Admin kann er jede Sicherheitsmassnahme umgehen.

> (und ja, das ist
> moeglich, solange ihnen nicht immer wieder Leute wie du oder Garald
> einzureden versuchen, dass so etwas sowieso nicht funktionieren
> koenne).

Wir versuchen so etwas nicht, wir beschreiben nur die Praxis. Und die
Praxis zeigt nun mal, dass die Theorie von viiielen Endanwendern nicht
umgesetzt wird. Kein Paradies auf Erden.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Harald,

Du meintest am 05.01.16:

> Er hasst eben Virenscanner, was vermuten läßt, dass er
> Virenprogrammierer ist.

Nein - Jürgen scheint nur darauf zu hoffen, dass irgendwann das Paradies
auf Erden kommt.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>>> Es obliegt der Verantwortung jedes Betreibers von Rechnern, fuer
>>> dessen Sicherheit nach innen UND aussen Sorge zu tragen. Nicht
>>> mehr, aber auch nicht weniger.

>> Bestenfalls moralisch. Nicht jedoch rechtlich.

> Leider.

Also ist diese Forderung nicht durchsetzbar. Nur so gehaltvoll wie "edel
sei der Mensch, hilfreich und gut ..."

> Solange die Vollidioten keine Verantwortung fuer ihre
> Fahrlaessig- keit uebernehmen muessen, werden viele davon leider nie
> vernueftig ...

Von welchem Paradies auf Erden träumst Du?

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 05.01.16:

>> Ich bin im Bekanntenkreis als Sicherheitsfanatiker verschrien. ;-)

> Mit deiner Verweigerung elementarster Sicherheitsmassnahmen wie der
> Anwendung der vom Betriebssystem bereitgestellten Rechtetrennung?

Schwarz-Weiss-Malerei? Anlegen unsinniger Kriterien?

Du scheinst die Qualifikation eines Admin daran zu messen, ob er
bestimmte von Dir definierte Kriterien brav erfüllt. Nicht jedoch daran,
ob sein System frei von Schädlingen ist (soweit das feststellbar ist).
"Schema F" mag für Formalisten eine Stütze sein, sie beruhigt aber nur
dessen Gewissen.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Herrand,

Du meintest am 05.01.16:

> Es ist mir zwar bekannt, dass mancherorts (noch) eingesetzte
> Entwicklungs-Software ausschliesslich mit Admin-Rechten laeuft.
> Deren schlampende Hersteller gehoeren sowieso zumindest halbwegs
> gesteinigt, auch wenn sie mit einiger Verspaetung dann doch noch ein
> auf die aktuellen Gegebenheiten zugeschnittenes Produkt zustande
> brachten.

Klar - die von Microsoft ausgelieferten Sicherheitslücken müssen also
nicht Microsoft um die Ohren gehauen werden, sondern den Anwendern. Du
argumentierst pervers.

Viele Gruesse!
Helmut

[Philipp Schneider]

Ich wollte sagen: wenn der Admin Fehler macht, ist das System
kompromittiert. Ein Virenscanner kann das mit gewisser Wahrscheinlichkeit
aufdecken.

Mein Fazit: wir werden genug Argumente für und gegen einen Virenscanner
finden.

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:

> Juergen Ilse schrieb:
>> Wieso sollte sie daran scheitern? Selbstverstaendlich ist es
>> moeglich, dass eine einzige Person mehrere Rollen ausfuellt und
>> trotzdem eine Trennung dieser Rollen durchzieht. ja, das
>> funktioniert, sogar ohne dass man dazu schizophren sein muss.
> Sicher?
> Du willst hier wirklich behaupten, der Ahnungslose ONU kann das?

Wenn er nicht voellig merkbefreit ist: ja, natuerlich. Er kann ja auch z.B.
seine Rolle im Strassenverkehr wechseln zwischen Fussgaenger, Autofahrer,
ggfs. auch Radfahrer oder Motorradfahrer, ohne schizophren zu sein. Warum
sollte er dann am Rechner nicht die selbe Flexibilitaet aufbringen koennen?
Weil Leute wie du ihm das einreden?

>>> welchen Wert hat dann diese Theorie für die Praxis?
>> Warum glaubst du, dass das in der Praxis nicht funktionieren kann?
> Weil dem ONU die Ahnung fehlt.

Wenn man es ihm einmal erklaert, warum sollte er das nicht verstehen?

>> Es funktioniert auch in der Praxis, wenn der Admin seine Rollen als
>> Administrator und als User auseinanderhaelt (und ja, das ist
>> moeglich, solange ihnen nicht immer wieder Leute wie du oder Garald
>> einzureden versuchen, dass so etwas sowieso nicht funktionieren
>> koenne).
> Du bist ein dummer Laberheini.
> Sorry, anders kann man dich und deines gleichen nicht bezeichnen.

Danke gleichfalls.

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:

> Für den Virenprogrammierer Jürgen Ilse hat es auf jeden Fall einen
> Wert.

Eine solche (unbelegte und unbelegbare, weil falsche) Aussage ueber mich
koennte den Tatbestand der ueblichen Nachrede / Verleumdung erfuellen.
Sei froh, dass ich mich nicht so leicht zu einer Anzeige provozieren lasse.

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>>> Die meisten Viren kann ein Virenscanner abhalten.
>> Wenn ein neuer auftaucht (und es tauchen taeglich neue auf), dauert
>> es i.d.R. einige Stunden, bis der zum ersten Mal bei den
>> Virenscanner- Herstellern zur Verfuegung steht.
> Ja und? Du kennst die Bedeutung von "die meisten"?

Was nuetzt es, wenn "die meisten" Viren abgefangen werden, sofern das System
*trotzdem* kompromittiert wird? Nichts.

>> Nur nuetzt das nichts, wenn man es bis dahin schon auf seinem Rechner
>> ausgefuehrt und damit den eigenen Rechner verseucht hat ...
> Das Dauerbrenner-Bwehr-Argument: "weil xyz nicht _alles_ erwischt, ist
> es _komplett_ untauglich".

Im Falle einer Kompromittierung ist das zutreffend: es ist voellig gleich-
gueltig, ob ein System mit einem oder mit Dutzenden verschiedener Schaedlinge
kompromittiert ist: kompromittiert ist kompromittiert.

> Das gilt auch für Dein Bündel von Sicherheitsmassnahmen - keine von
> ihnen reicht als alleinige Massnahme.

Ja. Und da der Virenscanner die Gesamtwirkung des "Buendels von MAssnahmen"
nicht sonderlich erhoeht, sofern zu den Massnahmen "Rechtetrennung" und
"restriktive Konfiguration" gehoeren, ziehe ich die weitaus wirksameren
Massnahmen vor. Werden diese konsequent umgesetzt, wird die Sicherheit
durch einen Virenscanner nicht mehr wesentlich erhoeht, die Komplexitaet
(und damit die Angriffsflaeche) des Systems jedoch deutlich vergroessert.
Schlussfolgerungen bitte selber ziehen.

>>> Idiotisch ist, zu glauben, dass Anwender sich intensiv mit dem
>>> Betreibssystem beschäftigen.
>> Um die elementarsten Sicherheitsregeln (die du aus Dummheit
>> ignorierst) einzuhalten, muss man kein Experte sein: sich einmal die
>> Massnahmen erklaeren lassen und etwas Disziplin, um sie dann auch
>> umzusetzen, genuegt voellig.
> Daraus folgt nicht, dass Anwender sich tatsächlich intensiv mit dem
> Betriebssystem beschäftigen.

Was genau hast du an "muessen sie doch gar nicht" nicht vertanden?
Um Rechtetrennung einzusetzen, muss man sich nicht intensiv mit dem
Betriebssystem auseinandersetzen.

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:

> Lars Gebauer schrieb:
>> Für die Installation (oder Konfiguration sofern notwendig) von
>> Software wird dann das Administratorkonto benutzt. Aber eben nur
>> dafür, keinesfalls für die normale Arbeit.
> Und das ist das Problem.

Das ist eben *KEIN* Problem, sondern bei vielen Anwendern gaengige Praxis.

>> Da man üblicherweise nicht jeden Tag fünferlei Software installiert
>> hält sich der Mehraufwand durch den dann erforderlichen
>> Kontenwechsel in engen Grenzen, der Gewinn betreffs Sicherheit ist
>> allerdings recht hoch.
> ROTFL.
> Das verhindert, dass sich jemand einen Virus einfämgt?

Sie verhindert, dass das System kompromittiert wird. Im Falle einer
Kompromittierung muss man also nur den Benutzeraccount entsorgen, einen
neuen Account anlegen und die Daten vom (unkompromittierten) Backup zurueck-
spielen statt den ganzen Rechner platt zu machen und neu aufzusetzen.

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 06.01.16:

>> Ja und? Du kennst die Bedeutung von "die meisten"?

> Was nuetzt es, wenn "die meisten" Viren abgefangen werden, sofern das
> System *trotzdem* kompromittiert wird? Nichts.

Mal wieder die unsinnige "alles oder nichts"-Argumentation.

Noch mal: keine Schutzmassnahme schützt gegen _alles_ - auch nicht das
von Dir empfohlene Bündel.

Ach ja: warum empfiehlst Du ein Bündel? Etwa weil auch dort keine
einzelne Massnahme _alles_ schafft?

> Im Falle einer Kompromittierung ist das zutreffend: es ist voellig
> gleich- gueltig, ob ein System mit einem oder mit Dutzenden
> verschiedener Schaedlinge kompromittiert ist: kompromittiert ist
> kompromittiert.

Tolle Erkenntnis!
Und da Du nicht jede Kompromittierung sicher erkennen kannst, musst Du
bei jedem System davon ausgehen, dass es "kompromittiert" ist. Was folgt
daraus?

So weit waren wir schon des öfteren. Du installierst sicherlich
mindestens täglich neu?

>> Das gilt auch für Dein Bündel von Sicherheitsmassnahmen - keine von
>> ihnen reicht als alleinige Massnahme.

> Ja. Und da der Virenscanner die Gesamtwirkung des "Buendels von
> MAssnahmen" nicht sonderlich erhoeht, sofern zu den Massnahmen
> "Rechtetrennung" und "restriktive Konfiguration" gehoeren, ziehe ich
> die weitaus wirksameren Massnahmen vor.

Für beliebige Definitionen von "wirksam".

Wie schützt Du das von Dir betreute System vor Fehlern des gewiss nicht
unfehlbaren Admins?

Diese Frage hast Du immer noch nicht beantwortet ...

> Werden diese konsequent
> umgesetzt, wird die Sicherheit durch einen Virenscanner nicht mehr
> wesentlich erhoeht, die Komplexitaet (und damit die Angriffsflaeche)
> des Systems jedoch deutlich vergroessert. Schlussfolgerungen bitte
> selber ziehen.

Ja - "wenn". Stochern im Nebel.
Ach ja - könntest Du "deutlich erhöht" vielleicht quantifizieren?

> Um Rechtetrennung einzusetzen, muss man sich nicht intensiv mit dem
> Betriebssystem auseinandersetzen.

Obwohl es sinnvoll wäre, das bei einem SOHO-Endanwender zu prüfen: da
ist der Benutzer in Personalunion User und Admin. Hattest auch Du schon
gelegentlich eingeräumt. Und dann gibt es faktisch keine Rechtetrennung
mehr.

Ach ja - auch Admins sind nicht unfehlbar.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Philipp,

Du meintest am 06.01.16:

> Mein Fazit: wir werden genug Argumente für und gegen einen
> Virenscanner finden.

Was unterm Strich unsinnig ist - Virenscanner sollten nur 1 Komponente
eines Sicherungssystems sein. Keine Alternative.

Aber dann fehlt einigen Virenscanner-Verteuflern ihr Prügelknabe.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 06.01.16:

>>> Wieso sollte sie daran scheitern? Selbstverstaendlich ist es
>>> moeglich, dass eine einzige Person mehrere Rollen ausfuellt und
>>> trotzdem eine Trennung dieser Rollen durchzieht. ja, das
>>> funktioniert, sogar ohne dass man dazu schizophren sein muss.
>> Sicher?
>> Du willst hier wirklich behaupten, der Ahnungslose ONU kann das?

> Wenn er nicht voellig merkbefreit ist: ja, natuerlich. Er kann ja
> auch z.B. seine Rolle im Strassenverkehr wechseln zwischen
> Fussgaenger, Autofahrer, ggfs. auch Radfahrer oder Motorradfahrer,
> ohne schizophren zu sein. Warum sollte er dann am Rechner nicht die
> selbe Flexibilitaet aufbringen koennen? Weil Leute wie du ihm das
> einreden?

Nein - weil er es nicht muss.
Du scheinst tatsächlich zu glauben, dass ONU hier mitliest und sich z.B.
von Harald oder von mir beeinflussen lässt, nicht aber von Dir.

Ach ja - Dein Beispiel mit Verkehrsteilnehmern taugt immer noch nichts.
Das Verhalten von Verkehrsteilnehmern ist in recht grossem Umfang
gesetzlich reglementiert und wird u.a. polizeilich kontrolliert. Anders
als das Verhalten von Rechner-Benutzern.

>>>> welchen Wert hat dann diese Theorie für die Praxis?

>>> Warum glaubst du, dass das in der Praxis nicht funktionieren kann?

>> Weil dem ONU die Ahnung fehlt.

> Wenn man es ihm einmal erklaert, warum sollte er das nicht verstehen?

Selbst wenn er es versteht - er muss nicht so handeln.
Du verwechselst immer noch Theorie und Praxis.

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 06.01.16:

>>> Da man üblicherweise nicht jeden Tag fünferlei Software installiert
>>> hält sich der Mehraufwand durch den dann erforderlichen
>>> Kontenwechsel in engen Grenzen, der Gewinn betreffs Sicherheit ist
>>> allerdings recht hoch.

>> ROTFL.

>> Das verhindert, dass sich jemand einen Virus einfämgt?

> Sie verhindert, dass das System kompromittiert wird.

Das glaubst Du wirklich?

> Im Falle einer
> Kompromittierung muss man also nur den Benutzeraccount entsorgen,
> einen neuen Account anlegen und die Daten vom (unkompromittierten)
> Backup zurueck- spielen statt den ganzen Rechner platt zu machen und
> neu aufzusetzen.

Hmmm - Du scheinst die Möglichkeiten etlicher Schädlinge nicht zu
kennen, und auch nicht die Meldungen über Schädlinge, die sich sogar in
Netzen ausgebreitet haben, die von einer IT-Abteilung betreut wurden.

Ach ja - Otto Endanwender hat ein leidlich aktuelles Backup aus der
vermutlichen Zeit vor dem Befall?
Du vermengst schon wieder Endanwender-Systeme mit Firmennetzen und deren
professioneller Betreuung.

Und: habe ich Dich richtig verstanden, dass Du neuerdings meinst, dass
ein (irgendwann erkannter) Schädlingsbefall bei 1 User nicht erfordert,
das gesamte System neu aufzusetzen? Das wäre eine sehr interessante
Theorie. Insbesondere weil sie impliziert, Du könntest den Befall bei
jedem Account feststellen - wie und womit auch immer.

Viele Gruesse!
Helmut

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

>>>> Warum glaubst du, dass das in der Praxis nicht funktionieren kann?
>>> Weil dem ONU die Ahnung fehlt.
>> Wenn man es ihm einmal erklaert, warum sollte er das nicht verstehen?
> Selbst wenn er es versteht - er muss nicht so handeln.
> Du verwechselst immer noch Theorie und Praxis.

Wenn er erklaert bekommt, dass er mit Einhaltung der genannten Regeln die
Wahrscheinlichkeit, sich Viren und sonstigen Muell einzufangen, drastisch
reduziert wird (und er dem glaubt), dann wird er danach handeln, auch wenn
er es nicht *muss*, weil er (sofern er nicht voellig merkbefreit ist) den
*SINN* dieses handelns einsieht. Manch anderer muss vielleicht erst die
Erfahrung gesammelt haben, sich mit anderem Verhalten trotz Virenscanner
und Personal Firewall irgendwelchen Muell eingefangen zu haben, bis er es
glaubt und entsprechend handelt. Manche (wie z.B. Harald) werden es wohl
nie lernen (mit entsprechenden Konsequenzen: z.B. nutzt er eine Personal
Firewall, ist voellig davon begeistert, und das obwohl er sie nicht be-
dienen und die Meldungen von dem Ding nicht sinnvoll interpretieren kann,
wie man letztens an einem Thread sehen konnte).

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:

[ Rechtetrennung ]

>>> Das verhindert, dass sich jemand einen Virus einfämgt?
>> Sie verhindert, dass das System kompromittiert wird.
> Das glaubst Du wirklich?

Sofern es bei dem System keine Bugs gibt, die eine "local privilege
escalation" erlauben: Ja. Falls es eine solche Luecke gibt, wird es
den Schaedlingen zumindest sehr viel schwerer gemacht, das System
(und nicht nur User-Daten) zu kompromittieren.

>> Im Falle einer
>> Kompromittierung muss man also nur den Benutzeraccount entsorgen,
>> einen neuen Account anlegen und die Daten vom (unkompromittierten)
>> Backup zurueck- spielen statt den ganzen Rechner platt zu machen und
>> neu aufzusetzen.
> Hmmm - Du scheinst die Möglichkeiten etlicher Schädlinge nicht zu
> kennen, und auch nicht die Meldungen über Schädlinge, die sich sogar in
> Netzen ausgebreitet haben, die von einer IT-Abteilung betreut wurden.

Gegen evt. Sicherheitsluecken, die eine Kompromittierung des Systems ohne
zutun des Nutzers oder durch local privilege escalation erlauben, hilft
nur rechtzeitiges schliessen der Sicherheitsluecken (durch zeitnahes ein-
spielen von Security-Pathces oder ggfs. zeitnahes anwenden von workarounds
bis Security-Pathces verfuegbar sind). Das gilt mit und ohne Virenscanner
gleichermassen.

> Ach ja - Otto Endanwender hat ein leidlich aktuelles Backup aus der
> vermutlichen Zeit vor dem Befall?

Wenn nicht wird er es hoffentlich nach dem ersten Datenverlust gelernt
haben, dass es sinnvoll ist ein Backup zu haben ...

> Du vermengst schon wieder Endanwender-Systeme mit Firmennetzen und deren
> professioneller Betreuung.

Nein, ich aeussere mich zu sinnvoll administrierten Rechnern, und bei denen
gibt es Backups (sonst sind sie nicht wirklich sinnvoll administriert, denn
Backups gehoeren zur sinnvollen Administration dazu).

> Und: habe ich Dich richtig verstanden, dass Du neuerdings meinst, dass
> ein (irgendwann erkannter) Schädlingsbefall bei 1 User nicht erfordert,
> das gesamte System neu aufzusetzen?

Sofern der User die Rechte hat, Systemkomponenten zu veraendern: Ja, denn
dann kann der mit den Rechten des Users laufende Schaedling das ebenfalls
nicht.

> Das wäre eine sehr interessante Theorie.

Das ist eigentlich fuer jeden logisch, wenn er nur etwas darueber nachdenkt,
was man mit welchen Zugriffsrechten am System und den darauf liegenden Daten
veraendern kann. Wichtig waere noch, dass nicht nur alle Dateien des Users,
unter dem der Schaelding lief, als "potentiell kompromittiert" angesehen
werden muessen, sondern alle Daten, auf die dieser User haette schreiben
koennen, also auch Dateien anderer User, wenn die Zugriffsrechte entsprechend
freizuegig gesetzt waren (sind sie aber bei Windows i.d.R. nicht).

> Insbesondere weil sie impliziert, Du könntest den Befall bei
> jedem Account feststellen - wie und womit auch immer.

Wenn man das "genutzte einfallstor" des Schaedlings nicht ermitteln kann,
muss man davon ausgehen, dass das gesamte System kompromittiert wurde (sprich
"plattmachen, komplett neuaufsetzen" waere die anzuwendende Methode). Wenn
man sicher war, dass es ein Schaedling von einer vom User aufgerufenen Web-
seite, von einem vom User ausgefuehrten Programm, ... gestartet wurde, ist
es sehr wahrscheinlich, dass *nur* die fuer diesen user schreibbaren Dateien
kompromittiert sein koennen (Ausnahme waeren nur "local privilege escalation"
Luecken im Betriebssystem, die werden aber i.d.R. sehr schnell nach Bekannt-
werden geschlossen, durch vom Hersteller bereitgestellte Patches, wenn die
Kompromittierung also nicht zufaellig in dem Zeitraum erfolgte, wo das System
dafuer anfaellig war, kann man davon ausgehen, dass von einem mit Userrechten
ausgefuehrten Schaedling nur vom User schreibbare Dateien kompromittiert
werden konnten).

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 06.01.16:

>>>>> Warum glaubst du, dass das in der Praxis nicht funktionieren
>>>>> kann?

>>>> Weil dem ONU die Ahnung fehlt.

>>> Wenn man es ihm einmal erklaert, warum sollte er das nicht
>>> verstehen?

>> Selbst wenn er es versteht - er muss nicht so handeln.
>> Du verwechselst immer noch Theorie und Praxis.

> Wenn er erklaert bekommt, dass er mit Einhaltung der genannten Regeln
> die Wahrscheinlichkeit, sich Viren und sonstigen Muell einzufangen,
> drastisch reduziert wird (und er dem glaubt), dann wird er danach
> handeln,

Träumer!

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 06.01.16:

> [ Rechtetrennung ]

>>>> Das verhindert, dass sich jemand einen Virus einfämgt?

>>> Sie verhindert, dass das System kompromittiert wird.

>> Das glaubst Du wirklich?

> Sofern es bei dem System keine Bugs gibt, die eine "local privilege
> escalation" erlauben: Ja. Falls es eine solche Luecke gibt, wird es
> den Schaedlingen zumindest sehr viel schwerer gemacht, das System
> (und nicht nur User-Daten) zu kompromittieren.

Ja und? "sehr viel schwerer" ist kein sonderliches Hindernis.

Und da Du ja nicht weisst, ob eine solche Lücke existiert, da Du nicht
weisst, ob sie ausgenutzt wird, musst Du stets damit rechnen, dass sich
(mindestens) ein Schädling eingenistet hat. Wann hast Du Dein vermutlich
kompromittiertes System zuletzt neu installiert?

> Gegen evt. Sicherheitsluecken, die eine Kompromittierung des Systems
> ohne zutun des Nutzers oder durch local privilege escalation
> erlauben, hilft nur rechtzeitiges schliessen der Sicherheitsluecken

Welch grandiose Erkenntnis. Was bedeutet "rechtzeitig"?

> (durch zeitnahes ein- spielen von Security-Pathces oder ggfs.
> zeitnahes anwenden von workarounds bis Security-Pathces verfuegbar
> sind). Das gilt mit und ohne Virenscanner gleichermassen.

Wichtigste Vorausetzung für diese Massnahmen: der Schädling darf nicht
nur den Bösen Buben, sondern muss auch den armen Opfern bekannt sein.
Bis dahin stehen nun mal alle Türen offen. Solange hilft auch keine
"restriktive Konfiguration".

>> Du vermengst schon wieder Endanwender-Systeme mit Firmennetzen und
>> deren professioneller Betreuung.

> Nein, ich aeussere mich zu sinnvoll administrierten Rechnern, und bei
> denen gibt es Backups (sonst sind sie nicht wirklich sinnvoll
> administriert, denn Backups gehoeren zur sinnvollen Administration
> dazu).

Ach so! Deine Ratschläge gelten also nur für eine kleine Teilmenge von
Rechnern. Und "sinnvoll" erklärt natürlich alles: wenn's funktioniert,
dann ist es sinnvoll, sonst aber nicht.

>> Und: habe ich Dich richtig verstanden, dass Du neuerdings meinst,
>> dass ein (irgendwann erkannter) Schädlingsbefall bei 1 User nicht
>> erfordert, das gesamte System neu aufzusetzen?

> Sofern der User die Rechte hat, Systemkomponenten zu veraendern: Ja,
> denn dann kann der mit den Rechten des Users laufende Schaedling das
> ebenfalls nicht.

Es sei denn, ein Schädling nutze "privilege escalation" aus ... und das
weisst selbst Du nicht vorher.

Du arbeitest mit erstaunlich vielen Einschränkungen und
Nebenbedingungen.

> Wenn man das "genutzte einfallstor" des Schaedlings nicht ermitteln
> kann, muss man davon ausgehen, dass das gesamte System kompromittiert
> wurde (sprich "plattmachen, komplett neuaufsetzen" waere die
> anzuwendende Methode). Wenn man sicher war, dass es ein Schaedling
> von einer vom User aufgerufenen Web- seite, von einem vom User
> ausgefuehrten Programm, ... gestartet wurde, ist es sehr
> wahrscheinlich, dass *nur* die fuer diesen user schreibbaren Dateien
> kompromittiert sein koennen (Ausnahme waeren nur "local privilege
> escalation" Luecken im Betriebssystem, die werden aber i.d.R. sehr
> schnell nach Bekannt- werden geschlossen, durch vom Hersteller
> bereitgestellte Patches, wenn die Kompromittierung also nicht
> zufaellig in dem Zeitraum erfolgte, wo das System dafuer anfaellig
> war, kann man davon ausgehen, dass von einem mit Userrechten
> ausgefuehrten Schaedling nur vom User schreibbare Dateien
> kompromittiert werden konnten).

"wenn ...", "wenn ...", "wenn ...", "sehr wahrscheinlich ...", "in der
Regel ...", "kann man davon ausgehen ..." ...

Ist das Dein Sicherheitskonzept?

Viele Gruesse!
Helmut

[Harald Hengel]

Juergen Ilse schrieb:

> Harald Hengel <raldo-...@freenet.de> wrote:

>> Du willst hier wirklich behaupten, der Ahnungslose ONU kann das?
>
> Wenn er nicht voellig merkbefreit ist: ja, natuerlich.

Ich habe da völlig andere Erfahrungen.

> Er kann ja
> auch z.B. seine Rolle im Strassenverkehr wechseln zwischen
> Fussgaenger, Autofahrer, ggfs. auch Radfahrer oder Motorradfahrer,
> ohne schizophren zu sein. Warum sollte er dann am Rechner nicht die
> selbe Flexibilitaet aufbringen koennen?

> Weil Leute wie du ihm das einreden?

Warum sollte ich?

Was soll er denn machen?
Bisher scheiterst du doch daran einen sinnvollen Fahrplan zu
beschreiben.

Oder reicht es völlig nicht im Adminmodus zu arbeiten?

Was soll er machen wenn er ein Programm installieren will, welches den
Adminmodus erfordert?
Wie erlennt er,dass es kein Virus ist, bzw. keine im Rucksack hat?

Ich weiß, du wirst mit dem Spruch kommen, seriöse Quellen.

Du wirst es mit unseriös abbügeln, wenn ich Tchibo nenne.

Woher weiß der ONU, dass Tchibo unseriös ist?
Das war ein einmaliger Vorfall, denn es auch bei anderen gegeben hat.
Es gab mal ein Projekt, VIRONCD.
Leider wurde es nicht fortgeführt, nur zeigt es auf, dass sich CDs mit
Viren im Handel befanden.

> Wenn man es ihm einmal erklaert, warum sollte er das nicht
> verstehen?

ROTFL.

Erklär es hier.

Warum weigerst du dich konstant.
Diese Diskussion haben wir nicht zumn ersten mal.

Du lieferst Sprüche aber kannst es nicht erklären.

Hast du seriöse Quellen, die empfehlen was du empfiehlst?

Grüße Harald

[Harald Hengel]

Juergen Ilse schrieb:

> Wenn er erklaert bekommt, dass er mit Einhaltung der genannten
> Regeln

Welche Regeln?
Nenne sie doch einmal, so dass ONU sie auch versteht?

> (sofern er nicht voellig merkbefreit ist)

Wie Ilse, Kanthack und Co.

> den *SINN* dieses handelns einsieht. Manch anderer muss vielleicht
> erst die Erfahrung
> gesammelt haben,

Nenn die Regeln, ich habe dich bereits in vielen Diskussionen dieser
Art dazu aufgefordert, mit demr Erfolg, dass du auf fragwürdigen
Seiten verweist.

Die erste Regel ist, nur vertrauenswürdigen Seiten zu vertrauen.

Aber bereits bei der Definition scheitern wir,
Ist Computer Bild oder c't vertrauenswürdig?

Oder ist Kanthack vertrauenswüdig.

Die erstgenannten empfehlen Vierenscanner, übrigens Microsoft auch.

Ist Microsoft nicht vertrauenswürdig?

> sich mit anderem Verhalten trotz Virenscanner und
> Personal Firewall irgendwelchen Muell eingefangen zu haben, bis er
> es glaubt und entsprechend handelt.
> Manche (wie z.B. Harald) werden
> es wohl nie lernen (mit entsprechenden Konsequenzen: z.B. nutzt er
> eine Personal Firewall, ist voellig davon begeistert, und das
> obwohl er sie nicht be- dienen und die Meldungen von dem Ding nicht
> sinnvoll interpretieren kann,

Und du kannst die Meldungen auch nicht interpretieren, bist aber davon
überzeugt, dass sie die geblockten Daten unschädlich sind.

Noch dümmer kann man kaum gegen etwas argumentieren.

Tatsache ist zumindest, dass ich keiner Weise Fehlfunktionen erkennen
kann, also sind die Daten die hier geblockt werden zumindest nicht
wichtig.

ZA meint dazu, dass es wahrscheinlich auf eine Fehlkonfiguration
zurückzuführen ist.

Auf jeden Fall hilft ZA mir zu verhindern, dass manche Programme
übermässig nach Hause telefonieren.

> wie man letztens an einem Thread
> sehen konnte).

Und?
Du bist ahnungslos bezüglich der Meldungen, verteufelst aber dass es
geblockt wird.

Grüße Harald

[Karl-Josef Ziegler]

Am 06.01.2016 um 14:50 schrieb Juergen Ilse:

> Wenn er erklaert bekommt, dass er mit Einhaltung der genannten Regeln die
> Wahrscheinlichkeit, sich Viren und sonstigen Muell einzufangen, drastisch
> reduziert wird (und er dem glaubt), dann wird er danach handeln, auch wenn
> er es nicht *muss*, weil er (sofern er nicht voellig merkbefreit ist) den
> *SINN* dieses handelns einsieht.

Nein, wird er nicht. Das psychologische Moment der Bequemlichkeit und
Trägheit wird völlig unterschätzt. Insofern sind viele Vorschläge hier
schön in der Theorie, draussen in der Wirklichkeit sieht es in der
breiten Masse völlig anders aus.

[Harald Hengel]

Juergen Ilse schrieb:

> Hallo,
>
> Harald Hengel <raldo-...@freenet.de> wrote:

>> Die meisten Viren kann ein Virenscanner abhalten.
>
> Wenn ein neuer auftaucht (und es tauchen taeglich neue auf), dauert
> es i.d.R. einige Stunden, bis der zum ersten Mal bei den

> Virenscanner- Herstellern zur Verfuegung steht. Dann vergehen
> i.d.R. weitere 8 Stunden nis mehrere Wochen, bis die Erkennung des
> Schaedlings in die Updates der Virenscanner-Sodtware eingebaut ist.

Und?
Zumindest wird er irgendwan erkannt.

Du meinst ihn nicht zu erkennen ist besser?

So eine Meinung kann nur ein Virenprogrammier und -verteiler haben.

> Das kann man sehr schoen beobachten, wenn man so manches per Mail
> erhaltene Stueck Software mal ueber laengere Zeit immer wieder bei
> z.B. jotti.org einwirft: zuerst kennt es oftmals kein einziger der
> um die 40 verschiedenen Scanner mit denen das Ding dort untersucht
> wird im Laufe der folgenden Tage und Wochen wird es dann von immer
> mehr Scannern als Schadsoftware erkannt. Nur nuetzt das nichts,

> wenn man es bis dahin schon auf seinem Rechner ausgefuehrt und
> damit den eigenen Rechner verseucht hat ...

Doch es nutzt in dem Moment wo er endlich erkannt wird.
Manche neue werden duch die Heuristik erkannt und viele alte sind im
Umlauf.

>> Idiotisch ist, zu glauben, dass Anwender sich intensiv mit dem
>> Betreibssystem beschäftigen.
>
> Um die elementarsten Sicherheitsregeln (die du aus Dummheit
> ignorierst) einzuhalten, muss man kein Experte sein: sich einmal
> die Massnahmen erklaeren lassen und etwas Disziplin, um sie dann
> auch umzusetzen, genuegt voellig.

Daran scheitert es.

Dumheit ist es die Realität zu ignorieren.

Grüße Harald

[Harald Hengel]

Juergen Ilse schrieb:

> Was nuetzt es, wenn "die meisten" Viren abgefangen werden, sofern
> das System *trotzdem* kompromittiert wird? Nichts.

Es nutzt jedes mal wenn es nicht kompromittiert wird.
Es nutzt auch im Nachhinein, wenn eine kompromittierung später erkannt
wird.

Es nutzt in den meisten Fällen.

>> Das Dauerbrenner-Bwehr-Argument: "weil xyz nicht _alles_ erwischt,
>> ist es _komplett_ untauglich".
>
> Im Falle einer Kompromittierung ist das zutreffend:

Und keine Erkennung hilft wie?

> es ist voellig
> gleich- gueltig, ob ein System mit einem oder mit Dutzenden
> verschiedener Schaedlinge kompromittiert ist: kompromittiert ist
> kompromittiert.

Klar aber deine Masßnahmen verhindern es nicht.

>> Das gilt auch für Dein Bündel von Sicherheitsmassnahmen - keine von
>> ihnen reicht als alleinige Massnahme.
>
> Ja. Und da der Virenscanner die Gesamtwirkung des "Buendels von
> MAssnahmen" nicht sonderlich erhoeht, sofern zu den Massnahmen
> "Rechtetrennung" und "restriktive Konfiguration" gehoeren, ziehe
> ich die weitaus wirksameren Massnahmen vor. Werden diese konsequent
> umgesetzt,

Wer setzt die konsequent durch.

Du redest hier hohl von irgendwelchen Maßnahmen.
Welche sind es?

> wird die Sicherheit
> durch einen Virenscanner nicht mehr wesentlich erhoeht,

Sie wird also erhöht?

> die
> Komplexitaet (und damit die Angriffsflaeche) des Systems jedoch
> deutlich vergroessert. Schlussfolgerungen bitte selber ziehen.

Den dummen Spruch bringst du immer wieder.
Die Behauptungen lese ich auch von anderen, was allerdings fehlt ist,
dass dieses auch für Angriffe genutzt wird.

Es kommt eher selten vor, dass du von aussen angegriffen wirst und da
werden Lücken des BS genutzt, nicht die von die behaupteten Lücken die
ein Virenscanner erst bringen soll.

Welche Viren haben Lücken genutzt, die Virenscanner erzeugt haben?

Grüße Harald

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:
> Juergen Ilse schrieb:

> Nenn die Regeln, ich habe dich bereits in vielen Diskussionen dieser
> Art dazu aufgefordert, mit demr Erfolg, dass du auf fragwürdigen
> Seiten verweist.
> Die erste Regel ist, nur vertrauenswürdigen Seiten zu vertrauen.

Nein, die erste Regel ist, die vom System angebotene "Rechtetrennung" zu
nutzen, gefolgt von der Regel, die installierte Software aktuell zu halten
und dann gefolgt von der Regel, auf Software mit bekannten Sicherheits-
luecken, fuer die weder Patches zum schliessen der Luecke noch workarounds
zum schliessen der Luecke verfuegbar sind, zu verzichten. Als naechste kaeme
dann restriktive Rechnerkonfiguration, gefolgt von "nicht jeden Muell an
Software aus zielichtigen Quellen durchstarten" (z.B. keine Programme starten,
die man unangekuendigt ´per Mail zugesandt bekommt, denn das ist praktisch
immer unerwuenschtes Zeug).

>> sich mit anderem Verhalten trotz Virenscanner und
>> Personal Firewall irgendwelchen Muell eingefangen zu haben, bis er
>> es glaubt und entsprechend handelt.
>> Manche (wie z.B. Harald) werden
>> es wohl nie lernen (mit entsprechenden Konsequenzen: z.B. nutzt er
>> eine Personal Firewall, ist voellig davon begeistert, und das
>> obwohl er sie nicht be- dienen und die Meldungen von dem Ding nicht
>> sinnvoll interpretieren kann,
> Und du kannst die Meldungen auch nicht interpretieren, bist aber davon
> überzeugt, dass sie die geblockten Daten unschädlich sind.

Ich konnte sie interpretieren. Ein Programm namens "curl.exe" versuchte
einen TCP Socket fuer die Kommunikation mit dem Internet zu oeffnen (und
dem Namen dieses Programms nach war es ein Versuch von einer Webseite etwas
herunterzuladen). Du hast noch nicht einmal den Ueberblick darueber gehabt,
welche Software du auf deinem Rechner ueberhaupt installiert hattest (sonst
haettest du wohl den Namen des Programms einordnen koennen) und hast dann
noch herumspekuliert, was denn da ausser irgendwelcher Schadsoftware Web-
seiten aufrufen koennte, obwohl du diese "eBay Bietsoftware" selbst instal-
liert hattest, bei der eigentlich klar ist, dass sie regelmaessig Daten von
eBay abrufen muss, um die Auktionen ueberwachen zu koennen.

> Noch dümmer kann man kaum gegen etwas argumentieren.

Noch duemmer als du? Stimmt, das geht wohl kaum.

> ZA meint dazu, dass es wahrscheinlich auf eine Fehlkonfiguration
> zurückzuführen ist.

<kopfschuettel>

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:

> Juergen Ilse schrieb:

>> Harald Hengel <raldo-...@freenet.de> wrote:
>>> Die meisten Viren kann ein Virenscanner abhalten.
>> Wenn ein neuer auftaucht (und es tauchen taeglich neue auf), dauert
>> es i.d.R. einige Stunden, bis der zum ersten Mal bei den
>> Virenscanner- Herstellern zur Verfuegung steht. Dann vergehen
>> i.d.R. weitere 8 Stunden nis mehrere Wochen, bis die Erkennung des
>> Schaedlings in die Updates der Virenscanner-Sodtware eingebaut ist.
> Und?
> Zumindest wird er irgendwan erkannt.

Von einem auf einem kompromittierten System laufenden Virenscanner nicht
unbedingt, denn ein auf einem kompromittierten System laufender virenscanner
liefert keine zuverlaessigen Daten mehr, selbst dann nicht, wenn er eine
Schadsoftware auf einem unkompromitterten System noch als Schadsoftware
erkannt haette, muss das auf einem kompromittierten System nicht mehr
zutreffen: Die bereits laufende Schadsoftware kann den Virenscanner ueber
den Inhalt der Festplatte oder die Inhalte von Dateien "beluegen" (ja, so
etwas gibt es, das gab es sogar schon vor mehr als 30 Jahren bei Viren
unter dem Betriebssystem MS-DOS, die Technik ist wesentlich aelter als
Windows). "Yankee Doodle" war ein Beispiel eines Schaedlings, der sich
(auf ziemlich billige Weise) einer Analyse entzog, es gab aber viel aus-
gereiftere als diesen, und es ist nicht anzunehmen, dass es so ausgereifte
Schaedlinge heutzutage fuer Windows nirgends geben koennte.

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 07.01.16:

>>> Dann vergehen
>>> i.d.R. weitere 8 Stunden nis mehrere Wochen, bis die Erkennung des
>>> Schaedlings in die Updates der Virenscanner-Sodtware eingebaut ist.

>> Und?
>> Zumindest wird er irgendwan erkannt.

> Von einem auf einem kompromittierten System laufenden Virenscanner
> nicht unbedingt, denn ein auf einem kompromittierten System laufender
> virenscanner liefert keine zuverlaessigen Daten mehr,

Grandios: ein kompromittiertes System ist kompromittiert!

Virenscanner können auch von einem USB-Stick oder einer Live-CD
gestartet werden ...

Ach ja: auch die von Dir hochgelobte restriktive Rechtetrennung versagt
auf einem kompromittierten System - was wolltest Du noch gleich
beweisen?

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 07.01.16:

>> Nenn die Regeln, ich habe dich bereits in vielen Diskussionen dieser
>> Art dazu aufgefordert, mit demr Erfolg, dass du auf fragwürdigen
>> Seiten verweist.
>> Die erste Regel ist, nur vertrauenswürdigen Seiten zu vertrauen.

> Nein, die erste Regel ist, die vom System angebotene "Rechtetrennung"
> zu nutzen, gefolgt von der Regel, die installierte Software aktuell
> zu halten und dann gefolgt von der Regel, auf Software mit bekannten
> Sicherheits- luecken, fuer die weder Patches zum schliessen der
> Luecke noch workarounds zum schliessen der Luecke verfuegbar sind, zu
> verzichten. Als naechste kaeme dann restriktive Rechnerkonfiguration,
> gefolgt von "nicht jeden Muell an Software aus zielichtigen Quellen
> durchstarten" (z.B. keine Programme starten, die man unangekuendigt

> ?per Mail zugesandt bekommt, denn das ist praktisch immer
> unerwuenschtes Zeug).

Mal wieder die Sehnsucht nach dem gesetzestreuen Bürger, der stets nur
das macht, was ihm irgendeine Obrigkeit befohlen hat.

Träumer.

Viele Gruesse!
Helmut

[Stefan Kanthak]

"Karl-Josef Ziegler" <PLPRXO...@spammotel.com> schrieb:

> Am 06.01.2016 um 14:50 schrieb Juergen Ilse:
>
>> Wenn er erklaert bekommt, dass er mit Einhaltung der genannten Regeln die
>> Wahrscheinlichkeit, sich Viren und sonstigen Muell einzufangen, drastisch
>> reduziert wird (und er dem glaubt), dann wird er danach handeln, auch wenn
>> er es nicht *muss*, weil er (sofern er nicht voellig merkbefreit ist) den
>> *SINN* dieses handelns einsieht.
>
> Nein, wird er nicht.

Ach?

<http://windows.microsoft.com/de-de/windows/change-users-account-type>:

| Beim Einrichten von Windows müssen Sie ein Benutzerkonto erstellen.
| Bei diesem Konto handelt es sich um ein Administratorkonto, das es
| Ihnen ermöglicht, den Computer einzurichten und alle gewünschten
| Programme zu installieren. Nachdem Sie den Computer eingerichtet haben,
| ist es empfehlenswert, für die alltäglichen Aufgaben ein
| Standardbenutzerkonto zu erstellen und zu verwenden. Auch neue
| Benutzerkonten sollten als Standardkonten erstellt werden. Die
| Verwendung von Standardkonten trägt zur Sicherheit Ihres Computers bei.

<http://windows.microsoft.com/de-de/windows/user-accounts-faq>:

| * Administratorkonten bieten die meisten Steuerungsmöglichkeiten für
| einen PC und sollten nur beschränkt verwendet werden. Sie haben bei
| der ersten Verwendung Ihres PCs wahrscheinlich ein Konto dieses Typs
| erstellt.
|
| * Standardkonten sind für alltägliche Aufgaben konzipiert.
| Wenn Sie Konten für andere Personen auf Ihrem PC einrichten,
| sollten Sie hierzu Standardkonten verwenden.
|
| * Kinderkonten sind nützlich für Eltern, die mit den Family Safety-
| Einstellungen in Windows die PC-Nutzung ihrer Kinder im Auge behalten
| oder einschränken möchten. Weitere Informationen zu Family Safety
| finden Sie unter Einrichten von Family Safety.
...
| So bearbeiten Sie Kontotypen auf Ihrem PC
...

> Das psychologische Moment der Bequemlichkeit und Trägheit wird völlig
> unterschätzt.

Genau.
Deshalb installieren ja viele OEMs Testversionen von Virenscannern mit
begrenzter Laufzeit. Nach Ablauf der Testperiode stehen die sich
geschuetzt glaubenden Lemminge dann mit heruntergelassenen Hosen da.

Ebenso entfernen die typischen Endbenutzer auch all die Crapware nicht,
die "wohlmeinende" OEMs ihnen vorinstalliert mitliefern, und lassen sie
ohne Updates vor sich hin(bit)rotten.

> Insofern sind viele Vorschläge hier schön in der Theorie, draussen in
> der Wirklichkeit sieht es in der breiten Masse völlig anders aus.

"Getretner Quark wird breit, nicht stark."

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


--- news://freenews.netfront.net/ - complaints: ne...@netfront.net ---

[Helmut Hullen]

Hallo, Stefan,

Du meintest am 07.01.16:

Und Otto Endanwender kennt und befolgt diese Hinweise? Träumer!

>> Das psychologische Moment der Bequemlichkeit und Trägheit wird
>> völlig unterschätzt.

> Genau.
> Deshalb installieren ja viele OEMs Testversionen von Virenscannern
> mit begrenzter Laufzeit. Nach Ablauf der Testperiode stehen die sich
> geschuetzt glaubenden Lemminge dann mit heruntergelassenen Hosen da.

Ach!
Warum nur bietet auch Microsoft Virenscanner an?

> Ebenso entfernen die typischen Endbenutzer auch all die Crapware
> nicht, die "wohlmeinende" OEMs ihnen vorinstalliert mitliefern, und
> lassen sie ohne Updates vor sich hin(bit)rotten.

Ach - "die typischen Endanwender" ...
Nicht mal die befolgen Deine Anweisungen? Das ist eine Riesensauerei! Du
solltest sie auspeitschen lassen!

Viele Gruesse!
Helmut

[Harald Hengel]

Juergen Ilse schrieb:

>> Zumindest wird er irgendwan erkannt.
>
> Von einem auf einem kompromittierten System laufenden Virenscanner
> nicht unbedingt,

Aber unbedingt wenn kein Virenscanner läuft?

> denn ein auf einem kompromittierten System
> laufender virenscanner liefert keine zuverlaessigen Daten mehr,
> selbst dann nicht, wenn er eine Schadsoftware auf einem
> unkompromitterten System noch als Schadsoftware erkannt haette,
> muss das auf einem kompromittierten System nicht mehr zutreffen:

Die Praxis sieht anders aus.
Mir ist bisher kein Fall bekannt, wo ein Virenscanner auf einem
kompromittierten System noch normal weiter lief.

> Die bereits laufende Schadsoftware kann den Virenscanner ueber den
> Inhalt der Festplatte oder die Inhalte von Dateien "beluegen" (ja,
> so etwas gibt es,

Nein, das gibt es nicht.
Bisher ist nicht bekannt, dass es so etwas gegeben und längerfristig
funktioniert hat.

> das gab es sogar schon vor mehr als 30 Jahren bei
> Viren unter dem Betriebssystem MS-DOS,

Du zeigst sehr deutlich deine Ahnungslosogkeit.
Zu MS-DOS Zeiten liefer der Scanner nicht im Hintergrund, sondern
wurde von einer Bootdiskette gestartet, nicht unter dem laufenden
Betriebssysem.

Wenn der User nicht ganz dumm war, dann hat er geschafft eine
Bootdiskette zu erstellen, die sauber war.

> die Technik ist wesentlich
> aelter als Windows). "Yankee Doodle" war ein Beispiel eines
> Schaedlings, der sich (auf ziemlich billige Weise) einer Analyse
> entzog,

Der wurde nicht entdeckt?

> es gab aber viel aus- gereiftere als diesen, und es ist
> nicht anzunehmen, dass es so ausgereifte Schaedlinge heutzutage
> fuer Windows nirgends geben koennte.

Ja, könnte ist dein Argument.

Du meinst deine Sicherungssystem könnte nicht überlistet werden?

Es gibt die Viren, die Scanner mehr oder weniger tot legen.
Dann gehen keine Updastes mehr, das erste deutliche Warnzeichen.

Darüberhinaus bleibt das nie untendeckt, die Scannerhersteller
schiessen nach, gelegentlich auch mit spezieller Erkennungssoftware,
wenn der normale Vierenscanner dem nicht veikommen kann.

Eines ist sicher, bei deinem Konzept kann ein Virus auf deinem Rechner
lange unentdeckt überleben.

Grüße Harald

[Harald Hengel]

Philipp Schneider schrieb:

> Ich wollte sagen: wenn der Admin Fehler macht, ist das System
> kompromittiert. Ein Virenscanner kann das mit gewisser
> Wahrscheinlichkeit aufdecken.

Mit sehr hoher.
Ausserdem muss der Admin nicht einmal Fehler machen.

Microsoft hat eine CD mit Virus auf den Markt gebracht.
Das wurde schnell aufdedeckt, die CD schnell aus dem Handel genommen.
Soweit ich erinnere waren nur wenige 100 an Endkunden gelangt.

ASUS hatte ein verseuchtes Treiberupdate auf seinen Servern.

Tchíbo hat einen Diascanner im Handel, die Software war im ROM des
Scanners und wurde aus dem ROM installiert, mit Virus drin.

Welcher Admin rechnet damit?
Welcher Admin läßt ao etwas per Jotti oder Virustotal prüfen?

> Mein Fazit: wir werden genug Argumente für und gegen einen
> Virenscanner finden.

Ich sehe für den ONU alle Argumente für einen Scanner.
Microsoft sieht es ebenso, renommierte Fachzeitschriften alle.

Für Fimennetzwerke wird grundsätzlich ein Virenscanner verlangt, der
sollte dort aber nicht auf den einzelnen Rechnern laufen sonden als
eigenes Rechner und ein- und ausgehende Pakete prüfen.

Grüße Harald

[Harald Hengel]

Juergen Ilse schrieb:

>> Wo im Windows Handbuch wird das beschrieben?
>
> Einfache Benutzer-Accounts fuer das alltaegliche
> arbeiten/spielen/... und zu- saetzlich Administrator-Accounts, die
> *ausschliesslich* fuer administrative Aufgaben verwendet werden.
> Kein arbeiten/spielen mit erweiterten Rechten. Software, die
> zwingend Admin-Rechte braucht, entsorgen oder sie beim Hersteller
> als defekt / nicht mit Microsoft Desig Richtlinien konform melden
> und sie dann mit dieser Begruendung zurueckgeben. Ja, gute Software
> fuer den "End-User" laeuft auch ohne Admin-Rechte.

Ich fragte wo im Windows Handbuch.

Das stümperhafte nicht verständliche Deutsch kommt con Microsoft oder
ist es dein Gestammel?

Ausserdem sehe ich keinen Zusammanhanf zur Rechterennung.
Oder reicht es deiner Ansicht nach völlig nicht im Adminmoduf zu
arbeiten?

>>> restriktiver Konfiguration,
>> Wo im Windows Handbuch wird das beschrieben?
>> Ach, ich vergaß es gibt seit Jahren kein Handbuch mehr.
>
> Z.B. Zugriffe konfigurieren, SRP (Software Restriction Policies)
> verwenden (sind auf den Microsoft Webseiten und moeglicherweise in
> der Windows-Hilfe beschrieben). "SAFER" ist eine Methode, das
> anzuwenden.

Ah du weißt es also nicht.

Interessant, dass du so großkotzig bist.

>>> Disziplin
>> Äh ja.
>> Kannst du mal erklären wie das aussieht?
>
> Sich daran halten, den Administrator.Account nur fuer administratie
> Zwecke zu verwenden,

Das reicht schon?

> bei allem was man mit Admin-Recten tut, mermals
> *vorher* darueber nachdenken was man da tut, wenn man nicht das
> noetige Wissen fuer kompetente Administration des Systems hat,

Nicht denken, das scheint dein Prinzip zu sein.

Du meinst also ernsthaft, ohne zu denken erreicht man Sicherheit?

> diese Aufgabe an jemanden deleg- gieren, der das noetige Wissen hat
> (den man notfalls mittels Bezahlung
> dazu bringt, diese Aufgabe zu uebernehmen).

Und wie entscheidet man welche sind, insbesondere ohne zu denken?

>> Meinst du das hilft bei Windows.
>
> Das hilft bei so ziemlich *jedem* System.

Nicht denken hilft also.

Interessant.

Du redest wirses Zeug.

>>> und Kompetenz des Admins
>> Wer ist denn Admin?
>
> Derjenige, der das System administriert.

Diese dumme Antwort habe ich von dir erwartet.

>> Hast du mal einen Fahrplan, mit dem Normalanwender das hinbekommen
>> kann?
>> Und bitte nur Verweise auf als vertrauenwürdig einstufbare Seiten.
>
> Du vertraust a noc nict einmal Artikeln aus dem M$-Technet (wie z.B.
> dem, der besagt, dass gegen eine Kompromittierung nur "plattmachen
> und neu aufsetzen" hilft).

Plattmachen hilft eine Kompromiiteirung zu vermeiden, in der Tat.

Neu Aufsetzen hilft, dass neu kompromittiert werden kann.

Übrigens liegst du auch falsch.
Microsoft hat schon mehrfach Tools angeboten um eine Komptomittierung
zu entfernen.

Und logisch, VW empfiehlt auch grundsätzlich Original-Ersatzteile zu
verwemden.

Dennoch gibt es z.B. Zusatscheinwerfer von Bosch oder Hella und das
darf man deiner Meinung nicht verwenden, weil es die Sicherheit des
Autos gefährdet.

Zumindest liest sich dein Gestammel in Bezug auf Microsoft so.

Es ist völlig klar, dass Microsoft keine Fremdprodukte empfiehlt.

Es ist aber Dummheit pauschal zu behaupten sie würden nicht
funktionieren.

Was viel interessanter in diesem Zusammenhang ist, was du
geflissentlich ignorierst, Microsoft empfielt die Verwendung von
Virenscannern!

Eijnschränkungen bezüglich Bereinigungen macht Microsoft auch nicht.

Da Microsoft die Fremdprodukte nicht prüft und auch kaum den Lauf der
Entwicklung verfolgen und prüfen kann, kann Microsoft auch das auch
nicht empfehlen, wenn sie auf der sicheren Seite sein wollen.

Also arbeiten sie mit der üblichen Bauernschläue wie andere auch,
empfehlen das was sie selbst bieten können.

Es ist reine Dummheit zu glauben ein VW funktioniert nur mit dem
Original-Ersatzteil.

>>> (Virenscanner fallen eher weniger in diese
>>> Kathegorie,
>> Und warum nicht.
>> Weil du es behauptest?
>
> Kann man sich darauf verlassen, dass sie alle Scaedlinge finden?
> Nein.

Kann man sich verlassen, dass ein Admin keinen Schäfling installiert?

> Kann man sich wenigstens darauf verlassen, dass jede von diesen
> Dingern angemaulte Software auch schaedlich ist? Nein. Egal welches
> Ergebnis sie melden: man weiss dadurch ganz genau, dass das System
> infiziert
> ist oder auch nicht. Das weiss ich aber auch voellig ohne diesen
> Kram.

Du kannst eben hellsehen.

>> Ich kenne keine etablierte Fachzeitschrift, die dem ONU empfiehlt
>> keinen Virenscanner zu verwenden.
>
> Etablierte Fachzeitschriften lassen oftmals in manchen Bereichen das
> Fachwissen vermissen ...

Jaja, Geisterfahrer, hunderte.

>> Selbst Microsoft empfiehlt Virenscanner, warnt wenn keiner gefunden
>> wird.
>
> Weil ein Virenscanner bei voellig verbloedeten Anwendern, die nicht
> einen einzigen Punkt der von mir genannten Massnahmen umsetzen,

Wo hast du Maßnahmen genannt.

Du hast keine genannt, in der Vergangenheit hast du sogar auf Seiten
verwiesen, welche nach allgmeinen Regeln niemals als vertrauenswürdig
gelten.
z.B. Seiten von Privatleuten.

> evt. ein winziges bischen besser sein koennten als gar nichts, und
> weil
> idiotischerweise Virenscanner als "Stand der Technik" angesehen
> werden, was bei Firmen gerade bei Versicherung gegen Schaeden in der
> EDV relevant sein koennte ...

Ja, die Versicherungen scheinen die Unzulänglichkeiten von Admins zu
kennen.

Warum konnten eigentlich die Rechner des Bundestages verseucht werden?

>> Du weißt mehr als der Betriebssystemhersteller?
>
> Diese Empfehlung ist Resignation vor der Bloedheit un Inkompetenz
> der Anwender.

Also Resignation vor dir?
Oder gant gewöhnlicher Realismus?

Wir können auch auf Gurte un Airbags und vieles andere Geraffel
verzichten, die Autofahrer müssen sich nur an gewisse Regeln halten
und alles ist gut.

>>> und wenn man schon derartiges einsetzt, dann wenigstens
>>> etwas, dass vermutlich nicht aufgrund von Fehlalarmen das
>>> Basissystem lahmlegt,
>> Ach je, wieder diese Leier.
>> Microsoft hat es sogar ohne Virenscanner geschafft.
>
> Die Faelle, wo das ein Virenscanner geschafft hat, kommen auf die
> Anzahl der Faelle, bei denen ein missgluecktes Update das geschafft
> hat, dazu ...

Na sowas.
Die Fälle wo ein Befall verhindert wird zählen nicht?

> Es ist ein Vorteil, wenn man sich diese zusaetzlichen
> Faelle von "System lahmlegen" ersparen (oder zumindest die
> Wahrscheinlichkeit davon reduzieren) kann.

Die Fälle wo ein Virus ein System lahmlegt, zählen natürlich nicht.

>>> also eher ein Produkt des Systemherstellers,
>> Welches ebenso Mängel aufweist wie die anderen.
>
> Im Gegensatz zu allen anderen kann der Systemhersteller Updates des
> Systems *vor* der Veroeffentlichung auf Vertraeglichkeit mit seiner
> "Sicherheitssoftware" testen (und wird das i.d.R. auch tun).

Und warum gab es massive Pannen?

Das machen die Virenhesrsteller übrigens auch.

Grüße Harald

[Herrand Petrowitsch]

Stefan Kanthak schrieb:
> "Karl-Josef Ziegler" schrieb:

Gruß Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.

[Herrand Petrowitsch]

Stefan Kanthak schrieb:
> "Karl-Josef Ziegler" schrieb:

>> Juergen Ilse:

>>> Wenn er erklaert bekommt, dass er mit Einhaltung der genannten Regeln die
>>> Wahrscheinlichkeit, sich Viren und sonstigen Muell einzufangen, drastisch
>>> reduziert wird (und er dem glaubt), dann wird er danach handeln, auch wenn
>>> er es nicht *muss*, weil er (sofern er nicht voellig merkbefreit ist) den
>>> *SINN* dieses handelns einsieht.
>> Nein, wird er nicht.
> Ach?
>
> <http://windows.microsoft.com/de-de/windows/change-users-account-type>:

> <http://windows.microsoft.com/de-de/windows/user-accounts-faq>:

> ...
>
>> Das psychologische Moment der Bequemlichkeit und Trägheit wird völlig
>> unterschätzt.
>
> Genau.
> Deshalb installieren ja viele OEMs Testversionen von Virenscannern mit
> begrenzter Laufzeit. Nach Ablauf der Testperiode stehen die sich
> geschuetzt glaubenden Lemminge dann mit heruntergelassenen Hosen da.
>
> Ebenso entfernen die typischen Endbenutzer auch all die Crapware nicht,
> die "wohlmeinende" OEMs ihnen vorinstalliert mitliefern, und lassen sie
> ohne Updates vor sich hin(bit)rotten.

Wobei das Topping der Idiotie damit noch lange nicht erreicht ist, wie
ich vor ein paar Tagen feststellen musste. Szenario (unter Windows 7):

1) Da hatte sich jemand irgendwann einen (kostenpflichtigen) AV-Scanner
besorgt und kuerzlich dessen Nutzungsdauer (ebenso kostenpflichtig!)
verlaengert. Er erhielt vom Hersteller auch einen neuen "Key", nur
wurde dieser Schluessel vom Nutzer nie eingepflegt, das AV-Zeugs war
also bezahlt, aber nicht einsatzfaehig, somit komplett inaktiv.
2) Windows Update lief definitiv zum letzten Mal am 28. Juni 2015 (!),
damals bereits mit Fehler.
3) Verschiedene Toolbars waren installiert.

Argumentation des Benutzers:

ad 1) Lese Emails nur am Smartphone, Anzeige ist halt begrenzt.
ad 2) Verwende den PC eh fast nie.
ad 3) Keine Ahnung, woher.

Leider war die Dauer meines Aufenthalts dort sehr begrenzt.

|...]

[Juergen Ilse]

Hallo,

Herrand Petrowitsch <her...@networld.at> wrote:
> Wobei das Topping der Idiotie damit noch lange nicht erreicht ist, wie
> ich vor ein paar Tagen feststellen musste. Szenario (unter Windows 7):
>
> 1) Da hatte sich jemand irgendwann einen (kostenpflichtigen) AV-Scanner
> besorgt und kuerzlich dessen Nutzungsdauer (ebenso kostenpflichtig!)
> verlaengert. Er erhielt vom Hersteller auch einen neuen "Key", nur
> wurde dieser Schluessel vom Nutzer nie eingepflegt, das AV-Zeugs war
> also bezahlt, aber nicht einsatzfaehig, somit komplett inaktiv.
> 2) Windows Update lief definitiv zum letzten Mal am 28. Juni 2015 (!),
> damals bereits mit Fehler.
> 3) Verschiedene Toolbars waren installiert.
>
> Argumentation des Benutzers:
>
> ad 1) Lese Emails nur am Smartphone, Anzeige ist halt begrenzt.
> ad 2) Verwende den PC eh fast nie.
> ad 3) Keine Ahnung, woher.

SEUFZ ...

> Leider war die Dauer meines Aufenthalts dort sehr begrenzt.

Sei froh. Der Versuch die Buechse in einen sinnvoll nutzbaren Zustand
zu bringen, waere bestimmt gar nicht gut fuer deine Nerver gewesen,
insbesondere, wenn du bei naeherer Untersuchung noch mehr solche
Ueberraschungen vorgefunden haettest ...

[Juergen Ilse]

Hallo,

Harald Hengel <raldo-...@freenet.de> wrote:
> Juergen Ilse schrieb:

>> denn ein auf einem kompromittierten System
>> laufender virenscanner liefert keine zuverlaessigen Daten mehr,
>> selbst dann nicht, wenn er eine Schadsoftware auf einem
>> unkompromitterten System noch als Schadsoftware erkannt haette,
>> muss das auf einem kompromittierten System nicht mehr zutreffen:
> Die Praxis sieht anders aus.

"Proof of Concept" eines solchen potentiellen Schaedlings (enthielt
keine Schadroutine, da nur ein proof of concept): "Blue Pill"
Das Ding konnte ein laufendes Windows im Betrieb in eine virtuali-
sierte Umgebung verschieben. Der irenscanner sah nur die virtuali-
sierte Umgebung, dass Ding selbst lieff ausserhalb der Virtualisierung
direkt auf der Hardware (und damit fuer *jede* in der Windowsumgebung
laufende Software *voellig* *unsichtbar*).Dass viele Malware noch
nicht so ausfereift ist, ist zum einen ein Glueck (so wird manche
Malware tatsaechlich noch von einem Scanner erkannt), es zeigt aber,
dass es moeglich ist, so etwas zu schreiben, dass aus dem laufenden
System heraus nicht erkannt werden kann, wenn es denn erst einmal
laeuft ...

> Mir ist bisher kein Fall bekannt, wo ein Virenscanner auf einem
> kompromittierten System noch normal weiter lief.

Das zeigt deine nicht sonderlich tiefgreifende Erfahrung.

>> Die bereits laufende Schadsoftware kann den Virenscanner ueber den
>> Inhalt der Festplatte oder die Inhalte von Dateien "beluegen" (ja,
>> so etwas gibt es,
> Nein, das gibt es nicht.

Doch, das gibt es, momentan noch eher selten, weil man diesen Aufwand
meistens noch nicht treiben muss, um die Malware ausreichend weit
verbreiten zu koennen (*trotz* Virenscanner).

>> das gab es sogar schon vor mehr als 30 Jahren bei
>> Viren unter dem Betriebssystem MS-DOS,
> Du zeigst sehr deutlich deine Ahnungslosogkeit.

Glaubst du wirklich mehr Ahnung zu haben?

> Zu MS-DOS Zeiten liefer der Scanner nicht im Hintergrund, sondern
> wurde von einer Bootdiskette gestartet, nicht unter dem laufenden
> Betriebssysem.

Als ich das erste mal mit yankee Doodle zu tun hatte, wurde er von
nur sehr wenigen damals verfuegbaren Virenscannern erkannt, und keiner
von denen konnte ein damit infiziertes System bereinigen, obwohl das
Ding eigentlich harmlos (nur etwas nervig) war ... Das Ding spielte
taeglich um die Uhrzeit zu der die Erstinfektion erfolgte ueber den
PC-Lautsprecher eine Melodie (und hatte ansonsten keine Schadroutine).
Versuchte man eine ingizierte Datei mit einem Debugger zu untersuchen,
baute er sich beim laden des Programms aus dieser Programmdatei aus
(so dass man im Debugger nur die "nicht infizierte Datei" sah und
untersuchen konnte). Wurde eine Programmdatei normal ausgefuehrt,
waehrend der Virus im System aktiv war, wurde die Programmdatei
infiziert. Wenn ein mit einer aelteren Version von Yankee Doodle
infizierter Rechner mit einer neuen Version infiziert wurde, hat
sich der Virus automatisch "upgedated": in den infizierten Dateien
wurde dann die alter version des Virus durch die neue ersetzt.
Ich hatte damals an der Uni einen HIWI-Job an einem Institut, wo
ein Institutsmitarbeiter sich das Ding auf seinem Arbeitsplatz-
rechner eingefangen hatte und das System nicht wieder sauber bekam.
Ich hatte dann ein Programm geschrieben, dass die Eigenschaften des
Virus selbst benutzte, um zum einen die Infektion mit genau diesem
Virus zu erkennen und das System in diesem Fall auch zu "bereinigen".
Damit bekam jener Mitarbeiter seinen PC wieder sauber.

Dieser Virus war *sehr* primitiv, und trotzdem hatten damals Signatur-
basierte irenscanner damit Probleme und die wenigen, die das Ding er-
kannten bekamen es nicht fertig, ein damit infiziertes System zu be-
reinigen. Und dieser Schaedling war auf dem Stand von vor 30 jahren ...

>> die Technik ist wesentlich
>> aelter als Windows). "Yankee Doodle" war ein Beispiel eines
>> Schaedlings, der sich (auf ziemlich billige Weise) einer Analyse
>> entzog,
> Der wurde nicht entdeckt?

Doch, durch die Melodie, die er einmal taeglich ueber den PC-Lautsprecher
spielte ...

> Es gibt die Viren, die Scanner mehr oder weniger tot legen.
> Dann gehen keine Updastes mehr, das erste deutliche Warnzeichen.

Dann ist der Schaedling nicht sonderlichh ausgereift. Ansonsten wuerde
er Signaturupdates "faken" oder gar zulassen, aber sic so ins System
hineinhasengen, dass der Scanner beim Versuch die Dateien von Platte zu
lesen um sie zu analysieren, nur die "nicht infizierte ersion" der Datei
gelesen hat, waehrend in Wirklickeit auf der Platte doch die infizierte
Datei steht. ja, so etwas ist moeglich (und wuerde ich wirklich Viren
schreiben, wie du schon oefters faelschlicherweise beauptet hast, wuerde
ich das auch genau so einbauen ... aber ich schreibe keine Viren).

> Darüberhinaus bleibt das nie untendeckt, die Scannerhersteller
> schiessen nach, gelegentlich auch mit spezieller Erkennungssoftware,
> wenn der normale Vierenscanner dem nicht veikommen kann.

Du hast sogar zu wenig Ahnung von dem Thhhema, um ueberhaupt die Moeg-
lickeiten zu verstehen, die man in Viren einbauen koennte.

> Eines ist sicher, bei deinem Konzept kann ein Virus auf deinem Rechner
> lange unentdeckt überleben.

Theoretisch moeglich, aber unwarscheinlich, wenn er versuchen wuerde,
sich ueber Netz weiter zu verbreiten, denn das wuerde ich vermutlich
anhand der Logfiles meiner Cisco Firewall bemerken.