Forum: PC Hard- und Software Win 10 Benutzer(rechte)

Damit machst du dir das Leben unnötig kompliziert...

Windows hat UAC, sowas ähnliches wie sudo unter Linux.
Da wirst du gefragt, wenn du etwas schlimmes machen möchtest.
Der versteckte Administrator verwendet UAC nicht, lass den aus.

Abgesehen davon hat Windows so viele offene Ports, das es wurscht ist 
(siehe etwa WannaCry).
Das ist aber auch schon wieder wurscht, weil heute Viren u Trojaner
sowies über besuchte WWW Seiten und Emails reinkommen, und da ist
Windows mit dem Edge recht gut unterwegs.

Was heute die Sicherheit deutlich erhöht sind Adblocker beim Browsen 
(uBlock Origin etwa), und der Windows Defender.

Kurt schrieb:
> Ist es besser (sicherer) bei der Installation zuerst ein eigenes
> Adminkonto einzurichten und den eigentlichen PC Benutzer dann als
> zweites Konto einzurichten?

Das ist die bequeme Variante und ja, sie macht Sinn.

Du kannst den Nutzer des Adminkonto einfach root nennen, so wie der 
Admin auch unter Unix/Linux heißt, denn root ist noch frei. Das 
versteckte Adminkonto heißt Administrator, das brauchst du aber nicht, 
wenn du ein Adminkonto namens root mit Adminrechten hast.

Und wenn du das getan hast, legst du für dich ein normales Benutzerkonto 
mit eingeschränkten Nutzerrechten an.

UAC ist per default seit Windows 7 übrigens weniger sicher eingestellt. 
Das kann man aber ändern.

Kurt schrieb:
> Es gibt auch noch ein verstecktes Administrator Konto dass aber extra
> aktiviert werden muss.

Powerhell als Admin öffnen:
"net user administrator /active:yes"

Peter D. schrieb:
> W10/11 weigert sich massiv, ins System einzudringen. Nichtmal die
> Standardlibs (Bilder, Videos, Dokumente usw.) kann man löschen.
> Unter W7 war da noch deutlich mehr erlaubt. Daher verstehe ich nicht,
> wie manche noch immer das unsichere XP oder W7 benutzen.

Weil dir hier Pseudosicherheit vorgespielt wird, und das viele intuitiv 
kapieren.  XP dürfte heute in der Praxis sicherer als W10 sein.
Einfach weil die neuen Root-Kits der Skript-Kiddies nicht mehr drauf 
laufen. Einziges Problem ist, dass auch die neuen Browser nicht mehr 
laufen,
was die Sicherheit aber nochmal deutlich erhöht 🤣
Abgesehen davon passiert das meiste was wirklich weh tut heute über 
"Social Engineering".

Für den Anwender sind einzig seine Daten wichtig, und die sind als 
erstes verschlüsselt oder gelöscht. Das normale Einfallstor ist ja User 
-> Admin -> System.
Da ist es egal ob er als normaler User oder als Admin unterwegs ist.
Der IT Mensch versteht unter Sicherheit das das heilige OS nicht 
kompromittiert wird.  Zwei unterschiedliche Standpunkte, die oft nicht
zusammenpassen.

Wollte ja eigentlich nur schreiben, dass es den "Trusted Installer" 
gibt, der
den Administrator bei wirklich wichtigen Sachen abgelöst hat.
Daher kannst du "System Volume Information" nicht löschen.

Kurt schrieb:
> Ist es besser (sicherer) bei der Installation zuerst ein eigenes
> Adminkonto einzurichten und den eigentlichen PC Benutzer dann als
> zweites Konto einzurichten?

Das kommt doch drauf an. Beispielsweise hatte ich einen Rechner mal 
zusammen mit meinem Vater benutzt, und ein anderes Konto war einfach ein 
Testkonto für verschiedene Browser.

Von dem Adminkonto aus kann man ein Programm für Alle Konten in einem 
Rutsch abarbeiten.
Oder für manche Spiele ist es auch angenehmer, wenn man die zuerst auf 
dem Adminkonto installiert.

Teilweise kann es auch ein Durcheinander geben, etwa mit python x,y,z 
Versionen, die dann Rechtebedingt im Adminkonto landen z.B. obwohl man 
das gar nicht möchte aufgrund der User-Kontodateien, die man bearbeiten 
möchte, und die dann im Anwendungsfall erstmal hin und herzukopieren 
sind.

Viele pöse Programme sind aber vor allem auf XP optimiert - wie auch der 
BKA - Trojaner z.B., der einen anderen Desktop vortäuscht. Den 
Maleware-Desktop bekommt man ohne Know How oder Hilfe von irgendwoher 
noch, kaum weg, weswegen da z.B. ein Benutzerkonto ohne Rechte sehr gut 
zum Abfangen der Dramatik war.

( 
https://www.bundespolizei.de/Web/DE/02Sicher-im-Alltag/05Weitere-Themen/02_BKA-Trojaner/BKA-Trojaner_node.html 
)

udok schrieb:
> XP dürfte heute in der Praxis sicherer als W10 sein.
> Einfach weil die neuen Root-Kits der Skript-Kiddies nicht mehr drauf
> laufen.

Blödsinn.
Win XP ist genauso ein Windows NT System wie Windows 10.
Die Wahrscheinlichkeit, dass Rootkit Ersteller ihr Skript so schreiben, 
dass es nur das neuste Zeug von Windows 10 nutzt ist eher 
unwahrscheinlich, wenn sich die Sicherheitslücke auch bereits auf alten 
WinNT Systemen ausnutzen lässt.

Der Unterschied ist dann nur. Windows 10 wird irgendwann Updates 
bekommen.
WinXP nicht.

Nano schrieb:
> Win XP ist genauso ein Windows NT System wie Windows 10.
> Die Wahrscheinlichkeit, dass Rootkit Ersteller ihr Skript so schreiben,
> dass es nur das neuste Zeug von Windows 10 nutzt ist eher
> unwahrscheinlich, wenn sich die Sicherheitslücke auch bereits auf alten
> WinNT Systemen ausnutzen lässt.

Man merkt, dass du die letzen 10 Jahre geschlafen hast 😉
Wieviele W10 Programme laufen denn heute noch unter XP?  Offensichtlich 
hat sich da unter Haube doch einiges getan.

Dazu kommt noch, dass ich unter W10 ca. 105 Dienste im Hintergrund 
laufen
haben, nachdem ich den grössten Scheiss abgedreht habe.  Jeder davon ein 
potentielles Einfallstor. Die kannst du auch nicht mehr einfach 
abschalten, wie unter XP.  Die Dienste unter XP sind deutlich weniger, 
haben weniger Abhängigkeiten, und die meisten lassen sich einfach 
abschalten.  Die sind auch auf alle Lücken abgeklopft.  Ich behaupte 
mal, dass die auch von besseren Programmierern geschrieben wurden. Heute 
hat ein einfacher Tastaturtreiber > 20 MB. Wer kann da sagen, dass der 
sicher ist?

Unter W10 hast du alleine schon auf Grund der vielen offenen Ports mehr 
Einfallstore als unter XP, mach doch mal einen Portscan wenn du
es nicht glaubst.

Von der ganzen Apple/Google/MS Cloud Scheisse rede ich da noch gar 
nicht...
Unter W10 und speziell W11 erleidet der Benutzer massiven 
Kontrollverlusst.
Da werden ohne sein Wissen Apps und Treiber nachinstalliert.  Werbung 
kommt einfach so daher.  Glaubst du wirklich dass der Schrott sicher 
ist?

Und "Social Engineering" ist heute viel aufwendiger, als nur eine 
einfache Email mit einem Trojaner dran.  Da werden von den bösen Jungs 
gefakte Webseiten ("Honigtöpfe") ins Internet gestellt, bei denen auch 
sehr vorsichtige Benutzer drauf reinfallen.

Einen Adblocker betrachte ich als absolute Pflicht. Um die offenen Port 
sollte sich die Firewall der Fritzbox kümmern. Und der Rotz der über 
email reinkommt, da frage ich mich echt wer da überhaupt drauf 
reinfällt.

Den letzten Virenbefall (der mir bewusst ist) hatte ich auf einem frisch 
installierten Windows dass ohne Router/Firewall direkt am Telekom DSL 
Modem hing. Ist solange her dass ich nicht mal mehr sagen kann welche 
Windows Version. 95/98/XP?

Seit dem wird vor der Neuinstallation das Netzwerkkabel gezogen erst 
wieder gesteckt wenn die nötige Sicherheitssoftware installiert ist und 
das nach-hause-telfonieren von Windows eingeschränkt wurde, mit 
XPAntispy oder OOSU10.

Inzwischen tendiere ich dazu bei dem einzelnen Benutzerkonto zu bleiben.

Man muss natürlich darauf achten Software nur von vetrauenswürdigen 
Quellen zu installieren. Es ist erschreckend, wieviele kostenlose/open 
source Programme mittlerweile Adware mitbringen. Filezilla, 
Formatfactory und CDburnerxp sind mir in letzter Zeit negativ 
aufgefallen. Wer weiß denn ob nur Adware installiert wird oder noch was 
schlimmeres. Zum Glück gibt es für die o.g. Programme noch saubere 
Installer die nur das installieren was man wirklich haben will.

Dagegen hätten getrennte Benutzerkonten auch keine zusätzliche 
Sicherheit geboten.

Kurt schrieb:
> Seit dem wird vor der Neuinstallation das Netzwerkkabel gezogen erst
> wieder gesteckt wenn die nötige Sicherheitssoftware installiert ist und
> das nach-hause-telfonieren von Windows eingeschränkt wurde, mit
> XPAntispy oder OOSU10.

So mache ich das auch.  Ohne Netzwerk wird die MS Werbungsscheisse schon
mal nicht nachinstalliert.
Bei XPAntispy & OOSU10 musst du aufpassen.  Es ist gerade eine
neue W10 Version rausgekommen, und die hat wieder etliche Registry Keys
umbenannt.  So einiges wird wieder nicht wie gewohnt zum Abschalten 
gehen.
W10Privacy ist auch gut (aber neigt zum Kahlschlag), den WinAero Tweaker 
verwende ich auch gerne.

Win11 läßt sich aber ohne iNet gar nicht erst installieren. ;-)

(Jedenfalls war das so bei einem Gerät, wo ich das probiert habe.)

kleiner Admin schrieb:
> Win11 läßt sich aber ohne iNet gar nicht erst installieren. ;-)
>
> (Jedenfalls war das so bei einem Gerät, wo ich das probiert habe.)

Die meisten Druckertreiber lassen sich ohne Internet nicht mehr 
installieren. Treiber-CD war früher mal. Jetzt geht das 
Installationsprogramm erstmal ins Internet und lädt den eigentlichen 
Treiber herunter...

udok schrieb:
> Nano schrieb:
>> Win XP ist genauso ein Windows NT System wie Windows 10.
>> Die Wahrscheinlichkeit, dass Rootkit Ersteller ihr Skript so schreiben,
>> dass es nur das neuste Zeug von Windows 10 nutzt ist eher
>> unwahrscheinlich, wenn sich die Sicherheitslücke auch bereits auf alten
>> WinNT Systemen ausnutzen lässt.
>
> Man merkt, dass du die letzen 10 Jahre geschlafen hast 😉

Ist irgendwas besonderes passiert?
Ich bin seit Tagen nur unter Linux unterwegs und hatte keine Zeit die IT 
News zu lesen.

> Wieviele W10 Programme laufen denn heute noch unter XP?  Offensichtlich
> hat sich da unter Haube doch einiges getan.

Der Punkt ist, dass W10 abwärtskompatibel zu XP ist und wenn man 
maximalen Schaden erreichen will, dann schreibt man seine Programme so, 
dass man möglichst viele Windows Versionen abdeckt.

> Dazu kommt noch, dass ich unter W10 ca. 105 Dienste im Hintergrund
> laufen
> haben, nachdem ich den grössten Scheiss abgedreht habe.  Jeder davon ein
> potentielles Einfallstor. Die kannst du auch nicht mehr einfach
> abschalten, wie unter XP.

Manche davon bieten auch mehr Sicherheit.

> Die Dienste unter XP sind deutlich weniger,
> haben weniger Abhängigkeiten, und die meisten lassen sich einfach
> abschalten.  Die sind auch auf alle Lücken abgeklopft.

Nein, die können immer noch Lücken haben und werden dann nicht mehr 
gefixt.

> Ich behaupte
> mal, dass die auch von besseren Programmierern geschrieben wurden. Heute
> hat ein einfacher Tastaturtreiber > 20 MB. Wer kann da sagen, dass der
> sicher ist?

Fett sind in der Regel nur die Treiberinstallationspakete, da da viele 
Hersteller noch nen Haufen anderer Kram mitliefern.
Die eigentlichen Treiber selbst sind immer noch meist sehr schlank.


> Unter W10 und speziell W11 erleidet der Benutzer massiven
> Kontrollverlusst.
> Da werden ohne sein Wissen Apps und Treiber nachinstalliert.  Werbung
> kommt einfach so daher.  Glaubst du wirklich dass der Schrott sicher
> ist?

Darum geht es nicht. Ich weiß, dass W10 und W11 noch Updates bekommen 
und XP nicht.

Ebenso weiß ich, dass von den Sicherheitsfunktionen Windows 10 weitaus 
mehr zu bieten hat, als XP.

Bei XP bietet weder ForceASLR noch High Entropy ASLR.
Dann wird ein HW Zufallsgenerator in XP nicht verwendet, der würde die 
Sicherheit von ASLR in XP, das übrigens mit dem SP3 nachgepatched werden 
musste (alles davor hat kein ASLR), wesentlich verbessern.
Supervisor Mode Execution Prevention (SMEP) gibt es in XP auch nicht.
Reservierter Speicher der nur Daten enthalten soll, ist in XP immer noch
für Programmcode ausnutzbar. In späteren Windowsversionen kriegt dieser 
Speicher einen Flag und wird als nicht ausführbar markiert, damit kann 
als Daten eingeschleuster Code auf einem Win 10 schonmal nicht 
ausgeführt werden unter XP aber schon.
DEP Support und das NX Bit ist in Win XP keine Pflicht, in Win 8.1 und 
aufwärts schon.
Dann können in XP Zugriffe für Prozesse auf Funktionen von win32k.sys 
vom Kernel nicht verhindert werden.


Der ganze XP Kernel ist viel schlechter und hat viele Fortschritte und 
Entwicklungen bezüglich neuster Sicherheitsmerkmale auf Kernelebene 
überhaupt nicht drin.


> Und "Social Engineering" ist heute viel aufwendiger, als nur eine
> einfache Email mit einem Trojaner dran.  Da werden von den bösen Jungs
> gefakte Webseiten ("Honigtöpfe") ins Internet gestellt, bei denen auch
> sehr vorsichtige Benutzer drauf reinfallen.

Auf unsicheren Betriebssystemen wie XP aber nicht, der Aufwand steigt 
nur wegen den neuen Sicherheitsmerkmalen in den neuen Windows Versionen.
Da sind Funktionen drin, siehe oben, die der XP Kernel alle gar nicht 
hat.

Kurt schrieb:
> Zum Glück gibt es für die o.g. Programme noch saubere
> Installer die nur das installieren was man wirklich haben will.

Viele Open Source Programme haben keine digitale Signatur, da die 
Signierschlüssel Geld kostet.
UAC meldet solche Programme als Gelb.

Nano schrieb:
> UAC meldet solche Programme als Gelb.

Ist also keine echte Hilfe.

Kurt schrieb:
>> UAC meldet solche Programme als Gelb.
>
> Ist also keine echte Hilfe.

UAC selbst ist nur ein Dialog, der dir mitteilt, dass ein Program was
potentiell gefährliches machen will.

Der Win Defender schickt die Signatur and die online MS Datenbank, und 
wenn genug Leute das installiert haben und keine Beschwerden kommen, 
wird es durchgewunken (SmartScreen).

Lukas T. schrieb:
> Doch. Denn das sagt dir: Vorsicht! Mach' das nur, wenn du weißt was du
> tust.

Es sagt mir aber nicht ob der installer sauber ist oder noch was anderes 
mitbringt. Dass keine Signatur vorhaden ist, heißt nicht zwangsläufig 
dass die Software dubios ist.

Es stimmt, dass der Win defender oder ähnliche AV Software zusätzlichen 
Schutz bieten und mich immer rechtzeitig gewarnt haben bevor ich die 
Software installiert habe die doch nicht so sauber war wie es schien.

udok schrieb:
> Kurt schrieb:
>>> UAC meldet solche Programme als Gelb.
>>
>> Ist also keine echte Hilfe.
>
> UAC selbst ist nur ein Dialog, der dir mitteilt, dass ein Program was
> potentiell gefährliches machen will.

Falsch!
UAC prüft gar nicht ob ein Programm etwas gefährliches machen will, 
sondern UAC prüft, ob das Programm aus einer vertrauenswürdigen Quelle 
stammt.
Dafür ist die Signaturprüfung da.

Wenn das Programm eine gültige Signatur hat, dann wird der UAC Dialog 
blau und kennzeichnet damit, dass das Programm aus einer voraussichtlich 
vertrauenswürdigen Quelle stammt. Solange die Keys also sicher sind, 
kannst du solche UAC Dialoge praktisch gefahrlos abnicken.

Ist keine Signatur vorhanden, dann wir der UAC Dialog gelb. Was 
bedeutet, dass du als Anwender bzw. Admin wissen solltest was du tust.
Ob die Quelle vertrauenswürdig ist, musst du dann selber einschätzen.

Neben der Signaturprüfung macht UAC noch eine Prüfsummenprüfung. Und 
wenn die Prüfsumme mit einer übereinstimmt, bei der schon Schadsoftware 
gefunden wurde, dann wird der UAC Dialog als rot gekennzeichnet. Was für 
dich als Anwender bedeutet, dass du dieses Programm unter keinen 
Umständen weiter ausführen solltest.
Das gleiche gilt bei ungültigen Signaturen oder kompromittierten Keys.


> Der Win Defender schickt die Signatur and die online MS Datenbank, und
> wenn genug Leute das installiert haben und keine Beschwerden kommen,
> wird es durchgewunken (SmartScreen).

Falsch.

Kurt schrieb:
> Lukas T. schrieb:
>> Doch. Denn das sagt dir: Vorsicht! Mach' das nur, wenn du weißt was du
>> tust.
>
> Es sagt mir aber nicht ob der installer sauber ist oder noch was anderes
> mitbringt.

Bei signierten Anwendungen mit gültiger Signatur sagt er dir, dass die 
Signatur gültig und die Anwendung aus vertrauenswürdiger Quelle stammt.
Daraus kann man, aber muss man nicht, annehmen, dass der Installer 
sauber ist.  In 99 % der Fälle ist er es dann auch.

> Dass keine Signatur vorhaden ist, heißt nicht zwangsläufig
> dass die Software dubios ist.

Richtig, aber es sagt dir dann, dass Vorsicht geboten ist.

Und wenn du dann Software installieren willst, die aus scheinbar 
vertrauenswürdiger Quelle stammt und die von einem Hersteller kommt, bei 
dem davon auszugehen ist, dass der seine Software normalerweise signiert 
und die Signatur dann aber fehlt, dann solltest du auch Vorsicht walten 
lassen.

Kasperle schrieb:
> "net user administrator /active:yes"

So macht man das, und das ist keinesfalls neu - den ausgeschalteten 
Administrator gab es schon lange vor Win10.

Peter D. schrieb:
>> bei einer "standard" Win10 Installation gibt es ja nur einen Benutzer,
>> der Adminrechte bekommt.

Und der darf trotzdem nicht alles, was das Konto "Administrator" darf.

> Das scheint nur so, die Rechte sich trotzdem massiv eingeschränkt.
> Versuche z.B. mal den Ordner "System Volume Information" zu löschen oder
> zu öffnen.

Das war schon unter Win_XP nicht möglich, also auch nicht neu. Als 
Administrtor ist es möglich, den Besitz zu übernehmen, Sinn gibt das 
eher nicht.

> W10/11 weigert sich massiv, ins System einzudringen. Nichtmal die
> Standardlibs (Bilder, Videos, Dokumente usw.) kann man löschen.
> Unter W7 war da noch deutlich mehr erlaubt.

Das ist so pauschal ebenfalls nicht richtig. Es gab bereits bei Win7 
Restriktionen, beim 32-bit allerdings weniger als in W7-64. Sogar bei XP 
gab es schon den "Systemdateischutz", der sich beim Löschversuch 
bestimmter Dateien quergestellt hat.

Aber wenn man wirklich will ... ich hatte mit Win10 eine längere 
Diskussion, bis ich endlich eine systemweite Sounddatei austauschen 
konnte.

> Daher verstehe ich nicht,
> wie manche noch immer das unsichere XP oder W7 benutzen.

Dieser Streit führt zu nichts.

(Die Streithanseln sollen doch streiten wenns ihnen gut tut, das ist 
Feature)

Peter D. schrieb:
> Nichtmal die
> Standardlibs (Bilder, Videos, Dokumente usw.) kann man löschen.

Oh doch und wer diese Ordnerlinks nicht nutzt diese Stichwortsuche:

"Win10 Ordner xyz entfernen"

Die Lösungen funktionieren, alle unnötigen Ordner und der Schnellzugriff 
sind weg und "Dieser PC" ist aufgeräumt.

mich interessierte das aufgeräumte Fenster rechts ohne 3D-Objekte usw.