Windows - Wie sicher, wenn nicht als Admin?
*Markus
- software
0 Alexander (HH)0 *Markus0 Alexander (HH)0 Steel
0 ChrisB
Hallo,
hat jemand zufällig davon Ahnung, wie sicher ein Windows XP letztendlich wirklich ist, wenn man als "Normaluser" das System benutzt, d.H. nicht als Admin arbeitet, wie es wohl die meisten Windowsbenutzer tun, und keinen Virenscanner benutzt?
Ich musste gezwungenermaßen .NET und das I-Net benutzen und habe keinen Virenscanner, da ich Windows i.d.R. privat nicht verwende, ich aber noch ein funktionsfähiges System auf einer Partition habe.
Markus
Moin Moin!
Sicher genug, um ein Knoppix-ISO runterzuladen, auf eine CD/DVD zu brennen, neu zu booten, und dann mit Knoppix zu arbeiten. ;-)
Im Ernst: Windows einigermaßen abzudichten ist eine Kunst für sich. Ein guter Einstieg ist die Trennung in Admin-User und Alltags-User, letzterer als "Restricted User" oder "Standard User". So wenig wie möglich Zusatz-Software ("Pimp My Windows 2009 Deluxe Pro Gold Edition Professionell Beta 3" und ähnliches Gerümpel), Microsoft-Verbot für alle Anwendungen, die Netzwerkdienste anbieten oder Nutzen wollen. Sprich: Es gibt Netzwerk-Anwendungen/Dienste und es gibt Microsoft-Anwendungen/Dienste, aber es gibt keine Anwendungen/Dienste, die beides sind. Einzige Ausnahme ist (zähneknirschend) Windows Update. Das bedeutet: Kein Internet Explorer, kein Outlook Express, kein Outlook, kein Personal Webserver, kein IIS. Stattdessen Firefox, Thunderbird, Sunbird, Apache. Zwischen Windows und Internet gehört auf jeden Fall ein Masquerading Gateway, gemeinhin als DSL-Router bezeichnet, wahlweise ipcop oder FLI4L, damit von außen kein Zugriff auf die Windows-Kiste möglich ist.
Der beste Malware-Schutz ist der gesunde Menschenverstand: Mails von unbekannten Absendern und mit unerwünschten Attachments werden stumpf gelöscht, ohne(!) Ansehen des Attachments. Fremde Datenträger kommen NICHT in den PC, und was im WWW blinkt, hüpft, und sonstwie um Aufmerksamkeit bettelt, wird NICHT angeklickt. CD-Autostart und USB-Autostart werden ausgeschaltet. Ausblenden von Datei-Extensions wird ausgeschaltet. (Für den Unsinn sollte man jemanden bei Microsoft mal gründlich über das Knie legen!)
Ein stets aktueller Virenscanner (on Demand, nicht on Access!) kommt zum Einsatz, wenn denn doch einmal fremde Dateien auf den Rechner kommen müssen, egal ob per Datenträger, Mail oder WWW. Auch Treiber-CDs werden gescannt!
Alexander
Hallo,
danke für deine Antwort. Wenn ich unter Windows unterwegs sein muss, läuft sowieso kein unnötiger Dienst, kein IE, o.ä.
Mein Problem ist aber weiters, dass der PC eines Freundes neu aufgesetzt werden muss (durch Spyware u.ä. zu Tode verseucht), und ich weiß nicht ganz, ob ein Windows XP selbst als Restricted User (inkl. Virenprogramm) für ihn sicher genug ist, denn er lud in der Vergangenheit ja ständig jeden Poker-Mist und Konsorten von dubiosen Webseiten auf den Rechner. Mit anderen Worten, ich weiß nicht, ob ich sein Windows deppensicher genug machen kann, damit nichts passiert.
Ich spiele schon mit dem Gedanken, ihm ein Dualboot-System mit Archlinux einzurichten, wo Windows nur mehr zum Spielen verwendet werden kann und für alles andere ausschließlich Linux benutzt werden darf.
Markus
Moin Moin!
IE verstecken, notfalls Firefox per IE-Icon starten. Ebenso Outlook durch Thunderbird ersetzen. Admin-Passwort bleibt bei Dir. Zwei Partitionen, C:=System (NTFS), D:=Daten (NTFS). Restricted User, kein Autostart, keine Schreibrechte auf C:. User-Account so einrichten, dass Desktop und My Documents auf D: liegen. Nachdem Aufsetzen der Kiste ein Image ziehen (Ghost o.ä.). Klare Ansage: Poker, Schmuddel, Raubkopien, per Mail oder WWW eingeschleppte Malware, etc. führen dazu, dass das Image für C: GNADELOS wiederhergestellt wird. Ist was auf D: verseucht, wird auch D: GNADENLOS vom Image wiederhergestellt. Fummelt ein Dritter an dem Rechner rum, hat der die Arschkarte und darf in Zukunft den Rechner warten.
Manche Leute brauchen solche Peitschereien ...
Die kleine "Gesunder Menschenverstand"-Runde aus dem vorherigen Posting wäre vielleicht auch noch hilfreich.
Alexander
Wenn du auf ewig den Admin fuer deinen Kumpel spielen willst... Sei Dir bewusst, dass viele Programme Adminrechte zur Installation und auch spaeter noch zum laufen brauchen. Ich hab bisher z.B. Photoshop (cs2) nicht dazu bringen koennen normal zu starten, wenn nicht mit Adminrechten. Du muestest mit Pech also fuer jeden WOW Patch zu deinem Kumpel eilen und ihm den installieren. Das willst Du kaum. Also zeigst du ihm wie man sich als Admin anmeldet und du kannst ihn gleich als Admin freischalten.
Das ist sein Rechner. Er darf und wird auch damit rumbasteln wollen. Und wenn er keine Ahnung hat oder sich einfach nicht schert (wie extrem viele Leute) wird er sich auch wieder Malware einfangen. Aus meiner Erfahrung kann ich nur sagen dass es meist keinen Zweck hat. Mach ihm seinen Rechner neu. Erklaer ihm was Sache ist und fertig. Meiner Meinung nach sollten die meisten Leute nicht an ihre eigenen PCs gelassen werden...
Du muestest mit Pech also fuer jeden WOW Patch zu deinem Kumpel eilen und ihm den installieren. Das willst Du kaum.
Richtig.
Also zeigst du ihm wie man sich als Admin anmeldet und du kannst ihn gleich als Admin freischalten.
Falsch. Du installierst einen VNC-Server und administrierst bequem von daheim aus.
Moin Moin!
Falsch. Du installierst einen VNC-Server und administrierst bequem von daheim aus.
... und immer schön SSH-getunnelt, sonst ist die Kiste schneller tot als bisher!
Alexander
Und darauf hab ich auch keine Lust. Und mein Kumpel wird auch keine Lust haben, jedesmal wenn er nen Spiel gekauft hat, zu warten bis ich mal Zeit habe. In ner WG mag sowas noch klappen oder in einer Familie.
Ich persoenlich finde den Rat, nicht als Admin unterwegs zu sein ziemlich gut, praktiziere das selbst so und rate das auch jedem. Allerdings habe ich noch niemanden kennengelernt, der das durchzieht. Ist schon wiel zu aufwaendig fuer die meisten.
Ich finde fuer den durchschnittlichen User die Loesung mit Win zum spielejn und Linux zum arbeiten, surfen,.. auch ganz nett. Aber das ist auch zuviel verlangt, denke ich. Im Grunde ueberfordern die meisten Loesungen Ottonormaluser oder schraenken sie unglaublich ein.
Hallo
Ich persoenlich finde den Rat, nicht als Admin unterwegs zu sein ziemlich gut, praktiziere das selbst so und rate das auch jedem. Allerdings habe ich noch niemanden kennengelernt, der das durchzieht. Ist schon wiel zu aufwaendig fuer die meisten.
Ich ziehe das privat auch durch (ok, ich kann damit auch umgehen). Das ist auch machbar, obwohl grade Spiele zu den Programmen gehören, die den Zugriff als Admin verlangen. Und wenn es nur darum geht, die Spielstände in ein Unterverzeichnis des Programmverzeichnisses abzuspeichern.
Wenn man bescheid weiß, kann man das betreffende Verzeichnis auch für den beschränkten Benutzer zum Schreiben freigeben. Hat man aber einen Benutzer, der damit nicht umgehen kann oder will (sowas gibts auch *grrr*), ist das auch keine Lösung, weil man dann ja immer wieder selbst hin müsste.
Ich finde fuer den durchschnittlichen User die Loesung mit Win zum spielejn und Linux zum arbeiten, surfen,.. auch ganz nett. Aber das ist auch zuviel verlangt, denke ich. Im Grunde ueberfordern die meisten Loesungen Ottonormaluser oder schraenken sie unglaublich ein.
Die größte Einschränkung ist wohl, jedesmal umbooten zu müssen, wenn man mal was anderes machen will. Und wenn es ein Update für das Spiel gibt, wird auch ganz schnell wieder Windows (dann als Admin) an's Netz gebracht. Da ist nichts gewonnen.
Tschö, Auge
Hi,
Ich musste gezwungenermaßen .NET und das I-Net benutzen und habe keinen Virenscanner
Hoffentlich ueberlegst du wenigstens beim Geschlechtsverkehr *vorher*, welcher Schutz angebracht waere ...
SCNR ChrisB
Moin Moin!
Hi,
Ich musste gezwungenermaßen .NET und das I-Net benutzen und habe keinen Virenscanner
Hoffentlich ueberlegst du wenigstens beim Geschlechtsverkehr *vorher*, welcher Schutz angebracht waere ...
SCNR ChrisB
Hast Du das Wörtchen "gezwungenermaßen" übersehen? Das entspricht dann einer Vergewaltigung, bei der man in aller Regel sich den Schutz nicht aussuchend darf/kann. <span style="BILD">Programmierer von Windows vergewaltigt! Urologe ratlos!</span>. Das <img> dazu darf sich jeder selbst denken. ;-)
Alexander