92% aller bekannten Sicherheitslücken

  • ... liessen sich durch ein normales Benutzerkonto ausschalten.

    Artikel (englisch)
    http://technicallyeasy.net/2014/03/protec…-simple-change/

    Unter "Mitigating Vulnerabilities" (Sicherheitslücken entschärfen/ausmerzen: http://dict.leo.org/?search=mitigate) stehen diverse Zahlen für diverse MS-Produkte, die mit einem Nicht-Adminkonto nicht ausnutzbar gewesen wären. Das dürfte auch für zukünftige Sicherheitslücken gelten.

    http://www.microsofttranslator.com/bv.aspx?from=&…imple-change%2F

    PDF
    http://www.avecto.com/documents/repo…eport_FINAL.pdf

  • Der Artikel bezieht sich auf alle Windows-Versionen, auch XP, weil die Untersuchung sich nur auf das Jahr 2013 (hätte ich evtl erwähnen sollen) bezieht. Im PDF wird im Anhang die Liste aller Bulletins mitsamt Vermeidung yes/no aufgelistet. Evtl gibt es eine Neuauflage für 2014, dürfte aber noch dauern, für XP dürfte es dann aber wesentlich schlechter aussehen.

  • Zitat von Bernd.

    ... liessen sich durch ein normales Benutzerkonto ausschalten.

    Besser wäre eigentlich verheimlichen.
    Die Lücken sind doch vorhanden, jedoch können sie mit einem normalen Konto keine Auswirkung mehr zeigen.

    Ist bei den neueren W* der erste Benutzer immer noch Administrator ? Denn dann wäre es eine Verfehlung des Herstellers wenn er selbigen darüber nicht informiert,

  • Ist es immer noch. Das Perfide daran ist aber, dass es bereits einen Admin (unsichtbar) dennoch gibt.
    http://www.com-magazin.de/tipps-tricks/w…ren-122814.html

    Zitat

    Besser wäre eigentlich verheimlichen.


    Deswegen schrieb ich oben "entschärfen", die Übersetzung muss im Kontext gesehen werden. Es wird weder die Sicherheitslücke noch die Auswirkunng "verheimlicht", jene kann einfach nicht ausgenutzt werden.

  • Mag ein, dennoch "pillepalle", weil dieses Konto im abgesicherten Modus anwählbar ist für Korrekturen - wo es auch Sinn macht, weil nicht alles im normalen betrieb, auch als Admin nicht, machbar ist. Unter Windows 8 ist das noch beknackter, weil man dazu einen Reghack (oder per GPO ab Pro) benötigt, um einen Benutzer mit Admin-Rechten auch wirklich die vollständigen Adminrechte zu verpassen - es reicht nicht, den UAC zu deaktivieren.

    Daher:
    - ersten Benutzer einrichten, Adminrechte. Damit den eigentlichen Admin aktivieren, limitierten Benutzer einrichten, als echter Admin anmelden, ersten Benutzer löschen. Gar nicht an diesen Quatsch gewöhnen.

    Deswegen gibt es ja bei der Kontenverwaltung, zB Rechteanpassung, den "Administrator" und die Gruppe "Administratoren" - ein Konto mit Adminrechten fällt in letzteres.

  • Mal eine Frage an jene, die mit Win7 64bit sowohl ein normales Administrator Konto haben (nicht das versteckte Admin-Konto aktiviert) und ein Standardbenutzer-Konto.
    KontoA=Standardbenutzer ; KontoB=normales Adminstrator-Konto
    Ist es normal, dass ich mit dem Standardbenutzer-Konto (KontoA) auf C:\Users\KontoB\AppData\Local\Temp zu greifen kann und darin auch Dinge löschen/verschieben/hinzufügen kann?
    Genauso auf andere Ordner, die in C:\Users\KontoB\AppData\Local liegen.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Dürfte aufgrund der echten Benutzertrennung für limitierte Benutzer (LUA, ohne Admin-Rechte) gar nicht möglich sein, wohl andersherum, weil Admin-Rechte. Falls doch, ist was faul im Staate Dänemark. Inhalte von Gast-Konten (falls Anmeldung erlaubt) werden nach Abmelden wieder gelöscht.

  • Gast-Konto ist nicht aktiviert. Das können wir also außen vor lassen.
    Auf C:\Users\KontoB\AppData\Roaming kann Standardbenutzer(KontoA) zwar rein gucken, hat darin aber keine Berechtigungen, genauso wenig in C:\Users\KontoB auf die Ordner Bilder/Videos usw.

    Ich werde das mal genauer untersuchen wie das bei anderen ist.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Kann ich erst im Laufe des späten Nachmittags prüfen, was geht. Ich habe grad ein Spiel zum Zeitvertreib auf ;)

  • Nein, du Quengel :P Aber für dich unterbrochen, da ich mit dem Hauptlevel durch war.

    Also ein eingeschränkter Benutzer (LUA) kann zwar andere Namen anklicken, wird aber direkt abgewiesen, Zugriff nicht erlaubt, dh. keinerlei Einsicht möglich. Default (normal nicht sichtbar), All (Alle) und Public (Öffentlich) sind zu erreichen. Ohne weitere Einstellungen konnte ich auch bei meinem Explorerersatz unter c:\programme\ keine Einstellungen speichern (portable).

    Da ich andere Sicherungsmechanismen nutze und auch öfters teste, ist Admin schon mein Hauptkonto.

  • Thx, fürs Feedback.
    Was mich noch irritiert ist

    Zitat von Bernd.

    Daher:
    - ersten Benutzer einrichten, Adminrechte. Damit den eigentlichen Admin aktivieren, limitierten Benutzer einrichten, als echter Admin anmelden, ersten Benutzer löschen.


    Von daher haben wie vielleicht doch andere Vorraussetzungen? Und dieses könnte relevant sein, oder? Dein beschriebenes Vorgehen ist ja nicht das "normale".

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Es reicht, wenn ein erfahrener Benutzer alle sonstigen administrativen Konten löscht, weil die schlichtweg keine Daseinsberechtigung haben. Man kann aber bei Windows keine einfachen Benutzer als allerersten Benutzer einrichten, haben die schlichtweg nicht vorgesehen. Es gibt aber immer! einen "Administrator", selbst auf XP Home damals, den bekam man aber nur über das Bootmenü. Der Name lässt sich auch nicht ändern, weil der auch in der Rechteverwaltung festgestanzt ist.

    Unter Linux ist das ähnlich, dennoch anders. Der erste Benutzer ist immer eingeschränkt, root muss explizit angefordert werden - der ist aber schon aktiviert iG zu Windows.

    Und jetzt erkläre einem Windows-Neuling, dass er nicht machen darf, was er will, sondern dafür den Admin (run as..) anfordern muss - gab es nie und wird es wohl nie geben - Gründe gibt es viele, aber meistens steht irgendwo "Ego" vor :mrgreen:

  • mein erster Benutzer war ja auch Administrator, ist wie du sagtest, ja Standard. Dann habe ich einen zweiten Administrator neu angelegt und mich damit angemeldet. Dann damit den ersten Administrator die Rechte genommen, also zum Standardbenutzer degradiert.

    Dein Vorgehen ist aber ein anderes. Von daher gehe ich immer noch von unterschiedlichen Voraussetzungen aus.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Man muss das schon wissen, dass es immer ein Admin-Konto gibt, auch wenn es erst aktiviert werden muss durch ein Admin-Konto. Es gibt keine anderen Voraussetzungen, nur Wissen.

  • ich wusste das auch. Allerdings ist dennoch "deine" Vorgehensweise nicht die übliche Methode, erst den versteckten Administrator zu aktivieren. Deshalb denke ich auch, dass wir unterschiedliche Voraussetzungen auf unserem System haben. Da du es eben anders machtest als ich. Somit werden wohl auch die Auswirkungen unterschiedlich sein.

    Ich hätte halt gerne ein Feedback noch von jemandem, der es mit der "üblichen" Methode machte.
    Dennoch danke.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)