Was genau ist nicht klar an meiner Formulierung?
Zitat von Berndstatt irgendwelche Urteile über diejenigen zu fällen
Zitat von dark_riderWem selbst das zu lästig ist, dem ist wirklich nicht mehr zu helfen
ich verstehe bis heute nicht, was am Vista-UAC den Arbeitsablauf hemmen soll
Umgangssprachlich - sei einfach still, solange du es nicht verstanden hast. Danke.
(ansonsten könnte ich mich zu einer Kategorisierung geneigt fühlen)
dark_rider, du hattest doch in Wirklichkeit die Frage gestellt
Zitat von dark_riderLohnt sich da wirklich ein extra User-Account neben dem Admin?
und in deinem folgenden Beitrag erweitert
Zitat von dark_riderUnterbindet Vista so etwas mit den Admin-Rückfragen vor vielen Aktionen nicht eigentlich schon ausreichend, so dass es sich erübrigt, verschiedene Windows-Benutzerkonten anzulegen und den PC für Admin-Aktionen extra jedes Mal neu zu starten bzw. zumindest den Benutzer zu wechseln?
Also, wenn die Gretchenfrage lautet, kann UAC sicherheitstechnisch die Verwendung getrennter Konten mit unterschiedlichen Rechten ersetzen - und um es noch einmal zum Mitmeißeln klar und unmißverständlich auf den kürzesten Nenner zu bringen: Nein -, dann ist doch die Frage, wie lästig wird diese UAC-Popup-Fragerei empfunden ein Nebenkriegsschauplatz. Meine Aussagen zu der Belästigung war ein Teil meiner knappen Zusammenfassung über den historischen Werdegang dieser Benutzerkontensteuerung; dazu gehört eben auch, daß die millionenteure UAC-Entwicklung auf Grund der allgemeinen Kritik (bezogen auf Vista) dazu führte, daß man die W7-UAC-Standardeinstellung herunterschraubte - um es unmißverständlich klar zu machen: die Sicherheitsfunktionalität (im Rahmen der bescheidenen Möglichkeiten von UAC) reduzierte; die Alternative wäre gewesen, UAC wieder zu entfernen. So, dieser kurze historische Exkurs ist damit geschlossen und die Frage nach dem persönlichen Empfinden der Komfortfrage damit auch. Ergänzend: Interessierend ist nicht die Frage, ob der einzelne diese Fragerei als lästig empfindet oder nicht, sondern ob die Masse der Benutzer dieses Instrument akzeptiert und beherrscht. Denn wenn UAC entweder massenhaft abgeschaltet oder jede Frage wie unter Trance schablonenhaft mit Zulassen beantwortet wird, dann kann UAC selbst die von MS zugedachte Funktionalität notwendigerweise gar nicht erfüllen.
Konzentriere dich auf deine eigene Frage (oben wiedergegeben) und die Antwort darauf.
Zitat von dark_riderWer sich zu 100% an alle Empfehlungen von BSI und anderen Sicherheitsexperten halten will - der bleibt offline.
Diese Empfehlung habe ich beim BSI oder einem seriösen Sicherheitsexperten bisher nicht gefunden. Man könnte auch schreiben, schafft alle Computer oder zumindest das Internet oder auch alle anderen Netzwerke ab - man kann auch in die Steinzeit zurückkehren. Seriöse Experten empfehlen einen solchen Unsinn nicht. Sie empfehlen die Absicherung des Rechners mit den zu Gebote stehenden Möglichkeiten, und dazu gehört die Einrichtung und Verwendung eines eingeschränkten Kontos. Was daran soll über Gebühr lästig sein? Aus meiner Erfahrung über viele Jahre sage ich dir: Nichts! Kein Mensch verwendet seinen Computer um 90% der Zeit (nicht einmal weit weniger als 50%) zu administrieren, mithin pflegen Dauer-Admins bestenfalls ihr Ego, nicht ihren Rechner und nicht die Sicherheit.
Halten wir ganz einfach fest - und das hat nichts mit "beschimpfen" zu tun: Du hast nach dem Sinn des eingeschränkten Kontos gefragt, du hast Antworten bekommen, denen du inhaltlich nicht widersprochen hast und du tust es also trotz besseren Wissens nicht. So etwas nennen ich unverantwortlich.
mithin pflegen Dauer-Admins bestenfalls ihr Ego
zu geil - ymmd :mrgreen:
Zitat von dark_rider
Aber: Ich befürchte Komplikationen bei der nachträglichen Einrichtung eines zweiten Users ohne Admin-Rechte. So fragen z.B. manche Programme bei der Installation, ob sie für alle User oder nur für den aktuellen installiert werden sollen. Ob ich da jedes Mal "für alle User" ausgewählt habe - ich bin, ehrlich gesagt, nicht absolut sicher. D.h. es könnten dann Programme und deren mühsam optimierte Einstellungen oder gar Daten fehlen?
Diese Sorge ist nicht gänzlich unberechtigt aber wenn du Programme nur unter dem Adminkonto installierst, dann gibt es eigentlich keine Probleme. Das eingeschränkte Konto soll ja nur für die Internetbenutzung sein. Die Programme sollte man möglichst offline und als Administrator ausführen.
Man sollte in dem eingeschränkten Konto möglichst keine Programme installieren (mit Ausnahmen). Das kann Probleme machen. Jedenfalls sind meine Erfahrungen unter XP und WIN 7 mit dem eingeschränkten Benutzerkonto bisher sehr gut. Etwas lästig fand ich nur, den Profilordner von Firefox rüber zu kopieren um die Einstellungen zu behalten aber ein Problem ist das auch nicht.
Falls es mal Probleme mit "vergessenen" Einstellungen geben sollte, kann man die meistens auch manuell rüber kopieren.
Zitat von dark_riderich habe deshalb bisher nicht auf einen Nicht-Admin-User umgestellt, weil ich nicht sicher bin, ob sich dadurch etwas am System, an den Verzeichnissen/Dateien und der installierten Software ändert.
Es wird ein neues Benutzerkonto erstellt, genau das, was die Funktion verheißt. Nicht mehr und nicht weniger. Am System ändert sich nichts. Es ist ja gerade der Sinn der Maßnahme, daß der eingeschränkte Benutzer am System nichts ändern kann. Einstellungen, die der Benutzer ändern kann, sind Benutzereinstellungen und gehören zum Benutzer; also nichts was das System betrifft. 2 Ausnahmen dazu: die Lautstärke und die Bildschirmauflösung: Beides kann auch vom eingeschränkten Benutzer geändert werden, wirkt aber für alle Benutzer. Alles nichts, was nicht auch PC-Neulinge in den Griff bekommen könnten.
Zitat von dark_riderIch ... brauche daher ein stabiles (!) System. Daher meine Devise: Never change a running system.
Diese Regel ist in der PC-Welt so absolut aufgestellt falsch. Stelle dir vor, du beziehungsweise dein Antivirenprogramm würde nicht täglich oder sogar mehrmals pro Tag neue Definitionen laden. Oder du würdest Sicherheitspatches - angefangen, aber nicht beschränkt auf das Betriebssystem - nicht zeitnah oder besser noch automatisiert installieren, dann hast du schnell das Gegenteil eines stabilen System. Der eingeschränkte Benutzer ist genau das, was du willst: Er kann nichts am System ändern, mithin kann er auch nicht versehentlich etwas am System ändern.
Ach ja, wer so etwas (stabiles System) braucht, macht auch regelmäßig Backups, nicht zuletzt Image-Backups, damit kann man was auch immer ungeschehen machen.
Zitat von dark_riderWürde ich nun einen neuen PC kaufen und ihn sowieso neu einrichten, würde ich das mit dem User-Account wohl mal ausprobieren und ihn bei wenig Stress damit auch nutzen.
Da gibt es nichts auszuprobieren. Mach es, und es läuft. Und wenn das Benutzerkonto mal ganz daneben hängt, wird es einfach gelöscht und ein neues erstellt, so einfach ist das. Und noch eins: Es passiert immer wieder einmal, daß ein Windows-Konto unrettbar kaputt geht. Sollte es es sich um dein Admin-Konto handeln, dann hast du richtige Probleme.
Zitat von dark_riderAber: Ich befürchte Komplikationen bei der nachträglichen Einrichtung eines zweiten Users ohne Admin-Rechte. So fragen z.B. manche Programme bei der Installation, ob sie für alle User oder nur für den aktuellen installiert werden sollen.
Da gibt es keine Komplikationen, versprochen. Und zu der Frage bei der Installation mancher Programme: Dabei handelt es sich in 99% aller Fälle darum, ob die Verknüpfung im Startmenü nur für den installierenden Admin oder für alle Benutzer verfügbar sein soll. Sollte man die Frage mit "nur aktueller" beantworten, muß und kann man die Verknüpfung für den Aufruf später noch manuell erstellen. An der Installation des Programms selbst (prinzipiell ausschließlich mit dem Admin-Konto, selbst wenn es als Benutzer ginge (geht zumindest nicht völlig ordnungsgemäß) wäre es für den Zweck der Sicherheit durch Rechtetrennung kontraproduktiv) ändert sich durch die Auswahl besagter Frage nichts. Die Antwort "für alle Benutzer" ist fast immer richtig (und die Fragestellung selbst bei den meisten Programmen IMHO Unsinn), Ausnahme sind Werkzeuge, die sowieso nur ein Admin ausführen darf.
Zitat von dark_riderunerwartete Komplikationen bei der nachträglichen Einrichtung
Es gibt keine!
Zitat von dark_riderGeschäfts-PCs
Und da gehört das erst recht hin, denn wenn der Rechner aus Unachtsamkeit oder erfolgreichem Angriff erst einmal geschrottet ist, dann ist dein Problem größer als
Zitat von dark_rider2-3 Stunden
Zitat von dark_riderEs gab schon allzu oft Updates, die dazu führten, dass eine Software plötzlich nicht mehr richtig funktionierte.
Ich beziehe das mal auf Windows: Ja, gab es - in Einzelfällen. "allzu oft" gab es das nicht. Und es gab auch bereits Fälle, wo Klagen kamen, daß ein Windows-Update den Rechner unbenutzbar mache und es stellte sich heraus, daß diese Probleme ausschließlich auf einen kompromittierten Rechner zurückzuführen waren. Verständlicherweise testet man bei MS nicht, ob Updates Schadware-kompatibel sind - wäre ja noch schöner.
Was es aber in unschöner Regelmäßigkeit und Häufigkeit gibt sind Rechner, die kompromittiert wurden, weil Updates nicht zeitnah installiert waren. Das ist die reale Wahrheit.
Zitat von dark_riderZudem blockieren Updates manchmal das System oder verlangsamen es stark, manchmal ist auch ein Neustart erforderlich.
Neustart: das trifft zu. Aber wenn man die automatischen Updates so konfiguriert, daß sie nachts erfolgen, erfolgt die Installation abends oder am nächsten Morgen. Was stört da den Arbeitsablauf? Den Rest mußt du mal belegen. Auf meinen Windows-Systemen habe ich das in Jahren nicht erlebt.
Ich kann verstehen, daß es dir darum geht, dein System jederzeit arbeitsbereit zu halten. Du ziehst aber daraus Schlußfolgerungen, die kontraproduktiv sind (weil ein sicher konfiguriertes System nämlich die beste Versicherung für jederzeitigen Arbeitseinsatz ist) und die teilweise zumindest so klingen, als ob du über angelesene Behauptungen schreibst.
Es geht auch nicht darum, ob ich mit dem Kompromiß leben kann - ich lebe nicht damit, ich sichere mein System sachgerecht ab, und das ist keine Angelegenheit von Sicherheitsexperten, sondern kann von jedem Windows-Normal-User umgesetzt werden. Es geht auch nicht darum, ob ich (oder wer auch immer) sauer ist. Es geht darum, daß du sicherheitsrelevante Fragen gestellt hast, und ich nehme mir die Freiheit, die Antwort zu geben, die ich für richtig halte - und diese Antworten auch nicht verwässern (auch nicht mit ja, aber) lasse.
Zum Adobe Reader: Wird hier seit Jahren aus gutem Grund nicht mehr benutzt. Entweder PDF XChange Viewer (Achtung: Ask-Toolbar bei der Installation abwählen oder ZIP-Version wählen, die hat allerdings kein Browser-Plugin) oder die in FF mögliche interne PDF-Funktionalität benutzen.
Da ich nicht wissen kann, welche Software du installiert hast, bezog ich mich ausdrücklich auf Windows.
Zitat von dark_riderZum Autoupdate nachts: Erstens lasse ich meinen PC nachts nicht durchlaufen - Du schon? Und zweitens: Wenn nachts dabei etwas schief geht, stehe ich morgens dumm da. Da brauche ich den PC aber auch zum arbeiten!
Sagte ich schon, daß es hier in all den Jahren kein Problem gab? Weil du mich gefragt hast, ich gehe an jedem MS-Patchday (jeder 2. Dienstag im Monat, also nicht wirklich oft) abends auf Windows-Update und installiere die Patches so zeitnah wie möglich (ab 19 Uhr verfügbar). Auto-Update ist dennoch aktiviert, damit ich die (sehr seltenen) zwischenzeitigen Updates ebenso zeitnah erhalte.
Zitat von dark_riderIch sorge doch, wie hier in diversen Postings mitgeteilt, mit diversen Maßnahmen immerhin schon deutlich mehr vor als der Normal-User, der mit Standard-Einstellungen = offenem Visier (u.a. Scripting pauschal für alle Websites erlaubt, volle HTML-Ansicht von E-Mails usw.) online geht.
Sicherheit definiert sich nicht dadurch, um wieviel man die Fehler anderer vermeidet, sondern ob die Maßnahmen richtig und vollständig sind. Alles andere ist Pseudo-Sicherheit.
Zitat von dark_riderSprichst Du trotzdem nur mit Leuten, die Deine Empfehlungen zu 100% komplett umgesetzt haben? Mach doch der Übersichtlichkeit halber mal eine Liste, was aus Deiner Sicht in punkto Sicherheit alles zu beachten ist, sozusagen eine Security-Shortlist für Windows-PCs.
Es kann dir doch nun wirklich nicht entgangen sein, daß ich mit dir spreche (schreibe), was also soll die Frage im ersten Satz? Eine Liste wie du sie willst findest du in der Signatur von Freund Boersenfeger.
Zitat von CosmoEine Liste wie du sie willst findest du in der Signatur von Freund Boersenfeger.
Ergänzt: https://www.camp-firefox.de/forum/viewtopi…=729092#p729092
1: Ja
2. Nein
Um diese Daten in dem Benutzerkonto weiter verwenden zu können (und natürlich ist das wichtig), kopiert man sie als Admin an einen temporären Ort und kopiert sie dann als Benutzer an den endgültigen Ort. Dieses zweiteilige Vorgehen ist wichtig, damit der Benutzer anschließend auf die Daten - die ja dann seine Daten sein sollen - uneingeschränkte Zugriffsrechte hat. Deswegen ist auch unbedingt zu vermeiden, Daten durch den Befehl Verschieben zwischen den Konten zu bewegen, weil hierbei die Rechte ausschließlich beim Admin bleiben können und Probleme vorprogrammiert werden.
Noch ein Hinweis: Nachdem du das neue Konto erstellt hast, kannst du die Daten erst einmal zum Test in das neue Konto wie oben beschrieben kopieren und solange immer noch mit dem Admin-Konto weiterarbeiten, bis du dich sicher fühlst (dann natürlich die Daten noch einmal mit dem letzten Stand erneut kopieren). Du siehst also, du gehst kein Risiko ein, denn das Admin-Konto (das du jahrelang zum Arbeiten verwendet hast), wird das auch noch eine kurze Zeit mehr überleben.
Und noch ein Hinweis: Auf manchen klugen Seiten gibt es den Tip, doch einfach ein neues Admin-Konto anzulegen und dann das vorhandene Admin-Konto zum eingeschränkten Konto downzugraden. Tu das nicht. Zwar trifft es zu, daß damit die Datenübernahme ohne jegliche Handarbeit erledigt ist, doch wegen der Sicherheit - und um die geht es ja - ist das kontraproduktiv. Technisch und deswegen nur ganz kurz: Unter NTFS - dem von Windows standardmäßig verwendeten Dateisystem - hat jede Datei (auch Registryeinträge) einen Besitzer, und das ist normalerweise der Benutzer, der sie angelegt hat, hier also der alte Admin. Stuft man ihn zum eingeschränkten Benutzer ab, so bleibt sein Besitzrecht - und das ist mehr oder weniger Vollzugriff - für diese Objekte erhalten und die ganze Operation war aus sicherheitstechnischer Sicht für die Katz (nicht ganz, aber erheblich). Solche Tips stammen von Leuten, die meistens von Berechtigungen im NTFS-System keine Ahnung haben und vornehmlich von anderen ahnungslosen guttenbergen.
Abschließend: Wenn du weitere Fragen dazu hast oder dich einfach unsicher fühlst, so bist du herzlich eingeladen, weitere Fragen hier zu stellen.
Zitat von CosmoEine Liste wie du sie willst findest du in der Signatur von Freund Boersenfeger.
Damit die Suche nicht so schwer fällt, poste ich auch noch.. 
Hier laufen ab Systemstart keinerlei UpDate-Programme mit.
Ich nutze täglich Sumo lite
http://www.kcsoftwares.com/index.php?download
Bei Interesse wähle den bezeichneten Download Button. Dann ist die Software ohne Mitbringsel. Zur Installation werden Admin-Rechte benötigt!
Wenn der neue Rechner in den nächsten Wochen kommt, ist das OK. Anderenfalls und wenn dich dein löchriges Sicherheitskonzept mit der rauhen Wirklichkeit konfrontiert: Du bist dann sehenden Auges in die Katastrophe geschlittert. Weine nicht, frage nicht erst, sondern setze dein System ungefragt neu auf. Wie du das zeitlich unterbringst, ist allein dein Problem (nach Murphys Gesetz immer zu dem Zeitpunkt, wo man es nun gerade wirklich nicht gebrauchen kann).
Zitat von Cosmo..dich dein löchriges Sicherheitskonzept
.. nun habe ich mich extra eingeschaltet, damit der TO per Klick eins lesen kann, das den Namen halbwegs verdient...
