Zitat von
Daniel:
Dennoch wäre ein ...sagen wir... "ausgefeilteres" Konzept schön gewesen.
Was gibt es ausgefeilteres?
Es wird immer gerne behauptet, daß "Hardwarefirewalls" (was auch immer das sein mag) am sichersten seien. Nehmen wir mal meinen DI-624+-Router mit integrierter Firewall-Funktion: Wenn jemand das Admin-Passwort für das Webfrontend hat, ist mit wenigen Mausklicks und einem Browser die Firewall deaktiviert.
Anderes Beispiel, man nehme netfilter/iptables, wo ja Linux so sicher ist. Die Filtertabellen liegen im Arbeitsspeicher, aber im Kernel-Space. Verändern darf sie nur jemand, der Zugriff darauf hat, und das ist unter Linux nur der superuser. Hat jemand das su-Passwort reichen zwei Befehle um den Filter zu deaktivieren.
Angenommen es gäbe keine solche Liste in der Registry. Als Admin deaktiviere ich einfach den Firewall-Dienst und komme trotzdem ins Internet.
Sorry, aber wer einen Computer vor seinem Administrator schützen will, kennt die falschen Admins und wird seinen Computer nur dann schützen können, indem er sich selbst die Kontrolle über den Computer entzieht, womit wir dann ganz schnell bei den Überwachungsszenarien wären, die einige Leute über Microsoft, die NSA, den CIA, den BND oder sonstwen beschreiben.
Edit:
Zitat von
Daniel G:
Du weißt schon, das ~80% der User als Admin angemeldet sind?
Und was soll ich mit denen machen? Da brauche ich für Malware keinen Registry-Eintrag, da gibt es andere Möglichkeiten, die Firewall zu umgehen. Mit "format C:" schießt man sich da auch schnell selbst in den Fuß. Für ein richtig administriertes System ist die Registry-Lösung vollkommen ausreichend, für ein falsch administriertes System
kann keine Lösung für das Sicherheitsproblem existieren.