Re: Warum ein eingeschränktes Konto benutzen?
 

Mir ist keine bekannt. Diese Funktionalität müßte auch das Programm implementieren, nicht Windows oder das Dateisystem ;)

Es gibt allerdings Software, welche sich vor den Kernel schiebt und Ring 1 im PM nutzt. Dadurch kann es veranlassen, daß alle Prozesse einzeln quasi in virtuellen Maschinen laufen. Sehr beeindruckende Technik und auch zum Patent angemeldet. Hat mir jemand auf einer geschlossenen Sicherheitsmailingliste mal gezeigt - er sagte er arbeite für die Firma. Wenn du willst, kann ich es nochmal raussuchen, dann hast du den Link und kannst mal anfragen!

Nein. Unter den von dir geforderten Bedingungen natürlich immer. Unter normalen Bedingungen jedoch nicht.
Es ist ein Fakt, daß das Debug-Privileg ausreicht Systemrechte und damit ultimative Kontrolle zu erlangen - also sollte ein eingeschränkter Account dieses Privileg nicht haben. Gleiches gilt für alle relevanten Rechte. Der Admin ist eben eine TCB-Entität, der Gast oder ein Normalnutzer nicht. Kannst du einen Treiber installieren, so wird es dir möglich sein ein Rootkit o.ä. zu installieren -> wieder ultimative Kontrolle. Also wieder ein Privileg, welches der eingeschränkte Benutzer nicht haben darf.

Damit wären wir auch bei der Sinnlosigkeit der obigen Argumentation des Themenerstellers vorgedrungen: Software entwickeln ohne zu debuggen ist reichlich hirnrissig - Debugrechte an einen eingeschränkten Account zu vergeben aber ebenfalls. Also kann man es gleich lassen und zB umgekehrt den Browser mit eingeschränkten Rechten laufen lassen, statt interaktiv mit eingeschränkten Rechten zu laufen.

Re: Warum ein eingeschränktes Konto benutzen?
 

Ich bin mir nicht sicher, ich denke ja Ja.
Du richtest einen Benutzer ein, und entziehst ihm überall die Schreibrechte. Unter Linux geht das sehr einfach, indem du ihm nicht die Möglichkeit gibst, mit sudo oder su an SU-Rechte zu kommen und ihn keiner Gruppe hinzufügst, die irgendwo Schreibrechte hat. Dann entziehst du ihm noch im eigenen Home-verzeichnis die Schreibrechte und fertig. Ob dann allerdings Browser und Rest noch geht, ist fraglich, Cookies wollen auch irgendwo untergebracht werden, und ich weiß nicht, ob ein Browser es gerne mit sich machen lässt, wenn er keinen Cache hat. Ich habe nie versucht, ein Firefox-Profil zu öffnen, in dem ich keine lock-Datei anlegen darf, vielleicht geht es, falls nicht brauchst du mindestens Schreibrechte im Firefox-Profilverzeichnis.
Dein "Traum" ist an sich schon weitestgehend die Standardeinstellung unter einem Debian-System, sobald du einen neuen Benutzer anlegst. Es fehlt nur das Home-Verzeichnis und einen kompatiblen Browser, um deinen Traum wahr werden zu lassen.

Mit FAT32 wird es definitiv nicht gehen.

Re: Warum ein eingeschränktes Konto benutzen?
 

Ja, ich. Mein Win2k habe ich vor 5 Jahren aufgesetzt, bisher keinen einzigsten Virus gehabt, (neuste Virensoftware ist installiert), obwohl ich am Tag bestimmt 30 EMails mit Viren Attachments bekomme.

Aber, ich führe niemals irgendwelche Software von unbekannten Quellen aus. Oder anders ausgedrückt, bis auf meine Arbeit nutze ich im Grunde nur gekaufte Software, meistens von großen Kompanies.

Gruß Hagen

Re: Warum ein eingeschränktes Konto benutzen?
 

Geil. Wenn mal wieder was neues rauskommt, kannst du es mir forwarden! :thumb: GMX ist aktuell etwas knausrig :mrgreen:

Vertrauen - Sicherheit basiert immer auf Vertrauen!

Re: Warum ein eingeschränktes Konto benutzen?
 

Du willst meine verseuchten EMails haben ? Ein Scherz oder ? Ich forwarde es dir gerne, aber denke das du einen Scherz mit mir treibst ;)

Die Logik der EMails ist immer gleich: gefakte T-Online Supports (auf english wohlgemerkt), oder irgendwelche gefakten Provider Meldung das eine Nachticht von mir nicht weitergeleitet werden konnte, an eine Addresse die ich nie im Leben angemailt habe. Im Attachment immer, und zwar immer, eine ca. 13-30 Kb große Datei, mit entsprechender Endungen wie Message.txt.pif oder so ähnlich. Ein simpler HEX Editor entlarvt diese Teile ziemlich schnell.

Wie du es oben schon sagtest: auch ich habe in den letzten Jahren nur Viren gesehen die aus Baukästen zu stammen scheinen.

Das ändert aber nichts an der Tatsache das ich persönlich die Meinung vertrete das man einen Virus programmieren könnte der das heutige Windows, ohne sichere Hardware, aber egal mit welchen Konteneinstellungen, in jedem Falle kompromittieren könnte. Nur scheint das Wissen der heutigen Virenprogrammierer eben nicht mehr ausreichend zu sein.

Gruß Hagen

Re: Warum ein eingeschränktes Konto benutzen?
 

Hallo Hagen!

Dazu 2 Fragen:

1. Was heißt "bis auf meine Arbeit"? Wo hast Du die Software dafür her?

2. Nehmen wir an schöni hat Windows zum Computerkauf dazugekrigt. Wie ist "gekaufte Software"
Deins Kommentars zu Verstehen? Was ist mit Open Source Software? Kann die auch gefährlich
sein? Schließlich sind heutige Programme recht komplex. Da steigt nicht mehr jeder durch.
Was ist dann, wenn ein bösartiger Programmierer, der trotz der Komplexität das Programm
versteht, da ne Schadfunktion einbaut. So wie der Sicherheitsexperte hat doch auch der
Virenprogrammierer Zugang zu den Quellen bei Open Source.

Das Du nur Softwre von zuverlässigen Quellen verwendest ist OK, das mache auch ich so. Wie
ist das mit Erotikseiten. Können sich das Vieren einschleichen? Wohl dem der das nicht
nötig hat, weil lebende Freundin oder Gattin zuhause. Aber wie groß ist die
Wahrscheinlichkeit einer Infektion? Mal beim Antivieren-Update geschlampt, und dann?

Ich habe auch den aktuellen Virenscanner, hatte aber auch schon Zeugs drauf.

MfG

Delphifan2004

Re: Warum ein eingeschränktes Konto benutzen?
 

Nö, ist ernstgemeint. Aber nur wenn du mal was ganz aktuelles hast. Wie gesagt mache ich mich mit meiner Freundin IDA dann daran zu schaffen.

Das Wissen wäre Wissen um Sicherheitslücken. Das System an sich ist vom Konzept her wasserdicht. Daher mein "Nein" oben.

Re: Warum ein eingeschränktes Konto benutzen?
 

Aber nicht zwangsläufig zum CVS oder FTP-Server. Er muß seine modifizierte Version aber unter die Leute bringen. Dein Argument läuft also ins Leere. Es gab einmal ein Beispiel mit Apache (AFAIK), aber das war schnell bekannt, da die Checksummen nicht stimmten.

Benutze Software, die keine Sachen ohne dein Wissen tut - zB keinen IE. Das ist mein vollster Ernst. Ich kann anhand von Logs nachweisen, daß nächtens bei uns im PC-Pool oft solche Seiten angesurft werden, aber seitdem DAUs den IE nicht mehr ausführen dürfen, gibt's auch keine Dialer usw. mehr (obwohl die im LAN sowieso nix machen).

Re: Warum ein eingeschränktes Konto benutzen?
 

Damit meine ich unsere selbst-programmierte Software, ich bin ja professioneller Entwickler, ok das konntest du nicht wissen.

Ich muß ja mit meinen Kollegen und Auftraggebern ebenfalls unsere Software austauschen und mich darauf verlassen können das diese wiederum ebenfalls so penibel sind wie ich. Mehr als vertrauen kann ich in diesem Moment auch nicht.

Öfters bekam ich das Angebot eines Kunden mal schnell seinen Kopie per Netz zu ziehen und bei mir zu testen. Das kommt in der "Verzweifelung" eines Kunden schon häufiger vor. Wir handeln es dann meistens so das wir per Terminal Software beim Kunden einloggen und dort das Problem beobachten.

Im schlechtesten Falle testen wir in der Firma solche Software ;)

Gute Fragen, die ich selber ganz gerne beantwortet hätte ;) Ich bin selber Laie in diesen Sicherheitsfragen, deshalb stelle ich ja meine auch hier !

Dann musste eben Sex mit der Freundin machen, halte ich auch so. Mal ehrlich: Erotik-Seiten hat wohl schon jeder durchstöbert, aber nach 2 Wochen sollte doch wohl jeder normal-sex-Mensch sehr schnell die Schnauze voll haben und auf diese Abzocke verzichten können. Man schaut sich dies an bis man alle Arten von verkaufbaren Sex gesehen hat, je länger man auf Suche ist um so mehr sollte man feststellen können was für einen Shit die zu Geld machen.
Also, man muß wohl schon ein echter Fetischist sein um sich im WEB auf SEX Seiten rumzudrücken, meine Meinung.


Die Freundin ! die bekommt das korrekte Verhalten eingehämmert undinteressiert sich zum Glück eh nur für ebay,das wetter und Online Banking. Falls dies bei deiner Freundin nicht der Fall ist, dann suche dir ne neue. MIr reicht es schon wenn meine Sonntags morgen von meiner Rechenzeit 6 Stunden verbraucht ;)

Sorry, mitlesende Mädels, obige Worte sind eher als witzig zu betrachten.

Gruß Hagen

PS: Manu meine Liebste, solltest du irgendwanneinmal auf diese Worte stoßen, ICH wars nicht, das ist eine anderer Hagen, nicht ICH !

Re: Warum ein eingeschränktes Konto benutzen?
 

@Olli:

Ich maile sie dir gerne, vorher solltest du mir aber PN deine Adresse mitteilen, das wäre hilfreich ;)
Schade habe gerade mal reingeguckt, sind nur 2 Sex-Mails drinnen.

Achso: ich bekomme auch öfters gute Angebote vielleicht interessieren diese Dich und Ida ebenfalls. Zb. Penisverlängerungen und damit der verlängerte Penis auch länger steht gibts Viagra/Cialis Angebote noch dazu ;)

Gruß Hagen

Re: Warum ein eingeschränktes Konto benutzen?
 

Hallo negaH!

mach ich auch nicht

Was ist mit ner OEM Version von Windows? Soviel ich weiß darf ich die nach Kauf auf meinem Rechner installieren. Oder hat sich da die Rechtslage geändert? Behält sich der Softwarehersteller vor, Viren einzubauen, die bei nach Herstelleransicht unberechtigter Installation aktiv werden? Was, wenn die Rechtsprechung anderer Meinung ist, als der Softwarehersteller, wie bei OEM Software geschehen?

Es soll übrigens Linux Fans geben, die Ihr Windows abgeben, weil komplett auf Linux umgestiegen!

Ich wollte eigentlich ne Antwort auf meine Frage zu den speziellen Sicherheitseinstellungen die ich wünsche. Wenn die Absicherung selbst unter Linux nicht so weit geht -> OK. Dann muß ich eben meinen Virenscanner immer aktuell halten. Gebe ja zu das ich da mal geschlampt habe. Aus Schaden wird man klug?

Also, kann ein Benutzerkonto nun so weit eingeschräkt werden, wie in meinem vorigen Beitrag beschrieben, das gar nix mehr geschrieben werden kann, oder geht das mit keinem Betriebssystem, egal welches Dateisystem benutzt wird?

Kann ja sein, das bei so extremer Einschränkung auch das normale Surfen nicht mehr geht, aber ne Antwort auf die Frage wäre schon ganz nett.

Richtig. Hab leider nicht das Glück.

Gruß

Schöni

Re: Warum ein eingeschränktes Konto benutzen?
 

Der neue Internet Explorer unter Vista soll das irgendwie können. Also er merkt, wenn er unter einem Adsmin Account gestartet wurde und startet sich dann selber unter eibnem extra Konto mit eingeschränkten Rechten.

Re: Warum ein eingeschränktes Konto benutzen?
 

Hallo Luckie!

Das ist schon mal ne Antwort, wie ich sie wollte. Da geht das also auf dem Benutzerkonto nicht, nehme ich an. Da geht das also erst mit dem ganz neuen Windows. Schade. Aber Danke für die Antwort!

Es grüßt Dich

schöni

Re: Warum ein eingeschränktes Konto benutzen?
 

Unterwegs

Nö danke, Malware reicht ;)

@Schöni: Hast du mal meine Antwort durchgelesen?

Re: Warum ein eingeschränktes Konto benutzen?
 

Hmm vielleicht findet sich jemand, der einen Browser komplett in .Net schreibt. :lol: Der nimmt sich dann beim Start selbst alle lokalen Rechte und *poof*. Schon hat er nur noch "isolated storage" als Cache. Er darf weder auf die Platte zugreifen, noch fragen wie die Maschine heißt oder bei einem FileOpenDialog darf er nur den Stream aulesen, aber nicht den Dateinamen... Das ClipBoard kann man ihm vielleicht gönnen, sonst hat er nämlich auch nur ein eigenes in sich geschlossenes clipboard... :?
Wäre ein ziemlich krankes Unterfangen, da es einfach noch nicht genügend managed APIs gibt.
Wenn sich VMs (wie .Net oder der Nachfolger von .Net, oder dessen Nachfolger,...) durchgesetzt haben dürfte das ganz normal sein: Unbekannte Software kann dir nix tun, weil sie es einfach nicht darf (unabhängig von Benutzerrechten).
Also kann man sorglos interaktive Apps, Webseiten, vollgestoft mit Code, aufrufen. :)

Re: Warum ein eingeschränktes Konto benutzen?
 

[quote="negaH"]Was wenn nur die Baukästenviren bekannt sind. Wie sicher kann man sein, dass es nicht VIEL intelligenter programmierte Viren gibt, die schon kurz nach dem ersten Kontakt mit dem Internet persönliche Daten sammeln und weitergeben?

Wenn ich das so lese, was ich da geschrieben habe frage ich mich ob ich Paranoia habe, aber irgendwie kann ich nicht glauben, dass all die Leute die programmiertechnisch was auf dem Kasten haben nur positive Absichten haben. (Wenn man die Baukastenprogrammierer mal als Anfänger oder Fortgeschrittene einordnet.)

Gruß
Thomas

Re: Warum ein eingeschränktes Konto benutzen?
 

Sind sie nicht (nur!) ...

Gibt es, schau in die VXer ezines. Habe ich weiter oben schonmal erwähnt.

Re: Warum ein eingeschränktes Konto benutzen?
 

@schöni:

Es gibt einen Weg, das Windows wirklich nichts auf der Platte ablegt.
Dazu müsstest du dir Windows XP besorgen und daraus dann eine bootbare CD erstellen.
Das geht, ist aber alles andere als toll und vor allem langsam.

Ich habe 2 mal XP auf meinem Rechner und falls das eine mal streiken sollte, starte ich das andere und tausche es innerhalb von 2 Minuten aus und das mit ganz simplen Mitteln.

Sollte mal das Armageddon eintreten (Festplatte kaputt, Boottabelle gelöscht etc.)
kopiere ich das ganze von CD. Das dauert vielleicht 10 Minuten.

Von daher sehe ich das nicht so eng...


gruss bigg

Re: Warum ein eingeschränktes Konto benutzen?
 

XPE und WinPE kann man auch auf Pladde installieren, nur als Hinweis ;)

Und in einer VM ist das rasendschnell, wenn du von einem ISO-Image bootest. Wenn man es so sicher haben will, sollte man gleich zu einer VM greifen - meine Meinung.

Re: Warum ein eingeschränktes Konto benutzen?
 

@Robert_G:

Ja, das ist der Weg der es sicher machen wird. Nur was bedeutet Sicherheit im praktischen Sinne ?
Willst du Sicherheit so musst du immer Freiheiten beschränken ! Und exakt dies ist der Weg den MS gehen will. Zb. die digitalen Signaturen sind ein Weg dahin. Das Betriebsystem der Zukunft wird dann nur noch Assemblies installieren und ausführen die digital signiert worden. Die Frage ist aber WER kann sich dieses Prozedere dann leisten ? Immerhin ein gültiges Jahreszertifikat zur Signierung der eigenen Software kostet bei VeriSign einige hundert Dollar pro Jahr. Und ganz sicherheitsrelevante Parts werden höchstwahrscheinlich nur mit MS Signaturen akzeptiert werden.

Juristisch hat MS die freie Möglichkeit zu so einem Schritt, da beist die Maus keinen Faden ab.

Wenn wir also nach immer mehr Sicherheit schreien dann wird es genügend Gruppen geben die gerne bereit sind dieses technisch zu realisieren, gegen entsprechenden Profit versteht sich.

Aber schon wiedereinmal werde ich politisch, sachlich aber denoch am Thema haarscharf vorbei ;)

Gruß hagen

Re: Warum ein eingeschränktes Konto benutzen?
 

aha... :lol:

Re: Warum ein eingeschränktes Konto benutzen?
 

Das ist möglich, ja. Aber ich denke nicht, dass so alle Viren "clever" genug sind, diese Schranke zu umgehen. Meiner Meinung nach bringt es in sofern schon einen Vorteil, dass wenigstens ein Teil der Viren "gestoppt" wird. Und das ist Vorteil genug, denke ich.

Natürlich. Aber ich denke trotzdem, dass 98% aller Viren, die auf einem (Privat-)System vorhanden sind, "bekannte" Viren sind, und keine auf einen zugeschnittenen.

Exakt. Das ist das Erfolgsrezept von den "sicheren" Betriebssystemen wie OpenBSD oder FreeBSD. Es gibt einfach nichts, was unsicher sein könnte :mrgreen:
Ein klein wenig Ironie ist darin zu finden... ;)

Und ganz nebenbei schafft MS sich dabei ein praktisches Mittel gegen OpenSource, damit alle auf kostenpflichtige Software angewiesen sind. Clever, muss man sagen :?

Re: Warum ein eingeschränktes Konto benutzen?
 

... ich sagte jedoch nicht VMWare :zwinker: ... um Ausgewogenheit wiederherzustellen, erwähne ich mal mein aktuelles Lieblingsprodukt: MS Virtual PC :mrgreen:

:shock: ... verrätst du mir in einer PN auch wie?

Ich sage nur immer wieder WHQL-Zertifizierung :roll:

Re: Warum ein eingeschränktes Konto benutzen?
 

Die gleiche Frage von mir.
Es *ist* unter Linux einfach, ich weiß nur nicht, ob die gängigen Browser das mitmachen. Aber bitte, Gecko und KHTML sind freie Bibliotheken, schreib' dir deinen eigenen Browser der mit Sicherheit keinen Festplattencache anlegt und sei glücklich. Außerdem kann man es mit seiner Paranoia auch ein bisschen übertreiben, in deinem eigenen Homeverzeichnis kannst du unter Linux eigentlich nicht viel falsch machen, denn wenn du einen eigenen Benutzer zum surfen hast, kann dieser nicht auf die Home-Verzeichnisse der anderen Benutzer zugreifen, deine restlichen Daten bleiben also komplett geschützt, sowohl schreibend als auch lesend, wenn du die Dateirechte richtig setzt.
Um dir zu sagen, ob das auch mit NTFS geht, habe ich mich zu wenig mit dem Rechtemanagement unter Windows auseinandergesetzt, wie gesagt, ich habe in meiner gesamten NT-Zeit als Admin gearbeitet, da haben sich mir solche Fragen nie gestellt. Ich nehme mal stark an, daß es geht, zumindest meine ich mich an entsprechende Rechteeinstellungen erinnern zu können. Nur ob dem IE es gefällt, daß er keine Schreibmöglichkeiten auf Dateien hat, falls du mit dem IE surfst, kann ich dir nicht sagen.


...ich bin auf gar nichts angewiesen, bin ich jetzt schlecht? :mrgreen:


Viel interessanter finde ich übrigens den Einsparungsapsekt von diesem ganzen Sicherheitsquatsch. Wenn man sich vorstellt, was für unmengen von nutzlosem Traffic diese Schei*-Würmer täglich weltweit erzeugen, der bei mir einfach nur vom Bayer geschluckt und einmal in der Woche gelöscht wird, sehe ich vor allem durch die Benutzung von anderen Mailern als Outlook/Outlook Express ein unglaubliches Potenzial, was jeder von uns für weniger verstopfte Leitungen tun kann.

Re: Warum ein eingeschränktes Konto benutzen?
 

Nein tut es nicht, weshalb ich das auch verneinte. Wir haben sogar bei uns Probleme, weil nur SYSTEM Rechte auf die OE und IE-Verzeichnisse hat. Deswegen werden manche Updates nur unter SYSTEM-Kontext korrekt eingespielt. Aber für die Sicherheit ist's uns das Wert. War nur schwierig das Problem zu eruieren.

Re: Warum ein eingeschränktes Konto benutzen?
 

Hallo!

Du meinst sicher den Vorgang mit BartPE. Danke, werd ich mal angehen!

Das ist natürlich auch ein Weg.

Hab ich, Danke! Weiß ich aber und benutze deshalb schon seit längerem Opera.

Grüße von

schöni

Re: Warum ein eingeschränktes Konto benutzen?
 

an meinem privaten PC? ... ständig. (aktivieren/deaktivieren von Hardware z.B. Festplatte rein/raus)

Installiert wird auch öfters mal was ... außerdem hab ich bisher noch keine Probleme gehabt, welche durch ein anderes Konto nicht aufgetreten wären (natürlich unter der Voraussetzung, das FireWall, AnsiVir und Co. aktiv waren)