Hallo

Ich war gestern auf dem MS Techtalk und habe ein paar Informationen erfahren, die anscheinend immer noch nicht weit verbreitet sind und ich zum Teil selbst nicht wusste.

Thema Sicherheit: Wie viele vielleicht wissen, ist es wichtig, ein eingeschränktes Benutzerkonto zu verwenden. Nun ist es manchmal so, dass bestimmte Software höhere Rechte benötigt, als der momentan angemeldete Benutzer aufweist. Bei Diensten ist es ja bisher schon gang und gebe, aber normale Anwendungen werden noch oft im Kontext des momentan angemeldeten Benutzers ausgeführt, der eben oft Administrator ist.

Deshalb kann man jedes Programm im Kontext eines anderen Benutzers laufen lassen. Die leichteste Möglichkeit dazu ist auf die entsprechende Datei/Verknüpfung mit der Maus zu gehen und dann Shift+rechte Maustaste klicken. Dann erscheint im Kontextmenü "Ausführen als" und man kann das Programm unter einem entsprechenden Konto laufen lassen.
Bei XP ist das ja schon standardmäßig im Kontextmenü. Auch sei bemerkt, dass XP bei vielen Anwendungen automatisch nach den Credentials abfragt, sollte der momentane Security Kontext nicht die entsprechenden Rechte aufweisen.

Eine weitere Möglichkeit wäre gleich die Verwendung von Runas.exe. Damit kann man vor dem Ausführen einer Anwendung das zu verendente Konto angeben und muss ggf. noch die Credentials eingeben. Bsp: Runas.exe /user:Benutzer c:\programme\meinprogramm.exe

Des weiteren kann man mit Runas.exe Security Tokens verwenden. Man kann Securiy Tokens erstellen, die im Benutzerprofil gespeichert sind, aber nur für eine bestimmte Zeit gelten. In der Zeit kann man dann alle Programme ausführen, die die Rechte des entsprechenden Kontos benötigen.

Es ist also immer empfehlenswert, sich als Hauptbenutzer, am besten noch als Gast anzumelden.

Das ganze funktioniert mit >=W2k, NT4 müsste auch gehen, aber da bin ich mir nicht ganz so sicher.

Nachtrag: Ich habe hier schon ein paar mal gehört, dass man für das MS Office 2K Update Administrator sein muss. Das ist deshalb notwendig, weil binaries gepachted werden, was ja kein normaler Nutzer machen darf. Bei Solchen Operationen muss man z.B. den Patch im Administrations Kontext laufen lassen.

Nachtrag 2: Windows Update funktioniert auch als normaler Benutzer. Allerdings bekommt man nur als Administrator automatisch das Symbol in der Taskleiste. Manuelles updaten geht aber auch so.

MfG

Original geschrieben von grakaman Deshalb kann man jedes Programm im Kontext eines anderen Benutzers laufen lassen.Toll! So wie bei Unix schon seit Jahrzehnten.
Naja. Diese Features gibt es bei anderen Betriebssystemen schon ewig. In der bunten Windowswelt hat man sie wohl bisher nicht für notwendig erachtet.

Original geschrieben von Gast
Toll! So wie bei Unix schon seit Jahrzehnten.
Naja. Diese Features gibt es bei anderen Betriebssystemen schon ewig. In der bunten Windowswelt hat man sie wohl bisher nicht für notwendig erachtet.

Windows ist auch erst mit NT Basis multibenutzerfähig und seit dem funktioniert es auch. Es geht hier nur darum das zu vermitteln, was bisher viele immer noch nicht wissen/machen.

Ich frage mich warum das Microsoft nicht schon lange "kopiert" hat. Es scheint doch ein wenig schwerer zu sein als ein buntes Icon zu gestalten. Sind doch sonst auch immer schnell dabei...
Das geht mir schon lange auf den Geist bei den MS-Betriebssystemen. Schade eigentlich.

@grakaman:Es funktioniert einen Sch.... seit W2k sind die Rechte ja wieder angezogen worden weil NT4 offen wie ne Mülltonne war. Das hat man ja derzeit immer bemängelt. XP ist noch ne Ecke schlimmer aber wenigstens nicht mehr so Schlecht wie NT4 wo alles offen war.

Sam

Original geschrieben von Sam
Ich frage mich warum das Microsoft nicht schon lange "kopiert" hat. Es scheint doch ein wenig schwerer zu sein als ein buntes Icon zu gestalten. Sind doch sonst auch immer schnell dabei...
Das geht mir schon lange auf den Geist bei den MS-Betriebssystemen. Schade eigentlich.

Sam

Was kopiert? Das geht schon immer mit NT, aber viele machen es trotzdem einfach nicht. W9x ist nicht multibenutzerfähig und out of date. Aber gerade hier im Forum höre ich immer die alten Kamellen, dass die und jenes angeblich nicht funktioniert, obwohl es eben doch geht.

Original geschrieben von Sam
@grakaman:Es funktioniert einen Sch.... seit W2k sind die Rechte ja wieder angezogen worden weil NT4 offen wie ne Mülltonne war. Das hat man ja derzeit immer bemängelt. XP ist noch ne Ecke schlimmer aber wenigstens nicht mehr so Schlecht wie NT4 wo alles offen war.

Sam

Kannst du bitte von genauen Fakten reden, anstatt zu spammen?

Original geschrieben von grakaman
Was kopiert? Das geht schon immer mit NT, aber viele machen es trotzdem einfach nicht. W9x ist nicht multibenutzerfähig und out of date. Aber gerade hier im Forum höre ich immer die alten Kamellen, dass die und jenes angeblich nicht funktioniert, obwohl es eben doch geht.

Was ist denn das für ein Arbeiten? Immer irgendwas rumzupfuschen oder NTFS Rechte ändern damit mal was geht.
Hast du schon mal ein Unix Derivat installiert? Da geht das schon seit Jahren vernünftig und man kann nach der Installation auch das Programm benutzen ohe irgenwo wieder dran zu "drehen"

Sam

Original geschrieben von grakaman
Kannst du bitte von genauen Fakten reden, anstatt zu spammen?

Du hast es oben selbst geschrieben was man machen muß um Programme mit einer anderen Berechtigung laufen zu lassen.
Da muß ich doch nicht Beispiele nennen die weißt du doch selbst.

Die Info ist natürlich trotzdem gut und kann Aufzeigen wie man bestimmte Programme zum Laufen bekommt, wobei es ja eher an den Programmen liegt!

Gruß
Sam

Original geschrieben von Sam
Was ist denn das für ein Arbeiten? Immer irgendwas rumzupfuschen oder NTFS Rechte ändern damit mal was geht.
Hast du schon mal ein Unix Derivat installiert? Da geht das schon seit Jahren vernünftig und man kann nach der Installation auch das Programm benutzen ohe irgenwo wieder dran zu "drehen"

Sam

Wovon redest du überhaupt? Verschiedene Programme benötigen nun einmal verchiedene Rechte. Das ist unter Unix kein bißchen anders.

Ich hätte mich vielleicht ein wenig genauer Ausdrücken sollen. Die Problematik würde den Rahmen sprengen aber wir können gerne telefonieren lacht, ist ja immer nett mal ein Forumsmitglied persönlich kennenzulernen.

Gruß
Sam

Original geschrieben von grakaman
Was kopiert? Das geht schon immer mit NT, aber viele machen es trotzdem einfach nicht.Naja. Du meinst jetzt aber doch nicht das völlig instabile Switch User Utility aus dem NT Server 4.0 Resource Kit.

Der su-Befehl findet sich übrigens im Unix Programmer's Manual First Edition vom 03.11.1971. Das Releasedatum vom Windows NT4 war der 15.03.1994. Also knapp 23 Jahre nachdem in Unix der Switch User Befehl eingeführt wurde, tauchte er dann auch in Windows auf.

Original geschrieben von Gast
Naja. Du meinst jetzt aber doch nicht das völlig instabile Switch User Utility aus dem NT Server 4.0 Resource Kit.

Der su-Befehl findet sich übrigens im Unix Programmer's Manual First Edition vom 03.11.1971. Das Releasedatum vom Windows NT4 war der 15.03.1994. Also knapp 23 Jahre nachdem in Unix der Switch User Befehl eingeführt wurde, tauchte er dann auch in Windows auf.

Möglich, dass das bei NT4 nicht so komfortable ging, aber das hätte man sich auch selbst programmieren können. Ich kann ja schließlich auch unter NT4 Impersonisation (z.B. bei .NET) verwenden. Deswegen muss es technisch möglich sein. Und zwischen zwei Benutzer zu wechseln, gehört nun einmal zu den Grundelementen eines Multiusersystem. Da von Kopieren zu sprechen, ist lachhaft.

Original geschrieben von grakaman


Es ist also immer empfehlenswert, sich als Hauptbenutzer, am besten noch als Gast anzumelden.


hmm ich mache also eine Lücke dicht in dem ich net mehr Administrator bin, aber dafür eine auf in dem ich mich als Gast anmelde und arbeite. Kann ja nicht Sinn der Sache sein.
M$ empfiehlt sowieso immer den Gast zu disablen.


Das ganze funktioniert mit >=W2k, NT4 müsste auch gehen, aber da bin ich mir nicht ganz so sicher.


jo geht mit NT ist aber nicht sonderlich schön zu bedienen, geschweige denn äußerst stabil, aber für scripte etc kann man das schon mal nutzen.

Greets BoRaaS

Original geschrieben von BoRaaS
hmm ich mache also eine Lücke dicht in dem ich net mehr Administrator bin, aber dafür eine auf in dem ich mich als Gast anmelde und arbeite. Kann ja nicht Sinn der Sache sein.
M$ empfiehlt sowieso immer den Gast zu disablen.


Kannst du das genauer beleuchten? Wo machst du eine Lücke als Gast auf? Wo empfiehtl das Microsoft? Da habe ich gestern aber etwas anderes gehört. Außerdem lag die Betonung auf eingeschränkt, also auch Hauptbenutzer.

Original geschrieben von grakaman
Kannst du das genauer beleuchten? Wo machst du eine Lücke als Gast auf? Wo empfiehtl das Microsoft? Da habe ich gestern aber etwas anderes gehört. Außerdem lag die Betonung auf eingeschränkt, also auch Hauptbenutzer.

gegen einen eingeschränkten Benutzer ist auch nix einzuwenden, aber als Gast erlaubst du im endeffekt "anonyme Zugriffe" auf dein System weil du dich net "authentifizieren" mußt. Ich kann als Gast zum Beispiel mich auf die IPC$ Freigabe verbinden. Wenn ich das kann, habe ich Zugriff auf Benutzermanager, kann mir alle Freigaben etc anschauen. Ich bekomme somit schon mal ziemlich viele Infos.
Zumindest weiß ich noch ziemlich sicher das unter Nt4 und W2K derGast disabled sein sollte, wie das jetzt bei XP und W2K3 ist weiß ich net, aber ich denke nicht das sich da was geändert hat

Original geschrieben von BoRaaS
gegen einen eingeschränkten Benutzer ist auch nix einzuwenden, aber als Gast erlaubst du im endeffekt "anonyme Zugriffe" auf dein System weil du dich net "authentifizieren" mußt. Ich kann als Gast zum Beispiel mich auf die IPC$ Freigabe verbinden. Wenn ich das kann, habe ich Zugriff auf Benutzermanager, kann mir alle Freigaben etc anschauen. Ich bekomme somit schon mal ziemlich viele Infos.
Zumindest weiß ich noch ziemlich sicher das unter Nt4 und W2K derGast disabled sein sollte, wie das jetzt bei XP und W2K3 ist weiß ich net, aber ich denke nicht das sich da was geändert hat

Ein Gast kann trotzdem nichts ändern und das ist Dreh- und Angelpunkt. Du darfst natürlich nach belieben eigene Konten anlegen und nach deinen Wünschen ändern. Und über die Freigaben kannst du ja ebenfalls bestimmen.

mmm...

Mal ganz blöd gefragt, wozu soll ich mir so einen Scheiss im privaten Bereich antun? Damit irgendjemand bekanntest nix an meiner Kiste machen kann? oder damit ich vor den "angeblichen" Viren, die sowieso gerne das Sicherheitsteil von MS aushebeln, geschützt bin?

Mikischrott ist einfach zu doof dafür.
Für diese hochbezahlten und auch guten programmierer sollte es kein problem sein das ganze Problem umzudrehen.
Es gibt eben keine Administratorrechte mehr als Standard, man wird, ähnlich einigen Linuxditris, mit nem roten Hintergrund gewarnt wenn man als Admin angemeldet ist.

Will man etwas installieren wird gefragt unter welcher Kennung das passieren soll, nicht das ich mich erst bequemen muß das festzulegen.

Mir ist eigentlich unter Linux kein Programmbekann welches zu laufen Rootrechte benötigt, bei der Installation ist das was anderes.
Naja, bei M$ braucht man dafür nen Lehrgang, bei Linux muß man nur wissen das man als User nicht alles installieren kann - letzteres halte ich für cleverer.

MFG

Original geschrieben von Lokadamus
mmm...

Mal ganz blöd gefragt, wozu soll ich mir so einen Scheiss im privaten Bereich antun? Damit irgendjemand bekanntest nix an meiner Kiste machen kann? oder damit ich vor den "angeblichen" Viren, die sowieso gerne das Sicherheitsteil von MS aushebeln, geschützt bin?

Vor allem, um sich vor Viren/Trojaner/Würmer zu schützen.

Original geschrieben von Mogul
Mikischrott ist einfach zu doof dafür.
Für diese hochbezahlten und auch guten programmierer sollte es kein problem sein das ganze Problem umzudrehen.
Es gibt eben keine Administratorrechte mehr als Standard, man wird, ähnlich einigen Linuxditris, mit nem roten Hintergrund gewarnt wenn man als Admin angemeldet ist.

Will man etwas installieren wird gefragt unter welcher Kennung das passieren soll, nicht das ich mich erst bequemen muß das festzulegen.


Falls dir das nicht aufgefallen ist, ich rede die ganze Zeit davon


Mir ist eigentlich unter Linux kein Programmbekann welches zu laufen Rootrechte benötigt, bei der Installation ist das was anderes.
Naja, bei M$ braucht man dafür nen Lehrgang, bei Linux muß man nur wissen das man als User nicht alles installieren kann - letzteres halte ich für cleverer.

MFG

Das Problem ist, dass W9x kein Multiuser System war. Und als Programmierer hatte man dort vollen Zugriff auf alles, d.h. vor allem bei Anwendungskonfigurationen wurden Registry Einträgen als Administrator geschrieben, was freilich jetzt auf einem neueren System ebenfalls Administratorrechte benötigt. Bei neuerer Software, vor allem die das Logo "Design for Windows" trägt, ist das ja kein Problem mehr. Und gerade als Entwickler benötigt man oft mehr Rechte, weil bestimmte Anwendungen auf Systemprozesse oder andere Dienste, welche mit speziellen Rechten laufen, zugegriffen wird.

Original geschrieben von grakaman
Ein Gast kann trotzdem nichts ändern und das ist Dreh- und Angelpunkt. Du darfst natürlich nach belieben eigene Konten anlegen und nach deinen Wünschen ändern. Und über die Freigaben kannst du ja ebenfalls bestimmen.

Es ist mir schon klar das ich als Gast nix großartig darf, aber wenn ich als Gast lesen kann was du für User und mit welchen Berechtigungen hast , was für Freigaben es auf deiner Kiste gibt dann habe ich als "Angreifer" schon etwas mehr Anhaltspunkte als wenn ich erstmal "Nix" sehe. Darum geht es mir.
Das diese ganze Geschichte für den HomeBereich vielleicht übertrieben ist mag sein, aber es ändert imho prinzipiell nix daran das man den Gast Axx disablen sollte.

Original geschrieben von grakaman
Vor allem, um sich vor Viren/Trojaner/Würmer zu schützen.
Sollte wohl heissen:
Um die theoretisch möglichen Auswirkungen von Viren/Trojaner/Würmer leicht zu begrenzen.

Original geschrieben von HellHorse
Sollte wohl heissen:
Um die theoretisch möglichen Auswirkungen von Viren/Trojaner/Würmer leicht zu begrenzen.

Genau, so ist es korrekt.

Original geschrieben von BoRaaS
Es ist mir schon klar das ich als Gast nix großartig darf, aber wenn ich als Gast lesen kann was du für User und mit welchen Berechtigungen hast , was für Freigaben es auf deiner Kiste gibt dann habe ich als "Angreifer" schon etwas mehr Anhaltspunkte als wenn ich erstmal "Nix" sehe. Darum geht es mir.
Das diese ganze Geschichte für den HomeBereich vielleicht übertrieben ist mag sein, aber es ändert imho prinzipiell nix daran das man den Gast Axx disablen sollte.

Wieso denn? Dann musst du eben nur den Zugriff vom Netzwerk verbieten (lokale Sicherheitsrichtlinien), indem du dort den Anonymous User einträgst.

da gehts doch schon wieder los, in dem du den Gast aktivierst mußte an anderer Stelle wieder "nachflicken".
Du bist Admin und kennst diese Option, ich bin Admin, kenne den Punkt ebenfalls, aber wer als Normalo kent diesen Punkt ??
Ich will jetzt hier auch keine großartige Diskussion vom Zaun brechen, evt verfolgen wir da auch 2 verschiedene Ansichten.

Greets BoRaaS

... ich arbeite unter Windows generell als Admin. :)

Warum?

naja, wenn es irgend ein Wurm oder Virus schafft an meiner HW+SW Firewall Loesung vorbeizuhuschen, dann hat sich dieses Programm den Crash meines Systems redlich verdient *G*

Wenn ich jemandem nen Rechner installiere, dann gibts allerdings nur Power User Rechte ... Is ja nicht jeder so verrückt wie ich und nimmt die Security Bulletin Mails auch ernst und installiert alle Hotfixes / Updates immer asap.

Mag vielleicht auch daran liegen, dass ich beruflich damit zu tun hab ... man weiss es nicht :balla:

Wenn man sich mit Windows auskennt, dann kann man ruhigen Gewissens als Admin arbeiten... Meine Meinung :)

cya

Da bist du nicht der einzige. Ich arbeite zumindestens Zuhause und in der Windowswelt immer nur als Admin und hatte auch noch nie Probleme. Ich mache aber auch den ganzen Tag nichts anderes.

Sam