sagt mal.. es wird ja immer wieder gesagt man solle sich am besten einen GASTACCOUNT machen und diesen dann zum Surfen nutzen.

Vielen ist es aber zu umständlich dann wieder zum Admin zu wechseln bzw. runas auszuführen.

Jetzt meine Frage:

wie siehts eigentlich mit der SICHERHEIT aus wenn ich als "ADMIN" mit einem eingeschränkten IE surfe (also den IE im Adminbereich als GAST/EINGESCHRÄNKT ausführe) ?

Wenn ich das richtig sehe dürfte dass ja dann "eigentlich" auch sicher sein bzw. zumindest sicherer.

Klar als Gast IE unter ner Gast Umgebung hört sich shcon sicherer an aber wenns ein Programm schafft die GAST Beschränkung zu umgehen sollte dieses Programm es ja auch direkt in nem GAST Account schaffen (sehe da keinen Unterschied).

Also wie siehts aus.. kann man das als sicheres Surfen mit dem IE bezeichnen?

weil nen IE Link erstellen der beim Klickern nach dem PWD für den Gastaccount frägt ist ja wohl ne kleinigkeit..wenns der Sicherheit dient.

hm niemand weiss etwas?

Meiner Theorie nach würde das nichts bringen. Die meisten Lecks können Code ausführen. Da diese "Code" ausführen dann nichts mehr mit dem IE zu tun hat wird dieser dann mit ADMIN Rechten ausgeführt. Der IE dient nur als Tor zwischen Ausführbarer Ebene und dem Internet.

Ob Du jetzt als Gast den IE offen lässt oder als Admin sollte daher kein großen Unterschied machen. Erst wenn das Programm versuch den Code auszuführen wird es auf Granit beissen, wenn Du nur als Gast angemeldet bist.


Meine Theorie Ende

nimm am besten firefox oder opera
da bist du glöeich ein großes stück sicherer unterwegs
ausserdem noch ein antiirus probgram das du aktuell hällst
evtl. noch ne firewaall und nix kann passieren

Meiner Theorie nach würde das nichts bringen. Die meisten Lecks können Code ausführen. Da diese "Code" ausführen dann nichts mehr mit dem IE zu tun hat wird dieser dann mit ADMIN Rechten ausgeführt. Der IE dient nur als Tor zwischen Ausführbarer Ebene und dem Internet.

Ob Du jetzt als Gast den IE offen lässt oder als Admin sollte daher kein großen Unterschied machen. Erst wenn das Programm versuch den Code auszuführen wird es auf Granit beissen, wenn Du nur als Gast angemeldet bist.


Meine Theorie Ende

genau das kann ja eigentlich nicht passieren!

wenn du als Gast mit dem IE rumeierst kann normalerweise ja keinerlei Code ausgeführt/installiert werden ..also von Seiten des Internets.
Weil so von der Funktion her ist es ja genau das was in VISTA der IE7 machen kann.

Du kannst mit eingeschränkten Rechten surfen...
Frage mich halt wieso das als soooo tolles Feature gehyped wird.
Weil eingeschränkt surfen unter einenm Admin Login kann man eben auch so.
Nichts anderes ist es was VISTA da macht..vllt durch andere kniffe aber trotzdem isses ja das gleiche.

Also ich such mir jetzt einfach mal auf meiner 2t Install die passenden Seiten aus um das zu verifizieren *G*

*Rollo runtermach damit Nachbarn nicht die Pornseiten sehen* :biggrin:

nimm am besten firefox oder opera
da bist du glöeich ein großes stück sicherer unterwegs
ausserdem noch ein antiirus probgram das du aktuell hällst
evtl. noch ne firewaall und nix kann passieren


Punkt A.

Ich bezweifle immernoch dass Mr Foxy bei einer solchen Verbreitung wie der IE noch imemr als sicherer gälten würde.

Punkt B.

Da mit dem Antivrenprogramm, der Firewall usw usw stimmt so absolut nicht.

Gab/gibt genug beispiele dass das durch nen simplen aufruf gewisser Seiten umgehen kannst.

Und wenns was schönes gestricktes gibt dann hilft auch MR Foxy nicht..denn mit dem surfst eben genauso als Admin unterm Admin Account.

Mir gehts einfach darum wie sicher es ist mit nem IE zu surfen der eben nicht als ADMIN läuft.

Der Aufwand ist ja nur das erstellen einer neuen IE Verknüpfung + Erstellen eines Eingeschränkten Accounts.

Kein Benutzerwechsel und nix... also praktisch wäre es wenn es nun wirklich so funzt wie ich es vermute.

Ist wahrscheinlich "sicherer".
Noch sicherer wäre es wenn du als Gast surfst oder den IE als Gastaccount ausführst und gleichzeitig die Sicherheitsstufe für den Homebereich des Gastaccounts ganz hoch einstellst.

Viele Exploits funktionieren nämlich nur dadurch das sie dem IE vorgaugeln das sie Code aus der Homezone sind. Und in der Homezone läßt der IE nunmal fast alles zu.

http://www.windowspage.de/gemeinsame/internet/zones.html


Die Stufe für die Homezone solltest du natürlich "nur" für den Gastaccount verschärfen. Andernfalls bekommt dein Explorer, Windowsupdate und einige MMC Anwendungen aus der Systemsteuerung einige Probleme mit dem ausführen von JavaScript.

so dachte ichs mir...

klar als GAST unter GAST is noch sicherer..da gibbed keinerlei Rechte mehr.

Naja hab mich jetzt schon gut dran gewöhnt..
manche verknüpfungen aus dem NETZ gehen dann zwar nicht oder musst erst neu verknüpfen..aber mein Gott...
was tut man nicht alles für ein bissl mehr Sicherheit.

komisch dass MS nicht einfach ein kleines Tool bereitstellt welches so einen Account+Link zum surfen erstellt :rolleyes:

Die Idee mit dem "Gast-IE" ist totaler Quatsch, weil im Hintergrund weiterhin die explorer.exe mit Adminrechten läuft - und hübsch vom "Gast-IE" gesteuert werden kann.

Die Idee mit dem "Gast-IE" ist totaler Quatsch, weil im Hintergrund weiterhin die explorer.exe mit Adminrechten läuft - und hübsch vom "Gast-IE" gesteuert werden kann.

es geht darum dass wenn du mit dem GAST surfst dir nix einschleusen kannst bzw sich nichts installieren kann da du eben keine Admin Rechte hast.

Erstell dir mal nen GAST IE und versuche was zu installieren oder was zu starten was Adminrechte braucht.

GEHT NICH

*freu*.. und es funzt so wie ichs mir dachte...

der nette Spyguard oder wie auch immer er sich nennt (hat ja viele namen) installiert isch nicht beim Aufrufen genau der Seiten welche das normalerweise zur folge haben.

und nein es liegt an keinem Patch... issn blankes SP2 XP was heute neu aufgesetzt wurde.

Man darf halt nicht aus versehen dann doch mit dem normalen ie surfen..also immer schön die richtige verknüpfung aufrufen (ich hab die im startmenü einfach ersetzt).

EDIT:

weiss jemand wie ich benutzer im Login Screen ausblenden kann?
es gab da mal nen regkey (z.B. um den Admin anzeigen zu lassen)
aber ich weiss ihn nicht mehr *schäm*
Möchte halt den eingeschränkten Account nicht angezeigt bekommen im Login Screen

EDIT:

habs...

Man darf halt nicht aus versehen dann doch mit dem normalen ie surfen..also immer schön die richtige verknüpfung aufrufen (ich hab die im startmenü einfach ersetzt).Ob das aber so sicher ist... Ich verwende Maxthon (ex MyIE2) als Browser, das ist bekanntlich ein IE-Aufsatz. Trotz Popup-Blocker erscheinen auf manchen Seiten Popups und zwar nicht wie "normale" Popups als neuer Tab sondern als eigenes IE-Fenster ! Deshalb würde mich das mit dem Gastaccount nicht 100%ig beruhigen.

EDIT:

weiss jemand wie ich benutzer im Login Screen ausblenden kann?
es gab da mal nen regkey (z.B. um den Admin anzeigen zu lassen)
aber ich weiss ihn nicht mehr *schäm*
Möchte halt den eingeschränkten Account nicht angezeigt bekommen im Login Screen

EDIT:

habs...Wie lautet denn der RegKey ?

MfG
Rooter

Ich denke um "sicher" surfen zu können benötigt man nicht nur einen "sicheren Browser" sondern die meiste Sicherheit bietet es wenn man mit Verstand surft und nicht alles anklickt was blinkt und zittert.

Im Endeffekt versagt doch jeglicher verfügbare Browser, wenn der User der ihn verwendet wie wild auf allem rumklickt was verlinkt ist.

Von daher denke ich persönlich das diese ganzen Browserdiskussionen völlig hinfällig sind.

Wer mit Verstand surft ist auch mit dem Internet Explorer einigermaßen "sicher" unterwegs.

Ich für meinen Teil nutze nur den Firefox da er die Möglichkeiten bietet durch Extensions den Funktionsumfang zu erweitern. Und nicht weil ich ihn für sicherer halte.

Ob das aber so sicher ist... Ich verwende Maxthon (ex MyIE2) als Browser, das ist bekanntlich ein IE-Aufsatz. Trotz Popup-Blocker erscheinen auf manchen Seiten Popups und zwar nicht wie "normale" Popups als neuer Tab sondern als eigenes IE-Fenster ! Deshalb würde mich das mit dem Gastaccount nicht 100%ig beruhigen.

MfG
Rooter

Beim Gastaccount ist es doch fast egal welche Schweinereien der IE zuläßt. Als Gast (und auch der IE der unter einem Gastaccount läuft) darf man ja so gut wie nichts verändern. D.h. installieren, deinstallieren, System-Settings ändern, Dateien löschen (vorausgesetzt die Dateirechte sind richtig gesetzt) usw.

Ob das aber so sicher ist... Ich verwende Maxthon (ex MyIE2) als Browser, das ist bekanntlich ein IE-Aufsatz. Trotz Popup-Blocker erscheinen auf manchen Seiten Popups und zwar nicht wie "normale" Popups als neuer Tab sondern als eigenes IE-Fenster ! Deshalb würde mich das mit dem Gastaccount nicht 100%ig beruhigen.

Wie lautet denn der RegKey ?

MfG
Rooter

das ist ja wiederum was anderes mit dem fenster.

zum regkey..

HKLocal Machine\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\Special Accounts

da sind normalerweise alle drin.
Hast du z.B. nur den Hauptbenutzeraccount vom Setup fehlt ja der Admin im Login.

Dann musst du Administator eingeben und den Wert 1 (anzeigen)

Ich habe z.B. Benutzer SafeSurf erstellt, er wird angezeigt im Login aber ich will ihn da weghaben.

Als Regkey ist er nicht vorhanden also füge ich ihn hinzu mit dem Wert 0 (nicht anzeigen)

Beim Gastaccount ist es doch fast egal welche Schweinereien der IE zuläßt. Als Gast (und auch der IE der unter einem Gastaccount läuft) darf man ja so gut wie nichts verändern. D.h. installieren, deinstallieren, System-Settings ändern, Dateien löschen (vorausgesetzt die Dateirechte sind richtig gesetzt) usw.

so siehts aus... fenster öffnen oki..das kann er

aber nix ausführen oder installiern.
und darum gings ja *G*

kein böser code :)

So sieht die Verknüpfung dann aus

%windir%\system32\runas.exe /user:suchtseuchaus /safecred "%programfiles%\Internet Explorer\iexplore.exe

Natürlich müsst ihr den Eingeschränkten Account dann erstmal Erstellen.. ist ja soweit klar.

Entweder mit PWD oder ohne.
Einmalige PWD Eingabe reicht dann für die Gesammte Windows Session bis zum Reboot.
Ich habs allerdings ohne PWD

Kleiner Ausflug in die Security Ebene eines XP Pro.

Wenn man Software installiert, werden leider default die Besitzerrechte des Accounts vergeben mit dem man eingelogt ist...auch wenn man als Admin eingelogt ist.
Der Besitz ist deafult NICHT der Administrator Gruppe zugeordnet, das ist erst bei dem 2003 Server der Fall. So kann ich per runas zwar Rechte erlangen, resp. diese abgeben, der Besitz richtet sich aber nach dem Account, mit dem man aktuell am System angemeldet ist.
Ergo kann man sich jetzt überlegen, ob es sinnvoll oder unsinnig ist, den IE per runas mit anderen Credentials zu starten.

Mit hinweisenden Grüßen,
QFT

Rafft ihr das nicht? Wenn ich als Admin eingeloggt bin, und den IE mit Gastrechten starte, kann er trotzdem auf die explorer.exe zurückgriefen, die mit Adminrechten läuft und darüber das ganze System infiltrieren. Programme als Admin mit eingeschränkten Rechten zu starten ist sinnlos. Nur wenn auch der explorer mit eingeschränkten Rechten läuft ist es halbwegs sicher.

Kleiner Ausflug in die Security Ebene eines XP Pro.

Wenn man Software installiert, werden leider default die Besitzerrechte des Accounts vergeben mit dem man eingelogt ist...auch wenn man als Admin eingelogt ist.
Der Besitz ist deafult NICHT der Administrator Gruppe zugeordnet, das ist erst bei dem 2003 Server der Fall. So kann ich per runas zwar Rechte erlangen, resp. diese abgeben, der Besitz richtet sich aber nach dem Account, mit dem man aktuell am System angemeldet ist.
Ergo kann man sich jetzt überlegen, ob es sinnvoll oder unsinnig ist, den IE per runas mit anderen Credentials zu starten.

Mit hinweisenden Grüßen,
QFT

mir reichts dass alles was sich ausführen will nach dem AdminPWD frägt...
das war das was ich wollte.. somit kann sich z.B. diese nette Spyware wie SpyAxe usw nicht mehr installieren.

Den IE unter einem Gastaccount laufen zu lassen bringt nicht viel.

Schließlich gibt es noch das Windows Nachrichten System, über das man Programme,
die Fenster haben und mit Admin-Rechten laufen aus dem IE heraus angreifen kann.

=> Das Feature den IE als Gast auszuführen ist irgendwo sinnlos.

MS empfiehlt nicht ohne Grund das Dienste, die mit System Rechten laufen, keine Fenster erzeugen sollten.


Zum Thema Firefox

MS hat ein Artikel zum Zonenmodell von IE
http://support.microsoft.com/default.aspx?scid=kb;EN;Q174360&LN=EN


Firefox, Opera etc haben keine Lokale Zone !!

Die meisten Exploits basieren auf der Exsistenz der lokalen Zone.

=> Malware kann nicht in das Haus gelangen, wenn es keine Tür gibt. (Hinweis: der IE wäre in diesen Fall die Tür).

zum Thema Patches folgende Links

IE 5 http://secunia.com/product/9/
IE 6 http://secunia.com/product/11/
Firefox 1.x http://secunia.com/product/4227/
Opera 8.x http://secunia.com/product/4932/

Der Opera hat übrigens die meisten Features und trotzdem kaum Lücken.

Browsing the Web and Reading E-mail Safely as an Administrator, Part 2 (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp)
how to use SAFER with local or enterprise policy to reduce potential threats when running as an admin.

Und GENAU das ist der falsche Weg, HeldImZelt - weil (ich wiederhole mich ungern) der Desktop dabei mit Adminrechten läuft.

Es hilft aber die Extensions im Zaum zu halten (no install), ein großes Übel weniger.

Es ist trotzdem sinnlos, sich als Admin anzumelden und dann versuchen den Anwendungen die Rechte zu nehmen...

Dann ist es besser, den Account zum PowerUser oder User herunterzustufen und ggf. die Admin Credentials zu übergeben.

Da hast Du wahrscheinlich sogar recht...

Manch einer möchte die Adminberechtigung aber nicht meiden (das 'Warum' ist ein anderes Thema). Genau darauf zielt aber der Artikel von Microsoft. Deine Behauptung wird dort ja explizit bestätigt.

Seit XP nutz ich zum Serfen die schnelle Benutzerumschaltung und starte IE unter dem Admin nur um mir mal einen Patch zu ziehen. Sonst unter dem eingeschränkten.

Beim Umschalten trennt XP auch nicht (Einstellung) also funzt alles bestens. Die Umschaltung dauert hier jetzt mit 1GB mit Passwort eingeben 2s. Ohne, daß die Platte zuckt. Seit 2002 ist mir noch nie etwas diesbezüglich passiert.

Internet-Zone ist trotzdem noch bissl 'schärfer' eingestellt. Keine Vertrauenswürdigen, keine eingeschränkten, kein Lokales Internet.

Rennt. Und das nicht zimperlich ;) Wochentliche Überprüfung mit AdAware/Spybot hat noch nie etwas ergeben.

Am geilsten wäre es, wenn man mit ALT-TAB zwischen zwei Benutzerkonten hin- und herspringen könnte. Wird Vista sowas bieten?

Am geilsten wäre es, wenn man mit ALT-TAB zwischen zwei Benutzerkonten hin- und herspringen könnte. Wird Vista sowas bieten?
Das kannst Du mit Windows-Tasta und L-Tasta, Du Schnarcher ;) Oder kennst Du das schon? Dann mußt Du ohne Passwörter nur den richtigen User klicken (geht auch mit Tasten) oder halt eh Passwort eingeben.