Fragen zur Neuinstallation

Hallo,

habe eine Anleitung zum Neuaufsetzen des Computers gefunden und zu dem Thema einige fragen

  1. Sind getrennte nutzer nötig:
    STandardmäßig stellt eine Neuinstallation mir ein Admin-Konto zur Verfügung. Beim Neuanlegen eines Benutzers, kannich beim ersten Mal als Typ nur Administrator (existierendes konto wird als admin nicht anerkannt) angeben und erst bei nächsten mal einen Nutzer mit eingeschränkten Rechten anlegen. Das macht insgesamt drei Nutzer. Zudem entsteht ziemlich viel Aufwand spezifische Anpassungen im Admin und Benutzer Konto gleich zu halten. DAs standardmäßig zu benutzende eingeschränkte Konto erlaubt zudem kein Windows Update.
    Seht Ihr es dennoch als unbedingt notwendig an dass unterschiedliche Konten eingerichtet werden - wenn ja, wass sind Eure Bedenken gegen ein einzelkonto?

  2. Anti-Malware Software:
    Ist es aus Eurer Sicht zum Aufbau eines neuen PCs unbedingt notwendig eine Software wie AD-Aware oder ähnliches zu installieren. Diverse Seiten empfehlen dies. bin mir über die UNabhängigkeit der Meinungsäußerung aber nichzt sicher?! Wenn Ihr es empfehlt, welches Programm eignet sich dann am besten

  3. IExplorer:
    der Artikel zum Neuaufsetzen ist schon etwas älter und entstand zu Zeiten des IE6. Kann man heute sicherheitstechnisch mit ein wenig Augen zudrücken die Verwendung des IE7 inkl. aktuelle Patches tollerieren?

  4. AntiVirus:
    Ich nutze die AVAst-Home-Edition. Ist dieser aus Eurer Sicht ausreichend?
    Wenn nein, welches AV-Programm empfehlt Ihr.

Dank für Eure Meinung

antoschka

.

Es handelt sichum Win XP SP2

Hallo Antoschka

  1. Sind getrennte nutzer nötig:

Ob es für Dich nötig ist oder nicht, musst Du selber entscheiden. Es ist aber sinnvoll, wenigstens zwei Benutzer einzurichten, den Administrator und einen Benutzer mit eingeschränkten Rechten. Die Idee dabei ist, dass Du im Normalfall mit eingeschränkten Rechten arbeitest. Du kannst damit weniger Schaden am System anrichten (z.B. durch unachtsames Löschen von Systemdateien). Falls Du versehentlich eine schädliche Software startest (Virus, Trojaner…) kann die auch weniger Schaden anrichten, weil sie sich nicht in Systemverzeichnissen festsetzen kann.

Aber Du kannst natürlich auf eigene Verantwortung hin auf diese Unterscheidung verzichten. Solange Du Dir der möglichen Nebenwirkungen bewusst bist…

  1. Anti-Malware Software:
    Ist es aus Eurer Sicht zum Aufbau eines neuen PCs unbedingt
    notwendig eine Software wie AD-Aware oder ähnliches zu
    installieren.

Nein, das ist nicht unbedingt notwendig. Sicherheitssoftware kann, im Gegensatz zu dem, was die Hersteller so behaupten, die Sicherheit nur wenig verbessern und ist nutzlos, wenn man andere wichtige Dinge nicht beachtet. Dazu gleich mehr.

  1. IExplorer:
    der Artikel zum Neuaufsetzen ist schon etwas älter und
    entstand zu Zeiten des IE6. Kann man heute
    sicherheitstechnisch mit ein wenig Augen zudrücken die
    Verwendung des IE7 inkl. aktuelle Patches tollerieren?

Generell halte ich vom IE wenig bis nichts. Egal ob IE6 oder IE7. Ich würde Opera oder Firefox den Vorzug geben.

  1. AntiVirus:
    Ich nutze die AVAst-Home-Edition. Ist dieser aus Eurer Sicht
    ausreichend?

Selbes Problem wie oben. AV-Software kann die sonstigen Bemühungen um Sicherheit nur ergänzen. Allein darauf verlassen kann man sich nicht.

Wichtiger sind Sachen wie folgende:

  • Mit beschränkten Rechten arbeiten. Habe ich ja weiter oben schon erläutert.

  • Programme sorgfältig auswählen. Also eher Firefox statt IE.

  • Programme sorgfältig konfigurieren. Also z.B. das E-Mailprogramm so einstellen, dass alle E-Mails standardmässig als ‚Nur Text‘ angezeigt werden und am besten selber auch Nur-Text-Mails versenden. Bei Windows sollte man die Dienste vernünftig konfigurieren oder sie zumindest mit der integrierten Firewall vor Zugriffen von aussen schützen (sofern Du direkt am Internet hängst…).

  • Daten regelmässig sichern. Neben Malware gibts ja auch die Gefahr von Hardware-Defekten.

  • Generelle Vorsicht im Umgang mit Daten aus unbekannter oder unsicherer Quelle. E-Mailattachments z.B. nur gegen vorherige Ankündigung entgegennehmen.

  • Sich durch Lektüre wie z.B. http://www.heise.de auf dem Laufenden halten, was an Malware grad grassiert oder was an Sicherheitslücken entdeckt wird.

  • Betriebssystem und Programme stets aktuell halten, z.B. durch Einschalten von ‚Automatische Updates‘.

  • Vor dem Klick auf eine Datei, einen Link o.ä. Gehirn einschalten. Genau achten, um was es sich handelt bzw. wohn der Link führt…

  • Wissen aneignen.

CU
Peter

Hallo Antoschka

  1. Sind getrennte nutzer nötig:

Ich bin eigentlich ein recht erfahrener Nutzer und weiß i.d.R. auch was ich tue. Dennoch, nutzt Du zwei Nutzer. Ist doch auch ziemlich umständlich oder?

  1. Anti-Malware Software:
    Ist es aus Eurer Sicht zum Aufbau eines neuen PCs unbedingt
    notwendig eine Software wie AD-Aware oder ähnliches zu
    installieren.

Nein, das ist nicht unbedingt notwendig. Sicherheitssoftware
kann, im Gegensatz zu dem, was die Hersteller so behaupten,
die Sicherheit nur wenig verbessern und ist nutzlos, wenn man
andere wichtige Dinge nicht beachtet. Dazu gleich mehr.

Danke!

  1. IExplorer:
    der Artikel zum Neuaufsetzen ist schon etwas älter und
    entstand zu Zeiten des IE6. Kann man heute
    sicherheitstechnisch mit ein wenig Augen zudrücken die
    Verwendung des IE7 inkl. aktuelle Patches tollerieren?

Generell halte ich vom IE wenig bis nichts. Egal ob IE6 oder
IE7. Ich würde Opera oder Firefox den Vorzug geben.

Überredet

  1. AntiVirus:
    Ich nutze die AVAst-Home-Edition. Ist dieser aus Eurer Sicht
    ausreichend?

Selbes Problem wie oben. AV-Software kann die sonstigen
Bemühungen um Sicherheit nur ergänzen. Allein darauf verlassen
kann man sich nicht.

Meine Frage zielte eher dahin ob Avast mit anderen Kommerziellen Produkte vergleichbare Leistungen aufweist…?

Wichtiger sind Sachen wie folgende:

  • Programme sorgfältig konfigurieren. Also z.B. das
    E-Mailprogramm so einstellen, dass alle E-Mails standardmässig
    als ‚Nur Text‘ angezeigt werden und am besten selber auch
    Nur-Text-Mails versenden. Bei Windows sollte man die Dienste
    vernünftig konfigurieren oder sie zumindest mit der
    integrierten Firewall vor Zugriffen von aussen schützen
    (sofern Du direkt am Internet hängst…).

Guter Hinweis, Danke!

  • Daten regelmässig sichern. Neben Malware gibts ja auch die
    Gefahr von Hardware-Defekten.

Schon geschehen. Robocopy wirk ware wunder und arbeitet rassend schnell.

  • Generelle Vorsicht im Umgang mit Daten aus unbekannter oder
    unsicherer Quelle. E-Mailattachments z.B. nur gegen vorherige
    Ankündigung entgegennehmen.

Hier besteht bei mir noch Nachholbedarf

  • Sich durch Lektüre wie z.B. http://www.heise.de auf dem
    Laufenden halten, was an Malware grad grassiert oder was an
    Sicherheitslücken entdeckt wird.

Wenn nur die Zeit da wäre …

  • Betriebssystem und Programme stets aktuell halten, z.B.
    durch Einschalten von ‚Automatische Updates‘.

Gemacht!

  • Vor dem Klick auf eine Datei, einen Link o.ä. Gehirn
    einschalten. Genau achten, um was es sich handelt bzw. wohn
    der Link führt…

:}

  • Wissen aneignen.

Mache ich pausenlos - hier dank Eurer Hilfe :wink:

Vielen Dank für das prompte Feedback

hi,

  1. Sind getrennte nutzer nötig:

Ich bin eigentlich ein recht erfahrener Nutzer und weiß i.d.R.
auch was ich tue. Dennoch, nutzt Du zwei Nutzer. Ist doch auch
ziemlich umständlich oder?

ist gar nicht umständlich.
99% dessen, was ich an meinem pc tu, mach ich als normaler benutzer mit eingeschränkten rechten. sogar programmupdates lassen sich meistens da bewältigen.
nur für echte administrationsvorgänge wechsle ich zum user mit adminsitrationsrechten.

m.

Aber das Win Update scheint nicht zu laufen … Bei mir zumindest nicht. Der Rechner bleibt damit doch nicht wie empfohlen aktuell, wenn man sich nicht aller Tage als Admin einloggt, oder?

Grüße antoschka

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

  1. Sind getrennte nutzer nötig

Da gebe ich allen Recht. Ja, ist sicherer.

  1. Anti-Malware Software:

Nein, das ist nicht unbedingt notwendig.

Nicht unbedingt notwendig ist es auch nicht ein Anti-Virus-Programm zu haben. Aber schadet es?!

  1. IExplorer:

Würde auch z.B. Firefox empfehlen, aber das liegt nicht an der Sicherheit, sondern eher an der Benutzerfreundlichkeit

  1. AntiVirus:

Selbes Problem wie oben. AV-Software kann die sonstigen
Bemühungen um Sicherheit nur ergänzen. Allein darauf verlassen
kann man sich nicht.

Das stimmt. Verlassen kann man sich nur darauf, wenn der PC vom Netzstecker getrennt ist. Also gar nicht mehr anmachen.

Also ein AntiVirus und AntiSpyWare würde ich schon installieren. Einen Benutzer mit eingeschränkten Rechten versehen, Firewall anstellen und regelmäßig alles Updaten. Das sollte dicke reichen. Wenn du dann doch ein Virus/Wurm/Trojaner bekommst, bist du sicherlich nicht der einzige und super geschützte Firmen werden dann auch das Pech haben.
Sicherheit=PC ohne Strom
^^und das noch nicht mal, wenn bei dir jemand einbricht und den PC klaut *grins*.
Nein, ehrlich. Man kann sich wie oben erwähnt schützen, aber sicher ist NICHTS!

Hallo!

Zudem entsteht ziemlich viel Aufwand spezifische Anpassungen
im Admin und Benutzer Konto gleich zu halten.

Warum?
Ich meine, warum willst du die Konten gleich halten?
Den Admin braucht man nur, um was neu zu installieren. Also, wenn die Muschel erst mal ordentlich eingerichtet ist, bestenfalls alle paar Wochen mal (Ich könnt jetzt nicht sagen, wann ich mich das letzte Mal als Admin eingeloggt habe) - da kann das Admin-Konto doch aussehen, wie es will.

DAs standardmäßig zu benutzende eingeschränkte Konto
erlaubt zudem kein Windows Update.

Das ist definitiv nicht wahr. Ich arbeite nur als eingeschränkter Benutzer, und mein Rechner hat gestern noch ein Update installiert.

Seht Ihr es dennoch als unbedingt notwendig an dass
unterschiedliche Konten eingerichtet werden

Unbedingt.
Wenn sich Viren, Würmer und anders Viechzeugs im System verewigen wolle, dann können sie das nur mit Administratorrechten. Weil Windows einem eingeschränkten Benutzer Schreibzugriffe auf den Systemordner schlicht und ergreifend verbietet.

Als eingewschränkter Benutzer zu arbeiten ist eine elementare Sicherheitsmaßnahme.

Und auf

  1. Anti-Malware Software:
  2. AntiVirus:

kannst du damit durchaus verzichten. Ohne Adminrechte können die sich bestenfalls für den Benutzer installieren, sobald du dich aber als Admin anmeldest, werden sie nicht gestartet - und können damit nachträglich bequem entfernt werden.
Mit Masse werden sie sich gar nicht installieren können, weil die systemweite Autostartanforderung einem Benutzer versperrt ist.

  1. IExplorer:

siehe andere Meinungen. Denen stimme ich voll zu.

Außerdem würde ich dir nahelegen, unmittelbar der Installation des Systems und aller wichtigen Programm ein Systemimage anzulegen. Im Falle der Fälle kannst du damit innerhalb von Minuten die Urinstallation wieder zurückschreiben.
Sinnvoller als jeder beliebige Virenscanner/Anti-Malware-Soft oder was auch immer . . .

Besten Dank. DAs hat mir sehr weiter geholfen. Ich werde dann mal zur Tat schreiten und mein schönes jungfräuliches System um die Nutzer erweitern und den Firefox installieren. Zur Zeit läuft gerade die Image-Sicherung.

Übrigens, wennich beim Anlegen des Nutzers, erlaube, dass andere das Nutzerkonto einsehen können, hat das irgendwelche Konsequenzen für die Sicherheit?

Vielen Dank im Voraus antoschka

Hallo Antoschka

Übrigens, wennich beim Anlegen des Nutzers, erlaube, dass
andere das Nutzerkonto einsehen können, hat das irgendwelche
Konsequenzen für die Sicherheit?

Kommt drauf an, ob das ‚einsehen‘ nur lesenderweise ist oder mit Schreibrechten.

Denk einfach an folgendes: Eine Software, die Du startest, hat in der Regel die selben Rechte wie Du. Hast Du Admin-Rechte, kann die Software sich z.B. auch in Systemverzeichnissen einnisten. Hast Du keine Admin-Rechte und somit auf Systemverzeichnisse nur Lesezugriff, hat es die Software deutlich schwerer, sich dort einzunisten.

Das selbe gilt für jedes andere Verzeichnis, auf das Du Zugriff hast.

CU
Peter

Irgendwie hat das mit dem Konto und den eingeschränkten Rechten nicht geklappt. Zwei für mich sehr wichtige Anwendungen lassen sich nicht starten.

  • Symantec Client VPN (Connect ist nicht möglich, da angeblich der Remote-Partner nicht gefunden wird)
  • die lokal installiierte IBM DB2 spuckt beim Anmelduen einen Fehler aus: sql5005c

Beides funktioniert tadellos, wenn ich als Admin eingeloggt bin. Wie bekommt man bei den dürftigen Fehlermeldungen heraus welche Rechte dem eingeschränkten Konto fehlen. Gibt’s einen workaround?

Besten Dank

antoschka

Gibt’s einen workaround?

Mehrere sogar.

Erst mal (als Admin) Schreibrechte für alle auf den jeweiligen Programmordner einräumen (Rechtsklick auf den Ordner, Eigenschaften, Sicherheit, den Benutzer Vollzugriff geben).
Meist wollen solche Programme nur irgendwas nicht im Benutzerprofil, sondern (illegalerweise) direkt in ihrem Programmordner abspeichern.

Dann kann man das gleiche noch für entsprechende Zweige in der Registry machen (Regedt32 bei 2k, Regedit bei XP starten, HKEY LOCAL MASCHINE/SOFTWARE/(Programmname oder Herstellername) markieren, Menü Bearbeiten, Berechtigungen, dem Benutzer Vollzugriff einräumen).

Warnung: Vor Spielereien an der Registry unbedingt ein System-Backup ziehen! Ich hab’s schon selber gehabt, das sich ein Benutzer nach einer Rechtevergabe nicht mehr anmelden konnte! Da kommt man nur mit einem funktionierenden Image wieder raus!

Oder ganz einfach bei
http://www.robotronic.de/runasspc/
RunAsSPC runterladen (für Private Nutzung frei) und lesen, wie’s eingerichtet wird. Damit können auch normale User ohne Kenntnis des Passworts einzelne Programme im Administratorkontext starten (keinen beliebigen, sondern nur Programme, für die der Admin das entsprechende Cryptfile angelegt hat!).

Funktioniert auch mit Autostart-Programmen (so hab ich PeerGuardian für die Benutzer zum laufen gebracht).

Gibt’s einen workaround?

Mehrere sogar.

Erst mal (als Admin) Schreibrechte für alle auf den jeweiligen
Programmordner einräumen (Rechtsklick auf den Ordner,
Eigenschaften, Sicherheit, den Benutzer Vollzugriff geben).
Meist wollen solche Programme nur irgendwas nicht im
Benutzerprofil, sondern (illegalerweise) direkt in ihrem
Programmordner abspeichern.

Sorry, dass habe ich nicht verstanden. Du schreibst die Programme wollen etwas im Programmordner abspeichern und ich soll dafür Vollzugriff geben? Kannst Du den Satz „Meist wollen …“ noch einmal erklären?!

Dann kann man das gleiche noch für entsprechende Zweige in der
Registry machen (Regedt32 bei 2k, Regedit bei XP starten, HKEY
LOCAL MASCHINE/SOFTWARE/(Programmname oder Herstellername)
markieren, Menü Bearbeiten, Berechtigungen, dem Benutzer
Vollzugriff einräumen).

Also da schreiben die bösen Programme nichts rein, deshalb kann ich dafür die volle Berechtigung erteilen, richtig?

Warnung: Vor Spielereien an der Registry unbedingt ein
System-Backup ziehen! Ich hab’s schon selber gehabt, das sich
ein Benutzer nach einer Rechtevergabe nicht mehr anmelden
konnte! Da kommt man nur mit einem funktionierenden Image
wieder raus!

Werde ich tun. Vielen Dank für Eure Mühe und im Voraus für Eure Antwort - Ihr helft mir wirklich weiter.

Oder ganz einfach bei
http://www.robotronic.de/runasspc/
RunAsSPC runterladen (für Private Nutzung frei) und lesen,
wie’s eingerichtet wird. Damit können auch normale User ohne
Kenntnis des Passworts einzelne Programme im
Administratorkontext starten (keinen beliebigen, sondern nur
Programme, für die der Admin das entsprechende Cryptfile
angelegt hat!).

Funktioniert auch mit Autostart-Programmen (so hab ich
PeerGuardian für die Benutzer zum laufen gebracht).

Schick, das schaue ich mir mal an.

Generell: entstehen durch diese Freigaben sei es durch die Berechtigungen oder durch RunAsSPC Sicherheitslücken, durch die potentielle Schadsoftware (Virus, Trojaner & Co.) eindringen kann?

Sorry, dass habe ich nicht verstanden. Du schreibst die
Programme wollen etwas im Programmordner abspeichern und ich
soll dafür Vollzugriff geben? Kannst Du den Satz „Meist wollen
…“ noch einmal erklären?!

Also da schreiben die bösen Programme nichts rein, deshalb
kann ich dafür die volle Berechtigung erteilen, richtig?

Okay, da hab ich mich wohl zu knapp ausgedrückt.
Wenn Software nicht im Benutzermmodus läuft, und keine klare Auskunft gibt, warum nicht (Fehlermeldungen aufmerksam lesen, meist kann man da was rausziehen!), dann kann man nur im Dunkeln stochern.

Diese beiden „krummen Tricks“, also den Programmordner und/oder den Registry-Zweig freigeben, behebt nach meiner Erfahrung rund 90% aller deartigen Probleme.
Man muss da halt - nach Backup, logisch - ein bischen herumexperimenteren.
Man kann sich da tierisch reinbeissen und stundenlang Arbeit investieren, ohne Garantie, das was Sinnvolles bei rauskommt. Lohnt sich also nur für Programme, die man wirklich braucht und für die es keine Updates oder Alternativen gibt!

Eigentlich sollte es solche Programme mittlerweile nicht mehr geben.

Generell: entstehen durch diese Freigaben sei es durch die
Berechtigungen oder durch RunAsSPC Sicherheitslücken, durch
die potentielle Schadsoftware (Virus, Trojaner & Co.)
eindringen kann?

Schwierig abzuschätzen.
Also, im Prinzip ja, die Freigabe eines Programm-Ordners oder eines Registry-Zweiges ist immer eine generelle. Da könnten sich theoretisch auch Viren etc. einnisten. Die Frage ist, was hätten die davon?
Wenn beispielsweise in deinem Wave-Editor ein Virus drin wär, dann würde dieser nach dem Start des Rechners erst geladen, wenn du den Wave-Editor startest. Also noch gar nicht mal unbedingt jeden Tag.
Daher gehen bisher alle Viren ausschließlich auf’s System los, und das ist auch weiterhin sicher.

RunAsSPC sollte sicher sein. Ist ja im Prinizip nix anderes als wenn du ein Programm mit gedrückter Shift-Taste mit Rechts anklickst und „Ausführen als“ anwählst, nur das RunAsSPC die Anmeldung übernimmt. Der Sinn von dem Programm ist ja nur, das man das einem normalen Benutzer erlauben kann, ohne das der das Adminpasswort kennt oder herausfinden kann.
Eine Sicherheitslücke hier wäre eine Sicherheitslücke von Windows, also nicht dem Programm anzulasten.

Ach ja, RunAsSPC funktioniert nur, wenn der Dienst „Sekundäre Anmeldung“ läuft. Also in der Diensteübersicht in der Systemverwaltung nachsehen und ggf. auf automatsich stellen.