Ordner vor Admin verstecken

Hallo,
da einzelne Experten auch keinen Rat wussten versuche ich es nun hier in der Allgemeinheit.

Ich verwende Windows Vista und bin nicht alleiniger Administrator auf dem Rechner. Ich habe einige lokale Daten, die nicht der Neugier der anderen Administratoren zum Opfer fallen sollen.

Das Problem: Ich kann mich nicht immer abmelden (größere Kopiervorgänge). Ich „wechsel“ also nur den Benutzer, wenn ein anderer ran will.

Wenn ich das richtig sehe ist !unter diesen Bedinungen! die höchste Sicherheitsstufe die Dateien zu verstecken oder?

Schon arm für ein Betriebssystem in der 6. Generation…

Hoffe jemand hat ne andere Idee.

Gruß,
Kevin

PS: TrueCrypt & Co. fällt weg, da für alle User gemountet wird.

Hallo,

Hi,

Schon arm für ein Betriebssystem in der 6. Generation…

Was für ein Effekt hätte es wenn der Admin deine Daten von seinem Adminaccount nicht einsehen könnte?

Ich mein wenn ich als Admin unbedingt die Daten von den Usern durchsuchen will (Verdacht auf Malware, pornografische Videos oder Bildmaterial oder weiss der Geier was) und könnte nicht einfach drüber gucken, würde ich das Passwort des Users ändern und mich mit seinem Account einloggen und fertig.

Aber wozu die mühe machen? Ein Admin ist nicht um sonst der Verwalter des Rechners bzw. der Domain.

Von daher: alles richtig so und sollte auch gefälligst so bleiben!

Wozu willst du das überhaupt?

Wenns um private Sachen geht, kauf dir nen eigenen Rechner und spiel da den Admin, da kann dann der Admin vom annern PC au nix sehen.

Sie die folgenden absätze nicht als Angriff gegen dich sondern als aufzählung möglicher Folgen

Wenns aber um einen Firmen-Rechner geht, verstehe ich voll und ganz warum der Admin dann auch seine Nase in deine Sachen steckt, wenn du schon versuchst sie vor ihm zu verstecken.

Das würde ich genauso machen. Ich mein ER ist der jenige der dann wegen deinen verseuchten Daten die komplette Domain in einer Nacht wieder hoch ziehen muss, vlt auch seine Arbeitsstelle verliert und sich das Geflame der anderen User anhören muss, ganz abgesehen von den evtl Millionenschäden die angerichtet werden, Kunden die abspringen und die Firma verklagen weil geheime Daten an die öffentlichkeit gelangt sind die nur die Firma hatte… und warum das alles? nur weil du Mist gebaut hast.

Denk mal drüber nach

Grüße

DE

Happy Windows Bashing
Hallo,

Wenn ich das richtig sehe ist !unter diesen Bedinungen! die
höchste Sicherheitsstufe die Dateien zu verstecken oder?

Schon arm für ein Betriebssystem in der 6. Generation…

das ist mal wieder typischen Windows Bashing von jemanden, der keine Ahnung hat. Der Administrator, Supervisor, Root oder wie er je nach Betriebssystem eben heißt, hat nunmal alle Berechtigungen.

Bevor man dem Betriebssystem die Schuld gibt, sollte man dies vielleicht zunächst halbwegs vernünftig konfigurieren. Selbst bei Windows ist eine Benutzerverwaltung möglich.

Das ist in etwa so, als wenn ich allen Mitarbeitern einen Generalschlüssel aushändige und mich dann beschwere, dass jeder Zugang zu allen Räumen hat.

Gruß

S.J.

Installier den Mist auf einen USB-Stick

Hallo,

Der Administrator, Supervisor, Root oder wie er je nach
Betriebssystem eben heißt, hat nunmal alle Berechtigungen.

das ist, auch wenn es immer wieder verbreitet wird, so nicht richtig. Administrator sein, heißt nicht, alle Rechte haben – bestenfalls heißt es, sich alle Rechte verschaffen zu können.

In Verbindung mit der Dateisystemverschlüsselung (etwa EFS bei NTFS) bedeutet die Möglichkeit, sich Zugriffsrechte auf jede beliebige Datei verschaffen zu können, ja nicht einmal, den Inhalt dieser Datei dann auch lesen zu können. Ist der private Schlüssel unzugänglich und hat man den böswilligen Administrator daran gehindert, den Dateisystemtreiber vor Erstellung der Datei zu „manipulieren“[1], so sind die Daten sicher.

Unabhängig davon hast du natürlich recht, dass die Forderung, das Betriebssystem solle verhindern, dass Nutzer, denen man administrativen Privilegien einräumt, diese missbrauchen, irgendwie in die falsche Richtung geht. Sicher ist ein System mit solchen Eigenschaften u. U. vorstellbar – aber der immense Aufwand dürfte insbesondere wegen der zu erwartenden unangenehmen Nebeneffekte nur für sehr spezielle Anwendungen in Frage kommen.

[1] Dazu ist regelmäßig keine „Manipulation“ nötig, sondern nur die Konfiguration von geeigneten Backup-Regeln.

–
PHvL

PS: TrueCrypt & Co. fällt weg, da für alle User gemountet
wird.

Das ist aber genau Aufgabe für Verschlüsselung. Bei TC könntest du vor Verlassen des Rechners einfach alle gemounteten Laufwerke wieder ausklinken. Geht sehr bequem über das Tray-Icon.

Theoretisch hat NTFS auch eine eingebaute Verschlüsselung, aber ich hab kA ob das von anderen Admins nicht abgeschaltet werden kann. Ich verlasse mich nie auf proprietäre Verschlüsselung.

Gruß, Jan.

Entwarnung !
Zur Beruhigung der Gemüter und zum Hintergrund:

Es handelt sich bei dem Rechner um einen privaten Familienrechner. Dabei kann es durchaus sinnvoll sein, dass mehrere Personen Admin-Rechte haben, es ist aber NICHT sinnvoll, dass dann alle privaten Daten sichtbar werden.

Hab neulich Dateien nach Inhalt durchsucht und plötzlich Chat-Logs bekommen, die mich nichts angehen. Das gleiche gilt umgekehrt.

Nochmal (kein stumpfes Win-Bashing): Finde es blöd, dass bei Windows nicht an die Privatanwender gedacht wird.

Klar: Jeder kann sich einen eigenen Rechner kaufen…

Klar hat Windows an den Privaten Anwender gedacht und wie man dir so oft predigt, arbeiten und admin rechte gehen einfach nicht zusammen.
gruss

Es handelt sich bei dem Rechner um einen privaten
Familienrechner. Dabei kann es durchaus sinnvoll sein, dass
mehrere Personen Admin-Rechte haben, es ist aber NICHT
sinnvoll, dass dann alle privaten Daten sichtbar werden.

Natürlich ist das sinnvoll. Ein Admin braucht nunmal Rechte um das System zu verändern und daher hat er prinzipbedingt auch die Möglichkeit, dass er andere Benutzeraccounts einsehen kann. Oder wie soll er sonst z.B. das Passwort das ein Benutzer vergessen hat, neu setzen können oder ähnliche Dinge machen?

Nochmal (kein stumpfes Win-Bashing): Finde es blöd, dass bei
Windows nicht an die Privatanwender gedacht wird.

Bei Windows wurde sehr stark an die Privatanwender gedacht, zu stark sogar in vielen Fällen was sich durch viele Auswüchse wie das ständige Arbeiten und Surfen mit Admin-Rechten bei vielen Benutzern zeigt.

Es ist doch folgendes logisch:
Die Lösung deines Problems lässt sich nicht durch normale Rechte-Vergabe lösen, wenn die anderen Benutzer aufgrund ihres Admin-Status selbst alle Rechte haben.

Was also tun?
Ganz einfach: Die Lösung liegt darin, dass du deine Dateien verschlüsselst. Dann kann zwar ein anderer Admin auf deine Datei zugreifen, er kann aber ihren Inhalt nicht im Klartext lesen und erhält damit keinen Zugriff auf den eigentlichen Inhalt. Eine einfache Möglichkeit seine Daten zu verschlüsseln liefert z.B. die OpenSource-Software TrueCrypt.
http://www.truecrypt.org

Natürlich ist das sinnvoll. Ein Admin braucht nunmal Rechte um
das System zu verändern und daher hat er prinzipbedingt auch
die Möglichkeit, dass er andere Benutzeraccounts einsehen
kann. Oder wie soll er sonst z.B. das Passwort das ein
Benutzer vergessen hat, neu setzen können oder ähnliche Dinge
machen?

Das hat doch damit nix zu tun. Ich sehe keinen Grund warum ein Admin den Inhalt JEDER Datei einsehen können muss. Rechtlich darf er das eh nicht, warum also technisch?

Es ist doch folgendes logisch:
Die Lösung deines Problems lässt sich nicht durch normale
Rechte-Vergabe lösen, wenn die anderen Benutzer aufgrund ihres
Admin-Status selbst alle Rechte haben.

Die Lösung liegt darin, dass du deine Dateien
verschlüsselst.

Das akzeptiere ich
Leider habe ich auch hier nicht das Richtige gefunden. Ich suche eine Lösung, bei der ich meinen Rechner auch mal verlassen kann und andere Admins ranlassen kann. TrueCrypt stellt das virtuelle Laufwerk allen Benutzern zur Verfügung. Wenn ich alle offenen Dokumente schließen und das Laufwerk unmounten muss, dann ist das nicht kompfortabler, als ein externes Laufwerk…

Hallo Kevin,

also du hast hier ja schon einiges an Antworten bekommen. Nun mal
eine Frage von mir. Warum findest du es als Sinnvoll das auch andere
an dem PC Adminrechte haben müssen? Wenn du doch als der Admin nicht
möchtest das andere an deine so wichtigen Daten rankommen?

Vielleicht hilft das zu verstehn warum so wie es fast klingt jeder
der eingerichteten User an deinem PC Admin ist. Mal ein Beispiel
warum nicht jeder Admin sein sollte:

Wenn du deine Bankkarte mit der dazugehörigen PIN auf deinen Küchentisch
legst und jeder wie er möchte einfach zum Automaten geht um sich Geld
zu holen. Das wäre so als wenn jeder Admin am PC ist, keiner hat mehr
so richtig Kontrolle wer was und wo am machen ist.

Gruß
Hajo

Hi,

Warum findest du es als Sinnvoll das auch
andere
an dem PC Adminrechte haben müssen?

Ich bin zwar der Computerbesitzer, nicht aber der Hauptnutzer, da ich den ganzen Tag auf der Arbeit bin. Es wäre äußerst kompliziert, wenn ich alleiniger Admin wäre.

Wenn du doch als der Admin
nicht
möchtest das andere an deine so wichtigen Daten rankommen?

Es geht eigentlich mehr um private, als um „wichtige“ Daten. Außerdem halte ich es für selbstverständlich, dass Daten verstecken können sollte. Offensichtlich geht das aber nicht einmal mit zusätzlichen Programmen.?

Wenn du deine Bankkarte mit der dazugehörigen PIN auf deinen
Küchentisch
legst und jeder wie er möchte einfach zum Automaten geht um
sich Geld
zu holen.

Bei mir zu Hause liegt oft genug Bargeld rum.

Das wäre so als wenn jeder Admin am PC ist, keiner
hat mehr
so richtig Kontrolle wer was und wo am machen ist.

Sicher ist es kein Optimalzustand, aber ich hatte es anfags echt versucht ohne Admin-Rechte, bis ich vor Vista kapituliert habe.

Gruß,
Kevin

Hallo Kevin,

wenn du solch wichtige privat Daten mit deinem Nutzer hast und
nicht möchtest das andere Familienmitglieder diese finden bzw
lesen dann mach es doch so das deine Daten auf einem USB-Stick
abgelegt werden den du bevor du dich anmeldest an den PC steckst
und wenn du dich dann Abmeldest wieder entfernst.

Oder wie schon gesagt nur ein Admin der dann halt die Programme
installiert und für den User einstellt wenn er da ist.

Gruß
Hajo

Mit anderen Worten:
eine einfache, bedienerfreundliche Lösung ist nicht möglich?

Nochmal: Ich will die Daten nicht unzugänglich machen. Ich will nur nicht, dass sie direkt durch die Suche gefunden werden…