News Benutzerrechte Hauptgrund für Windows-Lücken
- Ersteller Benj
- Erstellt am
- Zur News: Benutzerrechte Hauptgrund für Windows-Lücken
0x4A6F686E
Ensign
- Registriert
- Sep. 2009
- Beiträge
- 186
Dieses System wurde mit Windows NT eingeführt und seit dem auch genutzt. Damals gab es zwar noch kein UAC, wohl aber eingeschränkte Nutzerkonten und seit gefühlten 20 Jahren schaffen es einige Softwarebuden nicht, sich an die Standards zu halten.I-HaTeD2 schrieb:
Für mich liegt der schwarze Peter eindeutig bei den Schlipsträgern der Softwarefirmen, die ihren Programmieren die Zeit nicht geben die sie bräuchten, um den Code nicht mit der heißen Nadel stricken zu müssen.
dgschrei
Lt. Commander
- Registriert
- März 2009
- Beiträge
- 1.669
Boogeyman schrieb:
Schön versuchs ichs halt nochmal. Schaby hat gesagt, dass er jemandem Windows installiert hat, und diese Person dann ihren rest "draufmachen" hat lassen. Oder in anderen Worten: Es musste installiert werden und die UAC Meldungen bei der Installation haben den normalen User so verunsichert, dass Rat eingeholt werden musste.
Das hat NULL mit inkompatibler Software zu tun. Beim Setup werden nunmal aus gutem Grund Adminrechte abgefragt.
SeufzBoogeyman schrieb:Ja klar, nee
Stellst du dich jetzt grade doof, oder ist das n Dauerzustand.
Ich bin an meinem PC der einzige Nutzer. Ich lasse niemanden sonst auch nur in die Nähe meiner Tastatur. Ergo bin ich an diesem PC der fähigste Nutzer, weil ich eben nunmal der einzige bin.
Logik hilft.
0x4A6F686E
Ensign
- Registriert
- Sep. 2009
- Beiträge
- 186
Und was ist mit dem (hypotetischen) Skript, welches in deinem Browser läuft? Dieses Skript wurde von einem Hacker auf einer deiner vertrauenswürdigen Lieblingsseiten abgeladen und nutzt eine Lücke deines Browsers aus um einen Trojaner zu installieren.
Jetzt die Fragen an den fähigen Nutzer:
Welche Möglichkeiten hat dieses Skript, wenn dein Browser mit Adminrechten läuft?
Welche Möglichkeiten hat dieses Skript, wenn dein Browser mit eingeschränkten Rechten läuft?
Jetzt die Fragen an den fähigen Nutzer:
Welche Möglichkeiten hat dieses Skript, wenn dein Browser mit Adminrechten läuft?
Welche Möglichkeiten hat dieses Skript, wenn dein Browser mit eingeschränkten Rechten läuft?
Kihel
Ensign
- Registriert
- Jan. 2007
- Beiträge
- 183
dgschrei schrieb:
Ok, das kann natürlich passieren. Aber reicht es in solchen Fällen nicht, wenn man erklärt, was da vor sich geht? Ok, geht natürlich nur, wenn jemand da ist, der erklärt. Aber kann man von einem PC-Nutzer wirklich nicht erwarten, dass er sich ein klein wenig mit dem System, das er benutzt, beschäftigt?
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.997
Erklär mal - was genau ist an der Funktionsweise von Sudo und UAC anders? Die machen beide im Prinzip das gleiche.Muscular Beaver schrieb:
Du darfst jedes Programm in deinen Userbereich installieren, nur eben die systemweite Installation von irgendwas, also das Schreiben auf Bereiche außerhalb des Benutzerkontos, wie bspw. in die systemweite Registry, den Windows Kernel und andere systemkritische bereiche des Windows-Ordners darfst du als Standardbenutzer nicht beschreiben und das ist auch gut so. Wenn du allem Adminrechte einräumst, brauchst du keinen Virenscanner, denn Malware ist dann nicht nur berechtigt, sofort Systembestandteile zu löschen, sondern auch das Antivirenprogramm zu überschreiben, zu deinstallieren oder noch besser, seine Erkennungsprofile zu verändern, sodass für dich alles normal aussieht, weil dein AV-Programm weiterläuft und nur blind ggü. dem ein oder anderen Virus gemacht wurde.dgschrei schrieb:
Es ist und bleibt vollkommener Blödsinn, dass man zum Arbeiten Adminrechte brauchen würde - meistens sagen das eh nur Gamer, weil ihre Games bei jedem Programmstart den Kopierschutz-Kerneltreiber aktualisieren wollen und dafür Schreibrechte auf systemkritische Ordner benötigen - in Kernelmodulen rumschreiben darf eben nur der Admin, dafür ist der da.
Als kleiner Tipp: Viele Spiele laufen auch, wenn man beim Programmstart die UAC-Abfrage abbricht, es wird dann nur der Kopierschutzkerneltreiber nicht aktualisiert. (heute schon bei Torchlight so erlebt)
Wie dem auch sei, ich glaube wir brauchen noch mindestens einen zweiten Sasser, damit die Leute mal zur Vernunft kommen. Die Botnets, die auf ihren Rechnern bereits laufen, und die enorme Wirtscaftsschäden produzieren, bemerken die Leute ja nicht. Aber die Sache mit dem Demowurm traut sich ja keiner mehr, weil die Staaten immer mit drakonischen Strafen kommen - aber die echten Kriminellen, die Botnet-Betreiber, fühlen sich spitze, weil niemand die Botnets auf seinem Rechner bemerkt, und wir Steuerzahler und Verbraucher zahlen die Zeche.
Zuletzt bearbeitet:
M
Muscular Beaver
Gast
@Kihel
Ich habs dir gegeben? Du hast es dir selbst gegeben...
Du bist doch der Linux User mit sogar nem süßen Pinguin als Avatar. Sorry dass ich pampig werde, aber wenn ich sowas von einem Linux User höre, dann weiß ich eh dass es keinen Sinn hat zu diskutieren. Soll ich dir auch noch den Unterschied zwischen Windows und Linux erklären?
Aber ok, einmal versuche ich es, auch wenn ich schon ahne dass es vergebene Mühe ist: Linux hat sehr viel weniger Programme die öfters mal nach Adminrechten fragen! Also mal lieber etwas differenzieren, bevor mal solche Vergleiche zieht. Mehr verlange ich gar nicht.
Übrigens: Deine tollen Schubladendenkstruktur-Lebensweisheiten kannst du deinen Kindern beibringen aber sicherlich nicht mir.
@seesharp
Ich stell mir das gerade bildlich vor. Kurz vor dem Aufprall steht man voll auf der Bremse, es steht auf einmal alles still, alles wird schwarz und man sieht dann "Wenn sie auf OK gehen, werden enorme Sicherheitsmaßen umgangen um sie zu schützen (das Auslösen des Airbags und die Aktivierung der Sperre im Sicherheitsgurt), verhindert aber eventuell gewollte Aktionen, die keinen besonderen Schutz benötigen" und man geht dann aus Reflex auf OK (weil das bei jedem Bremsvorgang kommt).
Super Schutz!
@MountWalker
Lies dir nochmal seinen Spruch und meine Antwort durch.
Ich habs dir gegeben? Du hast es dir selbst gegeben...
Du bist doch der Linux User mit sogar nem süßen Pinguin als Avatar. Sorry dass ich pampig werde, aber wenn ich sowas von einem Linux User höre, dann weiß ich eh dass es keinen Sinn hat zu diskutieren. Soll ich dir auch noch den Unterschied zwischen Windows und Linux erklären?
Aber ok, einmal versuche ich es, auch wenn ich schon ahne dass es vergebene Mühe ist: Linux hat sehr viel weniger Programme die öfters mal nach Adminrechten fragen! Also mal lieber etwas differenzieren, bevor mal solche Vergleiche zieht. Mehr verlange ich gar nicht.
Übrigens: Deine tollen Schubladendenkstruktur-Lebensweisheiten kannst du deinen Kindern beibringen aber sicherlich nicht mir.
@seesharp
Ich stell mir das gerade bildlich vor. Kurz vor dem Aufprall steht man voll auf der Bremse, es steht auf einmal alles still, alles wird schwarz und man sieht dann "Wenn sie auf OK gehen, werden enorme Sicherheitsmaßen umgangen um sie zu schützen (das Auslösen des Airbags und die Aktivierung der Sperre im Sicherheitsgurt), verhindert aber eventuell gewollte Aktionen, die keinen besonderen Schutz benötigen" und man geht dann aus Reflex auf OK (weil das bei jedem Bremsvorgang kommt).
Super Schutz!
@MountWalker
Lies dir nochmal seinen Spruch und meine Antwort durch.
dgschrei
Lt. Commander
- Registriert
- März 2009
- Beiträge
- 1.669
@Kihel
Natürlich kann man das vom Nutzer erwarten, das war ja auch gar nicht mein Problem. Ich fand nur Boogeymans Aussage, dass die UAC Meldungen auf die Unfähigkeit der Programmierer oder veraltete Software zurückzuführen sind total daneben.
Sowas stößt mir ungefähr so sauer auf, wie die allgemeine Behauptung, Microsoft würde die dümmsten Programmierer der Welt beschäftigen, die sich ja leider auch vielerorts festgesetzt hat.
Klar die haben ja auch nur ein System entwickelt, das mit 99,9% der x86 Hardware gut funktioniert und darauf auch sehr stabil laufen kann.
Bei all der Sicherheit die sich Linux immer auf die Fahne schreiben will, darf man nämlich auch nicht vergessen, dass es dafür an vielen Bereichen dort noch wesentlich mehr im Argen liegt als bei MS.
Die Tatsache z.B. dass es eine mehrere Stunden lange Operation werden kann, bis ein Wlan Chip mal unter Linux läuft, sofern man es überhaupt schafft.
Unter Windows sieht die Sache so aus: Windows installieren. Windows installiert Standard Windows Wlan Treiber. Wlan läuft.
Solche Macken sind der Grund warum z.B. auf meinem Netbook Windows 7 und nicht Ubuntu oder Linux Mint läuft. An der Oberfläche des Systems liegt das nämlich nicht.
Oder in kurz. Es ist einfach eine gräusliche Abart sämtliche Probleme in die man läuft auf die Entwickler abzuschieben, ohne überhaupt mal nachzudenken, warum das Problem überhaupt auftritt und ob dieses so vorhergesehen und vermieden werden hätte können.
@ Mountwalker: Natürlich laufen viele Spiele auch ohne Admin Account, aber z.B Battlefield Bad Company 2, kriegt Probleme mit dem Serverbrowser wenn es normal gestartet wird. Dann werden nämlich die Pingzeiten der Server nicht mehr angezeigt, womit der Serverbrowser eigentlich ziemlich nutzlos wird. Laut DICE funktioniert dieses Feature ohne Admin Rechte in Windows nicht. Ob das nun stimmt oder nicht, weiß ich nicht, aber so sieht momentan der Stand der Dinge aus. Wenn man BC2 ordentlich online spielen will, kommt man um die Ausnahme in den Kompatibilitätseinstellungen nicht rum.
Natürlich kann man das vom Nutzer erwarten, das war ja auch gar nicht mein Problem. Ich fand nur Boogeymans Aussage, dass die UAC Meldungen auf die Unfähigkeit der Programmierer oder veraltete Software zurückzuführen sind total daneben.
Sowas stößt mir ungefähr so sauer auf, wie die allgemeine Behauptung, Microsoft würde die dümmsten Programmierer der Welt beschäftigen, die sich ja leider auch vielerorts festgesetzt hat.
Klar die haben ja auch nur ein System entwickelt, das mit 99,9% der x86 Hardware gut funktioniert und darauf auch sehr stabil laufen kann.
Bei all der Sicherheit die sich Linux immer auf die Fahne schreiben will, darf man nämlich auch nicht vergessen, dass es dafür an vielen Bereichen dort noch wesentlich mehr im Argen liegt als bei MS.
Die Tatsache z.B. dass es eine mehrere Stunden lange Operation werden kann, bis ein Wlan Chip mal unter Linux läuft, sofern man es überhaupt schafft.
Unter Windows sieht die Sache so aus: Windows installieren. Windows installiert Standard Windows Wlan Treiber. Wlan läuft.
Solche Macken sind der Grund warum z.B. auf meinem Netbook Windows 7 und nicht Ubuntu oder Linux Mint läuft. An der Oberfläche des Systems liegt das nämlich nicht.
Oder in kurz. Es ist einfach eine gräusliche Abart sämtliche Probleme in die man läuft auf die Entwickler abzuschieben, ohne überhaupt mal nachzudenken, warum das Problem überhaupt auftritt und ob dieses so vorhergesehen und vermieden werden hätte können.
@ Mountwalker: Natürlich laufen viele Spiele auch ohne Admin Account, aber z.B Battlefield Bad Company 2, kriegt Probleme mit dem Serverbrowser wenn es normal gestartet wird. Dann werden nämlich die Pingzeiten der Server nicht mehr angezeigt, womit der Serverbrowser eigentlich ziemlich nutzlos wird. Laut DICE funktioniert dieses Feature ohne Admin Rechte in Windows nicht. Ob das nun stimmt oder nicht, weiß ich nicht, aber so sieht momentan der Stand der Dinge aus. Wenn man BC2 ordentlich online spielen will, kommt man um die Ausnahme in den Kompatibilitätseinstellungen nicht rum.
Zuletzt bearbeitet:
Ich oute mich als Standardkontonutzer unter Win7 (UAC keine Ahnung, nie angerührt).
Meine Erfahrung: Zur Installation und Konfiguration von Programmen sind Adminrechte nötig. Sobald der Rechner jedoch ordentlich eingerichtet ist, brauche ich die Adminrechte praktisch gar nicht mehr. Auch Spiele inkl. dem vielgescholtenen Steam laufen ohne Adminrechte. Sofern man also weiß, was man mit seinem Rechenknecht vor hat und nicht alle 10 Minuten neue Programme oder Einstellungen testen möchte, bewegen sich die Einschränkungen für mich gegen Null.
Ein Hinweis für Umsteiger: Das bisher genutzte Adminkonto zum eingeschränkten Konto umwandeln und ein neues Adminkonto anlegen, denn viele Programme greifen für ihre Konfiguration auf die benutzerspezifischen Ordner zu, die unter einem anderen Konto nicht mehr erreichbar sind und eine erneute Konfiguration erzwingen würden.
Und an die "Ich weiß was ich tue, und das seit 20 Jahren"-Fraktion:
Natürlich helfen gesunder Menschenverstand und brain.exe gegen viele Bedrohungen, die den DAU schon lahmgelegt hätten und ich möchte keinem von euch unterstellen, dass er selbst sein System leichtfertig lahmlegen oder eMail-Viren explizit ausführen würde, aber hier geht es um Programme, die sowieso laufen und auf die ihr im Fall der Fälle keinen Einfluss habt. Schließlich fragt der Exploit, der die neueste Firefox-Sicherheitslücke ausnutzt, euch nicht vorher um "Erlaubnis".
Meine Erfahrung: Zur Installation und Konfiguration von Programmen sind Adminrechte nötig. Sobald der Rechner jedoch ordentlich eingerichtet ist, brauche ich die Adminrechte praktisch gar nicht mehr. Auch Spiele inkl. dem vielgescholtenen Steam laufen ohne Adminrechte. Sofern man also weiß, was man mit seinem Rechenknecht vor hat und nicht alle 10 Minuten neue Programme oder Einstellungen testen möchte, bewegen sich die Einschränkungen für mich gegen Null.
Ein Hinweis für Umsteiger: Das bisher genutzte Adminkonto zum eingeschränkten Konto umwandeln und ein neues Adminkonto anlegen, denn viele Programme greifen für ihre Konfiguration auf die benutzerspezifischen Ordner zu, die unter einem anderen Konto nicht mehr erreichbar sind und eine erneute Konfiguration erzwingen würden.
Und an die "Ich weiß was ich tue, und das seit 20 Jahren"-Fraktion:
Natürlich helfen gesunder Menschenverstand und brain.exe gegen viele Bedrohungen, die den DAU schon lahmgelegt hätten und ich möchte keinem von euch unterstellen, dass er selbst sein System leichtfertig lahmlegen oder eMail-Viren explizit ausführen würde, aber hier geht es um Programme, die sowieso laufen und auf die ihr im Fall der Fälle keinen Einfluss habt. Schließlich fragt der Exploit, der die neueste Firefox-Sicherheitslücke ausnutzt, euch nicht vorher um "Erlaubnis".
Kihel
Ensign
- Registriert
- Jan. 2007
- Beiträge
- 183
@Muscular Beaver
Es tut mir wirklich schrecklich leid, aber die meisten Windows-Programme, die ich nutze, fragen nun mal nicht ständig nach Admin-Rechten. Wenn ich ehrlich sein soll, gebe ich unter Linux wesentlich öfter das Kennwort (allerdings nicht das root-Kennwort, sondern das normale Nutzer-Kennwort, wie das bei sudo halt ist) ein als bei Windows. Ok, das kann natürlich damit zusammenhängen, dass ich mit beiden Rechnern z.T. unterschiedliche Sachen mache. Und ja, ich gebe zu, dass mich, je nachdem, was ich mache, das Passwort-Eingeben nervt. Dann logge ich mich temporär als root ein (wenn es wirklich sehr viel ist) oder mache eine Faust in der Tasche. Aber wie gesagt: Meine Erfahrungen müssen nicht die deinen sein, und ein Profi bin ich in der Tat nicht.
Was das Differenzieren angeht: Das wünsche ich mir auch von einigen anderen Usern. Leute, die die UAC benutzen, sind nämlich keineswegs alle dumm, wie behauptet wurde.
Ach, und in was für Schubladen denke ich denn? Ich habe lediglich meine Sicht der Dinge wiedergegeben. Wenn sie nicht der deinen entspricht (vielleicht weil du andere Programme nutzt als ich), ist das doch kein Grund, mich hier so dermaßen anzugehen. Im Übrigen bezog sich mein (sicherlich etwas provokativer) Kommentar über die "dummen" Linux-Nutzer gar nicht auf deine Beiträge. Aber gut: Ich entschuldige mich in aller Form für diesen Kommentar. Er war nicht so ernst gemeint, also hätte ich ihn mir sparen sollen...
@dgschrei
Ja, da hast du sicherlich recht.
Es tut mir wirklich schrecklich leid, aber die meisten Windows-Programme, die ich nutze, fragen nun mal nicht ständig nach Admin-Rechten. Wenn ich ehrlich sein soll, gebe ich unter Linux wesentlich öfter das Kennwort (allerdings nicht das root-Kennwort, sondern das normale Nutzer-Kennwort, wie das bei sudo halt ist) ein als bei Windows. Ok, das kann natürlich damit zusammenhängen, dass ich mit beiden Rechnern z.T. unterschiedliche Sachen mache. Und ja, ich gebe zu, dass mich, je nachdem, was ich mache, das Passwort-Eingeben nervt. Dann logge ich mich temporär als root ein (wenn es wirklich sehr viel ist) oder mache eine Faust in der Tasche. Aber wie gesagt: Meine Erfahrungen müssen nicht die deinen sein, und ein Profi bin ich in der Tat nicht.
Was das Differenzieren angeht: Das wünsche ich mir auch von einigen anderen Usern. Leute, die die UAC benutzen, sind nämlich keineswegs alle dumm, wie behauptet wurde.
Ach, und in was für Schubladen denke ich denn? Ich habe lediglich meine Sicht der Dinge wiedergegeben. Wenn sie nicht der deinen entspricht (vielleicht weil du andere Programme nutzt als ich), ist das doch kein Grund, mich hier so dermaßen anzugehen. Im Übrigen bezog sich mein (sicherlich etwas provokativer) Kommentar über die "dummen" Linux-Nutzer gar nicht auf deine Beiträge. Aber gut: Ich entschuldige mich in aller Form für diesen Kommentar. Er war nicht so ernst gemeint, also hätte ich ihn mir sparen sollen...
@dgschrei
Ja, da hast du sicherlich recht.
Zuletzt bearbeitet:
Boogeyman
Vice Admiral
- Registriert
- März 2005
- Beiträge
- 6.816
Manch echt, ist das bei dir ein Dauerzustand? Das die UAC Abfragen, wirklich 100% vom Installer gekommen sind, wird aus seinem geschriebenen auch nicht wirklich klar! Viele User installieren nun mal alter Versionen und diese werden UAC Abfragen provoziert, obwohl diese beim starten nicht nötig wären (Starten, nicht installieren)dgschrei schrieb:
Musst du jemanden immer gleich persönlich angreifen, oder ist das bei dir ein Dauerzustand? Fahre deinen Tonfall etwas zurück, sonst sehe ich mich gezwungen deinen Beitrag zu melden.dgschrei schrieb:
Karbe
Rear Admiral
- Registriert
- Feb. 2008
- Beiträge
- 5.399
dgschrei schrieb:
Für die Entwicklung geeigneter Treiber ist imho nach wie vor der Hersteller der Hardware zuständig. Was die Integration von Treibern in den Betriebssystem-Kernel angeht, dürften viele Linux-Distributionen wohl weit vor Windows liegen.
Grüße
Zuletzt bearbeitet von einem Moderator:
(zitat geändert.)
Moep89
Admiral
- Registriert
- Jan. 2008
- Beiträge
- 8.100
@Boogeyman: Vielen Dank für die Bescheinigung doof zu sein 
Wenn ich mir was einfange, dann ist das so. Pech! Es ist doch nichts anderes als bei VDS, Überwachung und andere sog. "Sicherheitsmaßnahmen". Verhältnismäßigkeit ist das Stichwort. Ich halte es eben für völlig unverhältnismäßig den User so zu kontrollieren und einzuschränken, nur um in einem von vllt. 1000-10000 Fällen Schaden zu verhindern.
Den gröbsten Mist sollte sich jeder selber vom Hals halten können. Durch aufmerksames und überlegtes Handeln, durch Virencanner und Firewall und durch regelmäßige Checks des Systems.
Was dann trotzdem noch ins System eindringt, ist auch heute noch ein kleiner Teil, der es mMn nicht wert ist, jeden User wie ein Kleinkind zu behandeln, an seinem eigenen PC.
Und von daher sind der Hauptgrund für Schaden nicht die Benutzerrechte, sondern der Nutzer selber.
Wenn ich mir was einfange, dann ist das so. Pech! Es ist doch nichts anderes als bei VDS, Überwachung und andere sog. "Sicherheitsmaßnahmen". Verhältnismäßigkeit ist das Stichwort. Ich halte es eben für völlig unverhältnismäßig den User so zu kontrollieren und einzuschränken, nur um in einem von vllt. 1000-10000 Fällen Schaden zu verhindern.
Den gröbsten Mist sollte sich jeder selber vom Hals halten können. Durch aufmerksames und überlegtes Handeln, durch Virencanner und Firewall und durch regelmäßige Checks des Systems.
Was dann trotzdem noch ins System eindringt, ist auch heute noch ein kleiner Teil, der es mMn nicht wert ist, jeden User wie ein Kleinkind zu behandeln, an seinem eigenen PC.
Und von daher sind der Hauptgrund für Schaden nicht die Benutzerrechte, sondern der Nutzer selber.
mr.coffee
Lieutenant
- Registriert
- Sep. 2006
- Beiträge
- 714
Also ich arbeite auch seit Jahren mit 2 Konten. Mit Windows 7 funktioniert das auch fast perfekt... Was mich am meisten szört ist folgendes: Firefox bekommt es nicht gebucken sich Updates runterzuladen und zu installieren. Der IE schon.... Für Firefox muss man sich als Admin einloggen -.- Auch der "Run as" bringt nix...
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.997
Also ganz kurz mal ei Sprung zwischen die Stühle:
Vom Prinzip sind sich "Sudoer" auf Linux und "Benutzer der Administratorengruppe" auf Windows gleich, beide sind nicht root und beide dürfen bei den allermeisten Distros fast alles - natürlich nur mit Sudopasswortbestätigung, wobei bei Windows dann, wenn der "Quasi-Sudoer" den Desktop gestartet hat, ein "OK-Klick" reicht. In der Funktionsweise ist das ziemlich das Gleiche - Microsoft hat sich beim Entwurf der UAC von Ubuntu beflügeln lassen.
@ dgschrei
Niemand hat hier Microsoft vorgeworfen, dumme Programmierer zu beschäftigen - dieser Vorwurf (der nicht von mir kam) richtete sich 1. nicht an Programmierer, sondern Software-Unternehmen (deren Entscheidungen meist durch die Finanzfritzen in den Anzügen getroffen werden) und 2. nicht an Microsoft, sondern die Anwendungssoftwareunternehmen, welche ihre Programme so schreiben, dass sie ständigen Systemzugriff benötigen - so viele Unternehmen, muss ich aber dazu sagen, sind das gar nicht und die allermeisten, äußerst wenigen betroffenen Software-Unternehmen, die diese Dummheit betrifft, haben es auch noch nicht gebacken bekommen, wenn sich schon eigene Kernelmodule brauchen, die sie ständig verändern wollen, diese auch in 64b anzubieten. Von der 64b Inkompatibilität sind meiner Erfahrung nach wesentlich mehr Softwareunternehmen betroffen, als von der Inkompatibilität zum Betrieb mit Standardbenutzerrechten. Wenn Software Adminrechte während des Betriebs braucht, ist das vermutlich meistens ein Spiel.
@ Karbe
Entferne mal bitte schleunigst meinen Namen aus der Deklaration eines Zitats von dgschrei - das Zitat stellt das Gegenteil meiner Haltung zu Linux dar. - Leute, passt beim Zitieren bitte auf, dass ihr die Nahmen nicht durcheinanderbringt.
Vom Prinzip sind sich "Sudoer" auf Linux und "Benutzer der Administratorengruppe" auf Windows gleich, beide sind nicht root und beide dürfen bei den allermeisten Distros fast alles - natürlich nur mit Sudopasswortbestätigung, wobei bei Windows dann, wenn der "Quasi-Sudoer" den Desktop gestartet hat, ein "OK-Klick" reicht. In der Funktionsweise ist das ziemlich das Gleiche - Microsoft hat sich beim Entwurf der UAC von Ubuntu beflügeln lassen.
@ dgschrei
Niemand hat hier Microsoft vorgeworfen, dumme Programmierer zu beschäftigen - dieser Vorwurf (der nicht von mir kam) richtete sich 1. nicht an Programmierer, sondern Software-Unternehmen (deren Entscheidungen meist durch die Finanzfritzen in den Anzügen getroffen werden) und 2. nicht an Microsoft, sondern die Anwendungssoftwareunternehmen, welche ihre Programme so schreiben, dass sie ständigen Systemzugriff benötigen - so viele Unternehmen, muss ich aber dazu sagen, sind das gar nicht und die allermeisten, äußerst wenigen betroffenen Software-Unternehmen, die diese Dummheit betrifft, haben es auch noch nicht gebacken bekommen, wenn sich schon eigene Kernelmodule brauchen, die sie ständig verändern wollen, diese auch in 64b anzubieten. Von der 64b Inkompatibilität sind meiner Erfahrung nach wesentlich mehr Softwareunternehmen betroffen, als von der Inkompatibilität zum Betrieb mit Standardbenutzerrechten. Wenn Software Adminrechte während des Betriebs braucht, ist das vermutlich meistens ein Spiel.
@ Karbe
Entferne mal bitte schleunigst meinen Namen aus der Deklaration eines Zitats von dgschrei - das Zitat stellt das Gegenteil meiner Haltung zu Linux dar.
- Leute, passt beim Zitieren bitte auf, dass ihr die Nahmen nicht durcheinanderbringt.
Zuletzt bearbeitet:
Da Benutzer normalerweise keine Schreibrechte im Verzeichnis "Programme" oder "Windows" haben ist das unumgänglich. Für einige Programme kann man das vermeiden indem man ein Installationsverzeichnis erstellt auf das auch Benutzerkonten Schreibrechte haben.Peter schrieb:
Programme die man als Admin ausführt sind nicht per se angreifbar. Das Problem liegt vielmehr darin das ein angegriffenes Programm seine Rechte weitergibt, das können User oder Adminrechte sein. Deshalb besser so viele Programme wie möglich als User ausführen, das verringert die Angriffsfläche und somit die Wahrscheinlichkeit eines Treffers.GrinderFX schrieb:
Wenn man mal drüber nachdenkt, dann sollte klar sein das Programme die mit potentiell gefährlichen Daten direkt in Kontakt kommen(Browser, Viewer für Text|Videos|Bilder|...usw.) keine Adminrechte benötigen und auch nie bekommen sollten. Andere Programme die nur "intern" arbeiten(Defragmentierung, direkte Ansteuerung der Hardware z.B. CPU|SMART| ... usw.) brauchen Adminrechte und sind relativ unkritisch, da kein Kontakt zu gefährlichen Daten besteht.
Seltsam, was machen dann tausende IT Mitarbeiter täglich auf Arbeit an ihren PCs? Laß mich raten, du hast noch nie in der IT gearbeitet, richtig?Fabian228 schrieb:
Na toll, angenommen du startest einen Virus mit Adminrechten? Der kann dann alles was der Admin auch kann, z.b. deinen Virenscanner abschalten oder deinstallieren und wer beschützt dich dann? Wenn du schon mit Adminrechten arbeiten mußt, dann starte doch einfach die kritischen Programme(siehe weiter oben) mit eingeschränkten Rechten. Damit machst du es deinem Virenscanner um einiges leichter seinen Job zu tun.MC BigMac schrieb:
Lonely Shepherd schrieb:
WLibero schrieb:
Kein Kommentar, da zwecklos.
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.997
@ Embedded-Software mit rootrechten
Wenn Embedded-Software Rootrechte verwendet, dann, weil das Embedded-Betriebssystem ein Single-User-System ist. Sowas kann sinnvoll sein, wenn man so wenig RAM und CPU-Leistung, wie in einem handelsüblichen Videorekorder steckt, zur Verfügung hat. Man geht bei der Entwicklung von sowas davon aus, dass dieses System keinen regen Datenaustausch mit dem Rest der Welt macht. Es gibt auf solchen Systemen idR. keinen Installer und Programme können auch nicht einfach so gestartet werden. Ich glaube aber bei zeitgemäßen Smartphones (iPhone, Android, WinMo7) dürfte Anwendungssoftware grundsätzlich im Userspace laufen. (wenn man nur in das eigene Benutzerkonto und nicht "systemweit" isntalliert, braucht man wie gesagt auch auf keinem System Adminrechte und Kerneltreiber dürfen Programme für iPhone und WinMo7 schon aus Lizenzgründen gar nicht haben)
Wenn Embedded-Software Rootrechte verwendet, dann, weil das Embedded-Betriebssystem ein Single-User-System ist. Sowas kann sinnvoll sein, wenn man so wenig RAM und CPU-Leistung, wie in einem handelsüblichen Videorekorder steckt, zur Verfügung hat. Man geht bei der Entwicklung von sowas davon aus, dass dieses System keinen regen Datenaustausch mit dem Rest der Welt macht. Es gibt auf solchen Systemen idR. keinen Installer und Programme können auch nicht einfach so gestartet werden.
Ich glaube aber bei zeitgemäßen Smartphones (iPhone, Android, WinMo7) dürfte Anwendungssoftware grundsätzlich im Userspace laufen. (wenn man nur in das eigene Benutzerkonto und nicht "systemweit" isntalliert, braucht man wie gesagt auch auf keinem System Adminrechte und Kerneltreiber dürfen Programme für iPhone und WinMo7 schon aus Lizenzgründen gar nicht haben)
Zuletzt bearbeitet:
J
Jeydane
Gast
TheLordofWar schrieb:
... weil du dir wahrscheinlich nicht bewusst bist über die Schädlinge, die in deinem System herumlungern. Dieses Thema erinnert mich immer wieder an Linux. Es ist bezüglich dieses Themas (Sicherheit) einfach das bessere Betriebssystem.
Kihel schrieb:
Guter Vergleich. Ich benutze noch nicht sehr lange Linux (openSuse als Einstieg), was natürlich auch sehr umständlich ist, weil ich für alle Aktionen meine root-Rechte durch eine Eingabe "beweisen" muss. Aber gleichzeitig wird mir klar, wie sehr das zur Sicherheit beiträgt. Es ist einfach sehr vorteilhaft... Während ich abwesend bin, kann ein normaler User wirklich nichts am System ändern, was aber bei Windows sehr schnell gehen kann.
Zuletzt bearbeitet von einem Moderator:
T
Tikonteroga
Gast
Lonely Shepherd schrieb:
Ui das ist aber die Falsche Annahme. Wenn du als Administrator angemeldet bist, dann besitzen auch sämliche laufenden Prozesse (ICQ, Internet Explorer, Skype, ...) die Berechtigung des Administrators. Die sind dann also auch der absolute Herr ...
Wenn du dich jedoch als Benutzer anmeldest und Anwendungen nur bei bedarf durch die sekundäre Anmeldung als Administrator startest und dich mit dem Administrator-Passwort authentifizierst bist du der absolute Herr ...
Ergänzung ()
Denkt auch ein Bisschen daran, dass das Anmelden als Benutzer kaum Resourcen benötigt. So ein on-demand Virenscanner jedoch schon, oder ... ? Viele werden hier jetzt wohl schreien. Aber ich bin z. B. permanent als Standard-Benutzer angemeldet und starte Programm und Installationen nur bei Bedarf mit Administrator-Berechtigungen und habe keinen Virenscanner installiert ...
Marius schrieb:
Hallo,
da liegst du jetzt aber falsch. Das Konto das man bei der Installation von Windows XP, Vista und Windows 7 anlegt gehört immer zu der Benutzergruppe der Administratoren. Unter Windows Vista und Windows 7 muss man wegen der UAC jedoch immer mit "OK" oder "ja" bestätigen, wenn man Aktionen ausführt, die Administrator-Berechtigungen benötigen.
Wenn du ein Konto haben möchtest, dass nur der Benutzergruppe "Standard-Benutzer" angehört, kannst du z. B. das Administrator-Konto aktivieren und dein angelegtes Konto aus der Gruppe der Administratoren entfernen und der Gruppe "Standard-Benutzer" hinzufügen. Wenn du als Standard-Benutzer angemeldet bist, musst du Aktionen, die Administrator-Rechte benötigen mit dem Administrator-Passwort autorisieren - nicht nur duch klicken auf "OK" oder "Ja".
Die UAC ist auch offiziell kein Sicherheitsfeature. Ich finde die UAC z. B. deshalb gut, weil man bei bedarf automatisch nach dem Administrator-Passwort gefragt wird. Unter Windows XP gab es dann oft ne nichtssagende Fehlermeldung oder ein nicht definiertes Verhalten ...
