Getrenntes Adminkonto unter Windows als Principle of least privilege?

[David7]

Hallo,

ich beschäftige mich gerade mit dem Thema IT Security und dort der Benutzerverwaltung / User Management.
Unter Windows ist das "normale" Nutzerkonto leider das Adminkonto und nicht der Standardnutzer ohne Admin-Rechte, wie es bei Linux der Fall ist.

Aus IT Security-Sicht ist das natürlich ziemlich schlecht. Nach dem Principle of least privilege sollte man nur die Rechte haben, die man für die normalen Tätigkeiten benötigt:

The principle of least privilege (PoLP) requires that in a particular abstraction layer of a computing environment, every module must be able to access only the information and resources that are necessary for its legitimate purpose.
https://en.wikipedia.org/wiki/Principle_of_least_privilege

Die Trennung von Adminkonto und Standardnutzern ohne Adminrechte wird auch sonst überall empfohlen:

Windows: Fehlende Administratorrechte stopfen 94% aller Sicherheitslücken!
https://www.borncity.com/blog/2017/...atorrechte-stopfen-94-aller-sicherheitslcken/

Create separate non-administrative accounts to perform activities that do not require administrative privilege, such as reading email, using a web browser, or reading and editing general documents.
https://security.berkeley.edu/admin-account-security-guideline

The principle of least privilege must be part of your cybersecurity strategy since it will lower the risks of malware infections and data breaches.
https://heimdalsecurity.com/blog/what-is-the-principle-of-least-privilege/

Ich bin am überlegen, diese Trennung von Adminkonto und normalen Nicht-Admin-Konto auch bei mir zuhause einzurichten.

Wie macht ihr das bei euch zuhause?
Habt ihr auf euren Windows 10-Systemen getrennte Konten für Standardnutzer und Admin und loggt euch nur bei Bedarf ins Adminkonto ein?

 

[DaysShadow]

Ich würde mal behaupten, dass auch ein Großteil der Linux Heimanwender auf Desktop oder Notebook ihrem Hauptbenutzer ohnehin Sudo geben und dieser dann entsprechend alles machen kann.
Alles eine Frage des Komforts und 99,x% der Leute die einen Rechner nutzen wollen einfach, dass es funktioniert und nichts weiter.

Ich persönlich tue das auch, in beiden Fällen. Da ich keine hochsensiblen Daten habe und in aller Regel darauf aufpasse was ich mache und wo ich hin klicke und ich der einzige Nutzer bin, denke ich geht das in Ordnung

 

[David7]

Ich persönlich tue das auch, in beiden Fällen. Da ich keine hochsensiblen Daten habe und in aller Regel darauf aufpasse was ich mache und wo ich hin klicke und ich der einzige Nutzer bin, denke ich geht das in Ordnung

Ich habe auch keine besonders schützenswerten Daten auf meinen Systemen gespeichert, aber man sagt ja, dass Vorsicht besser ist als Nachsicht.

Es geht ja nicht nur um Malware, die man selbst aus Unwissenheit ausführt, sondern auch um andere Angriffsvektoren.

Beispielsweise kann ein vertrauenswürdiges Programm insgeheim um Malware ergänzt werden, wie es bei CCleaner der Fall war, siehe https://www.howtogeek.com/326742/ccleaner-was-hacked-what-you-need-to-know/ .

Viele Programme unter Windows verfügen ja über interne Update-Funktionen. Wenn sich Angreifer Zugriff auf den Update-Server des Anbieters verschaffen, zieht sich das Programm ein bösartiges Update und du bekommst davon nichts mit.

Wenn dein normaler Account keine Admin-Rechte hat, sind die möglichen negativen Folgen davon aus meiner Sicht deutlich geringer als bei einem Adminkonto.

 

[Serana]

Nein, ich habe keine zwei verschiedenen Konten. Allerdings habe ich die Benutzerkontensteuerung auf "Immer benachrichtigen" eingestellt und weiß bei welchen Dingen das System im Normalfall nachfragt. Wenn da eine Nachfrage außer der Reihe auftaucht ist das schon mal ein guter Grund mißtrauisch zu werden.

Allgemein gesagt ist das meiste an moderner Schadsoftware (z.B. Phishing und Verschlüsselungstrojaner) auf die Kooperation des Nutzers angewiesen. Die größte Sicherheitslücke sitzt prinzipiell unmittelbar vor der Tastatur. Da hilft auch keine Kontentrennung oder AV-Software. Diese Maßnahmen können immer nur der Schadensbegrenzung dienen wenn das Kind eigentlich schon dabei ist in den Brunnen zu fallen.

 

[cloudman]

Es macht Sinn ist aber eben nervig.
Mann sollte sich auch fragen welche Auswirkungen es für einen hat wenn etwas passiert.
Sensible Daten? Daten die für mich wichtig sind etc.
Mit der Sicherheit sinkt leider die Benutzerfreundlichkeit.
Wenn eh nichts wichtiges auf dem Rechner ist und ich einfach neu installieren kann ist Sicherheit nicht so wichtig. Wenn ich an den Plänen für das nächste Große Ding arbeite sieht es anders aus.
Was ich sagen will ist dass man selbst abschätzen sollte wie wichtig Sicherheit für jemanden ist und welche Einschränkungen man bereit ist zu akzeptieren.

 

[cumulonimbus8]

Nach dem Principle of least privilege sollte man nur die Rechte haben, die man für die normalen Tätigkeiten benötigt:

Was aber ist denn normal? Ein DAU der nur mit Word. Excel. ThunderBird herumfuhrwerkt ist mit dem Standardkonto überbedient.

Da aber immer wieder mal Programme, Updates, Pflege anfallen ist dieses Standardkonto unterbelichtet - da MS einfach keine Linie ziehen kann was ein Arbeiten am System ist und was nicht. Ich mag in der Küche kochen. Ich mag dann sogar eine Wand streichen. Aber an der Elektrik rumfummeln geht gar nicht. Streichen (oder von mir aus Gartenarbeit) kommt regelmäßig vor - aber das wäre schon zu viel für das Standarfkonto. Und das ist eben der Fehler.

Oder diese wundervolle UAC. Man wird bei Trivialitäten mit nichtssagenden Maisladungen zugekleistert und kann auch daraus nichts lernen. Also ist man Masochist und klickt wie eine Affe immer auf OK oder schalte das ab. Resultat ist dasselbe. Schutzfunktion für die Tonne. MS packt es nicht…

CN8

Frage
Was hat in dem Sinne Datensicherheit mit den Qualitäten des Kontos zu tun? Wenn ist Verschlüsselung nötig da auch der Standarduser den Rechner nun mal eben zweckgebunden benutzen muss.

 

[slash2002]

Ich mache es genau so wie du beschrieben hast. Bei der Installation lege ich den Benutzer Admin an und als normales Arbeitskonto einen Standardbenutzer ohne Admin-Rechte. Als Admin muss man sich in der Regel nur selten anmelden und kleine Installationen sind auch schnell ohne Anmeldung erledigt.

 

[cumulonimbus8]

Diese MS-Kontendefinition ist wie so ziemlich alles in WIN: man kann zwar irgendwie schon damit was machen, aber sobald man auch nur etwas mehr will geht [dem Bordwerkzeug…] gnadenlos die Luft aus.
CN8

 

[David7]

Bei der Installation lege ich den Benutzer Admin an und als normales Arbeitskonto einen Standardbenutzer ohne Admin-Rechte.

Genau, das war auch meine Idee. Mein System ist nun ja schon eingerichtet und eine Neu-Installation von Windows hatte ich momentan nicht geplant.

Vielleicht funktioniert folgender Plan:
Zusätzlich zu meinem aktuellen Adminkonto erstelle ich ein weiteres Adminkonto. Dieses Adminkonto wird in Zukunft das einzige Adminkonto sein. Ich logge mich in das neu erstellte Adminkonto ein und entziehe meinem bisherigen Adminkonto die Adminrechte. Mein ehemaliges Adminkonto ist nun der gewünschte Standarduser ohne Adminrechte.
So muss ich keine Daten übertragen und kann trotzdem die Vorteile nutzen.

 

[cumulonimbus8]

Das kannst du gewiss tun.
Udn dann bin ich mal gespannt wie oft du den Admin [korrekter: das Admin-Konto] anstrengen musst oder auf Anfrage Admin-Rechte verwendest.
Der Mix beider Konten passt einfach nicht - der Admin kann zu viel, der Normale zu wenig.

CN8

 

[DaysShadow]

@David7 Grundsätzlich ist das ja alles richtig, aber wie die anderen schon erwähnt haben ist es einfach unnötig nervig. Ich bin schon groß und passe auf was ich installiere Kommt mir etwas seltsam vor überprüfe ich es und wenn mir etwas ganz seltsam vor kommt oder etwas schräges abgeht, dann wird das Windows eben platt gemacht. Ich zocke, höre Musik und browse nur auf meinem Rechner. Da ich seit Ewigkeiten immer eine separate Systempartition und die Datenpartitionen/-platten habe, raubt mir eine Neuinstallation höchstens ein paar Stunden meines Lebens und das kommt heutzutage ohnehin sehr sehr selten vor.

 

[Testa2014]

Habe das auch getrennt, gehe allerdings noch etwas weiter. Richte in gpedit Zertifikatsregeln für alle Programme ein und noch ein paar andere Sachen die sich dort befinden. Mag sicherlich oversized sein. Habe damit allerdings seit Jahren keine Probleme. Auch bei nicht so versierten Anwendern habe ich das bisher gemacht (spätestens wenn die sich was eingefangen haben und vor meiner Tür standen). Als Spielwiese dient eine VM, der Rechner muss ja nicht zugemüllt werden.

 

[whats4]

na dann mach halt zwei, den david und den davi
der david gehört zu den admins, der davi ned.

die standardordner kannst ja zusammenlegen, wennst willst.

wobei ich persönlich das mit der uac ned schlecht finde, man kriegt jedenfalls ganz ohne klimmzüge mit, ob man was mit erhöhten rechten tut.

 

[Cardhu]

vertrauenswürdiges Programm [...] CCleaner

Ich hab ein Konto. Ich weiß auf welche Seiten ich gehe, klicke nicht jeden Blödsinn im Internetz und in den Mails an und achte schon darauf, wenn ich denn mal was installiere. Wenn da nicht wer gezielt meinen Rechner angreifen möchte, habe ich da tatsächlich weniger bedenken. Da würde ich noch eher erwarten, dass hier wer einbricht oder Ähnliches. Dann würde er an meine Daten aber auch nur mit Gewalt gegen mich dran kommen, um an ein PW zu kommen.

 

[David7]

Was aber ist denn normal? Ein DAU der nur mit Word. Excel. ThunderBird herumfuhrwerkt ist mit dem Standardkonto überbedient.

Da aber immer wieder mal Programme, Updates, Pflege anfallen ist dieses Standardkonto unterbelichtet - da MS einfach keine Linie ziehen kann was ein Arbeiten am System ist und was nicht.

Ich kümmere mich auch um einige PCs in der Familie. Beispielsweise hat meine Großmutter einen Laptop mit Windows 10, auf dem sie Internet und Office macht, Urlaubsfotos anschaut und manchmal per Videotelefonie (Zoom, etc.) spricht.

Aktuell gibt es auf ihrem Laptop nur ein einziges Konto, das Adminkonto. Eigentlich würde ich ihr gerne nur ein Standardkonto geben, damit sie nicht aus Versehen etwas falsches installiert. Aber wenn sie dann wirklich mal die Adminrechte braucht, kommt sie mit dem normalen Konto nicht weiter...

Ergänzung (18. Juli 2020)

Dann würde er an meine Daten aber auch nur mit Gewalt gegen mich dran kommen, um an ein PW zu kommen.

Erinnert mich an das hier: https://xkcd.com/538/

 

[Pyrukar]

Okay ich merke gerade ich gehöre hier wohl zur Minderheit. Nicht nur dass ich hauptsächlich zu den Linux Benutzern gehören, die nicht standardmäßig im Sudo unterwegs sind, sondern auch im Win10 setze ich, je nach Anwendungszweck, auf verschiedene Benutzerkonten.

1. Adminkonto: Das einzige mit einem PW gesicherte. Anmelden tu ich mich darauf so gut wie nie direkt. PW wird aber natürlich bei jeder Installation etc abgefragt.
2. Mein "Privates" Konto. Hier habe ich zugriff auf alle meine Festplatten (solange sie nicht Linux Dateiformat haben, mit dem Win10 ohne nachzuhelfen nicht zurecht kommen), habe meinen Firefox mit dem auf Linux verknüpft etc. Nutzen tu ich dieses Konto immer dann wenn ich ein Programm brauche was auf Linux nicht zum Laufen zu bewegen ist und nicht in eine der Anderen Kategorien fällt.
3. Spiele ... Steam, Origins Uplay sind Datenkraken vor dem Herrn, weshalb dieser Benutzer auch nur Zugriff auf die C Festplatte und nicht die Datenfestplatten hat.
4. Der Neuste Account ist erst diese Jahr mit dem Homeoffice hinzugekommen. Auch meine Arbeitskollegen brauchen, wenn ich ihnen über Teams zugriff auf meine Steuerung gebe, nicht auf meinen Datenfestplatten rumsurfen ... Also auch hier nur zugriff auf C und eben Arbeitspezifische Programme wie MS Teams und OneDrive im Autostart.

Gruß
Pyrukar

 

[cumulonimbus8]

Paar Konten zu viel, für meinen Geschmack.
Der LINUX-Normaluser kann genug tun wo der WIN-Standarduser schon den Tritt auf die Füße bekommt. Das ist der essentielle Unterschied. Als ROOT oder eben mit Sudo am System(Kern) schrauben ist was Anderes als gewisse m.E. nach primitive Systemeinrichungen des täglichen Lebens.

CN8

 

[new Account()]

Einfach die UAC Meldungen nicht einfach wegklicken und im Zweifel einfach ablehnen - wenn du zusätzlich das PW eingeben musst, ist das irgendwie nur eines: nerviger

Sicherer auch nicht wirklich

Für Leute, die keinen Peil haben (und sonst einfach immer ok drücken), aber gerne ein separates Konto ☺

Zusätzlich verwende ich noch den Ransomwareschutz, damit nicht einfach meine Benutzerdaten flöten gehen (da hilft selbst UAC wegklicken nichts).

Ergänzung (19. Juli 2020)

3. Spiele ... Steam, Origins Uplay sind Datenkraken vor dem Herrn, weshalb dieser Benutzer auch nur Zugriff auf die C Festplatte und nicht die Datenfestplatten hat.
4. Der Neuste Account ist erst diese Jahr mit dem Homeoffice hinzugekommen. Auch meine Arbeitskollegen brauchen, wenn ich ihnen über Teams zugriff auf meine Steuerung gebe, nicht auf meinen Datenfestplatten rumsurfen ... Also auch hier nur zugriff auf C und eben Arbeitspezifische Programme wie MS Teams und OneDrive im Autostart.

Imho definitiv eine Erwägung Wert - falls man die Use Cases hat 👍