Grundsätzliches Ordnungs- und Sicherheitskonzept? Backups, Systemwiederherstellungspunkt, Verschlüsselung und Antivirus-Software

snaxilian schrieb:
Wer macht das schon
Jeder, der ein sicheres System haben will. Es gehört einfach dazu, genau wie BIOS-Updates.

Wenn schon Software-Verschlüsselung, dann ein unabhängiges Produkt. Es sollte nicht an bestimmte Windows-Versionen (oder überhaupt an Windows) gekoppelt sein.
 
  • Gefällt mir
Reaktionen: Melvin Melville
Also halte ich fest:
Veeam Backup & Replication 9.5 Community Edition (https://www.veeam.com/de/vm-backup-recovery-replication-software.html) downloaden und glücklicj sein.
Trotzdem nochmal die Frage: Sollte man Recoverypoints nutzen um bspw kleine Problemchen durch Zurücksetzen schnell und unkompliziert zu lösen?

Die Debatte um Partitionierungen finde ich faszinierend. Mir wurde eingetrichtert, dass es einfacher und schneller ist das System neu aufzusetzen wenn man nur C: wiederherstellen/clean installieren muss statt alle Dateien auf allen Partionen(oder einer riesigen). Kann ich das unter grobem Unfug verbuchen? Bin kein Experte und die Fülle an Informationen erschlägt mich geradezu, aber ich will auch nicht blind durch die Datenwelt wie bisher.

EDIT:
Ganz vergessen: UAC ist mir ein Fremdwort. User Account Control - sollte an sein, da bei dem Versuch der Installation eine PopUp Fenster erscheint mit dem ich die Ausführung erst erlauben muss.
Und... mein MS Account(outlook Mail, neu erstellt just für den Laptop) ist der einzige Account und dazu noch Admin. Das ist aus sicherheitstechnischer Sicht absolut fubar nehme ich an. Aber wie migriere ich nun alles zu einem anderen, beschränkten Nutzerkonto..? Und macht das dann noch Spaß? Habe mich nie damit beschäftigt und es wäre die Horrorvorstellung bei jeder Kleinständerung in meinen Admin Account wechseln zu müssen.
Edit 2: Mehr Spinnerei als sinnvoller Schutz aber wäre es nicht mitunter sinnvoll einen der kleinen Finger zu verwenden zur Authentifizierung? Mit den greift man doch weniger häufig und in einer Art an Stellen die leicht zur Umgehung genutzt werden können.:D
 
Zuletzt bearbeitet:
@Melvin Melville
das Backup & Replication ist die "große" Version und eher geeignet für Virtualisierungshosts.. was du suchst ist Veeam Endpoint Protection / Veeam Agent for Windows ...
 
  • Gefällt mir
Reaktionen: snaxilian und Melvin Melville
Du erstellst einfach ein zweites Konto, gibst diesem Administratorrechte und änderst dann dein jetziges Konto von Admin zu User, dann brauchst nix migrieren.

To change Administrator accounts to Standard accounts on Windows 10/8/7
  1. Open Control Panel.
  2. Set the View by open to Category.
  3. Under User Accounts, click Change account type.
  4. On the Manage Accounts window, select the user account that you want to change.
  5. Click Change the account type.
  6. On the Change Account Type window, click Standard.
  7. Click Change Account Type.


Melvin Melville schrieb:
Kleinständerung in meinen Admin Account wechseln zu müssen
Ein PC ist ein Werkzeug. Das richtet man ein und dann benutzt man es. Keine Ahnung was du meinst andauernd verstellen zu müssen aber selbst dafür gibt es Lösungen, z.B. Rechtsklick auf Anwendung > Als Administrator ausführen bzw. als anderer Benutzer ausführen (https://www.deskmodder.de/wiki/index.php?title=Ausführen_als_anderer_Benutzer_Windows_10).
Wenn dir das immer noch zu "aufwändig" ist solltest du in Betracht ziehen, die UAC höher zu stellen. Bedenke: alles was du ohne extra Abfrage/Kontrolle ändern kannst, das kann auch jedwede Schadsoftware, die du dir einfängst.
Alles andere ist Augenwischerei und zwar nett gemeint aber dann kannst es auch sein lassen und mit dem Risiko leben aber bitte dann nicht irgendwann einen mimimi-Thread eröffnen.

Das mit dem kleinen Finger ist Spinnerei. Shift, Strg, öäü etc sind alles Tasten, die von diesen Fingern bedient werden, außerdem wirst du wohl kaum immer einzelne Finger abspreizen wenn du das Gerät herum trägst. Das nennt man Security by Obscurity und hat noch nie funktioniert.

Die Systemwiederherstellungspunkte schaden nicht und kannst einfacher einen Rollback machen wenn du eine nicht gewünschte Anwendung o.ä. installiert hast. Dabei geht es aber soweit mir bekannt um Systemeinstellungen, installierte Programme, Registryeinträge etc und weniger um deine Nutzdaten. Für gelöschte Daten gibt es dann ja das eigentliche Backup.
 
  • Gefällt mir
Reaktionen: Melvin Melville
snaxilian schrieb:
Du erstellst einfach ein zweites Konto, gibst diesem Administratorrechte und änderst dann dein jetziges Konto von Admin zu User, dann brauchst nix migrieren.

To change Administrator accounts to Standard accounts on Windows 10/8/7
  1. Open Control Panel.
  2. Set the View by open to Category.
  3. Under User Accounts, click Change account type.
  4. On the Manage Accounts window, select the user account that you want to change.
  5. Click Change the account type.
  6. On the Change Account Type window, click Standard.
  7. Click Change Account Type.

Ich hab jetzt nicht den ganzen Thread gelesen aber einen separaten Account für Adminrechte zu verwenden ist bereit seit Einführung der Benutzerkontensteuerung in Windows Vista ein veraltetes Konzept und nicht mehr empfohlen von Microsoft. Einfach die Benutzerkontensteuerung (UAC) aktivieren die sowieso Default aktiv ist und gut ist.
 
  • Gefällt mir
Reaktionen: Melvin Melville
@snaxilian Vielen Dank! Das jetzt bitte mit @/root ausdiskutieren.:D

Aber egal ob UAC oder Admin - es leuchtet ein aber kann ich auch statt lästiger Eingabe meinen Fingerabdruck nutzen und macht das Sinn? Bin mir der Gefahren bewusst, also nur unter dem Gesichtspunkt, dass mein Laptop nicht aus der Hand geht.(Gibt es btw keinen Cooldowntimer nach x falschen Angaben?)

Zu den Systemwiederherstellungspunkten: 1 TB SSD, 100GB für C - was ist eine gute Größe für die Recoveryoption?
 
Die Systemwiederherstellungspunkte schaden nicht und kannst einfacher einen Rollback machen wenn du eine nicht gewünschte Anwendung o.ä. installiert hast. Dabei geht es aber soweit mir bekannt um Systemeinstellungen, installierte Programme, Registryeinträge etc und weniger um deine Nutzdaten. Für gelöschte Daten gibt es dann ja das eigentliche Backup.
Die Systemwiederherstellung bzw jetzt nennt sich das ja unter Windowes 10 Computerschutz mit der ich früher öfters mal Probleme zu XP Zeiten hatte beim wiederherstellen eines Systemwiederherstellungspunktes, habe ich irgendwann so um 2012 deaktiviert als ich damit anfing Backups/Images meiner 3 Partitionen zu machen. Natürlich muss ich dann halt daran denken so wie jetzt als ich von Windows 10 1903 auf 1909 gewechselt bin, das das Setup den Computerschutz wieder aktiviert und dann muss ich den dann halt wieder unter Systemsteuerung für die Partition C deaktivieren bzw ausschalten.
 
@/root Ich beziehe mich hierauf: https://docs.microsoft.com/de-de/wi...ivilege-administrative-models#on-workstations
Best Practice ist ein weiterer Account, da selbst ein (priviligierter) Account mit UAC Risiken birgt. Wäre für anders lautende Quellen offen. Wäre ja nicht das erste Mal, dass sich MS in unterschiedlichen Dokumenten selbst widerspricht.

@Melvin Melville Die Systemwiederherstellung bzw. jetzt unter neuem Namen Computerschutz benötigt keine gesonderte Partition soweit mir bekannt. Du gibst bei der Einrichtung ja an, wie viel Speicherplatz der jeweils vorhandenen Partition für die "Sicherungen" genutzt werden soll. Falls dem nicht so ist oder ich falsch liegen sollte: Quelle/Link/Tutorial bitte.

Ich versuche auch nach wie vor zu verstehen was du dir von den drei unterschiedlichen Partitionen erhoffst anstatt einer einzelnen. Nicht jedes Programm lässt sich auf andere Partitionen als C: installieren und selbst im Worstcase und einer Neuinstallation von Windows musst du viele Programme von D: neu installieren, da die jeweiligen Registry Einträge etc dann ja fehlen.

Ja, Windows kann zumindest Entsperrung per Windows Hello mit dem Fingerabdruck genutzt werden. Ob dies auch für andere Situationen gilt: Keine Ahnung aber das Ganze auszuprobieren tut bestimmt nicht weh ;)
 
  • Gefällt mir
Reaktionen: Melvin Melville
snaxilian schrieb:
@/root Ich beziehe mich hierauf: https://docs.microsoft.com/de-de/wi...ivilege-administrative-models#on-workstations
Best Practice ist ein weiterer Account, da selbst ein (priviligierter) Account mit UAC Risiken birgt. Wäre für anders lautende Quellen offen. Wäre ja nicht das erste Mal, dass sich MS in unterschiedlichen Dokumenten selbst widerspricht.

Danke für den Link.
Ich kenne die Argumente in dem Artikel, die sind aber IMHO nur wie im Artikel erwähnt in einer Enterprise Umgebung mit AD gültig.
 
  • Gefällt mir
Reaktionen: Melvin Melville
Die Bedingungen sind doch gleich. Auch in Firmenumgebungen haben Benutzeraccounts von Anwendern nur Berechtigung sich auf Clients anzuwenden und MS wird vermutlich nie groß Best Practices für Privatanwender heraus bringen. (Umgedreht haben im besten Fall Accounts mit Domänenadmin-Berechtigung keine Möglichkeit sich auf Clients anzumelden sondern nur an den DCs.)
Die UAC ist halt ein Kompromiss zwischen bisschen mehr Sicherheit und der Bequemlichkeit eben nicht mit zwei Accounts zu hantieren.
 
  • Gefällt mir
Reaktionen: Melvin Melville
snaxilian schrieb:
Best Practice ist ein weiterer Account, da selbst ein (priviligierter) Account mit UAC Risiken birgt.
NOCH ein Account neben Admin und Standard User (ohne UAC?) oder wie darf ich das verstehen?

Den Computerschutz meine ich ja. Ich will keine 30 GB freigeben nur für Recovery - außer es spricht viel dafür. Daher meine frage wieviel ich freigeben soll.
Meine fixe Idee mit den Partitionen kommt wohl auch daher - nur C wird beim Computerschutz beachtet, nur C wiederhergestellt deshalb 'einfacher' - so die Idee. Registryverwurstelung macht natürlich Sinn...
Von den drei Partitionen bin ich ja schon weg. Nur noch C und D, wobei ich D bisher noch nicht getilgt habe weil ich zu faul bin und ein paar Dinge darauf installiert habe. Natürlich - Office und andere Programme müssen auf C :/
@/root
Enterprise mit AD?

Kann ich es wieder vollumfänglich rückgängig machen wenn ich mich dazu entschließe meinem Account die Adminrechte zu entziehen?

So ein Best Practices Dokument egal ob von MS oder sonstwem wäre schon wirklich klasse. Mit ner Übersicht von Angriffsvektoren, und nem Vergleich zwischen Bequemlichkeit und Sicherheit mit Tipps. :daumen:
 
So verkehrt mit 3 Partitionen ist das gar nicht, mache ich selber so: auf meiner HDD Festplatte mit 500 GB ist auf C Windows plus alle installierten Programme, Eigene Dateien usw, auf D ist Steam mit meinen Race 07 Reihe Spielen und ein paar Chicken Invaders Spiele Versionen und auf E habe ich nur Installer, Downloads und weiteres eher unwichtiges und natürlich habe ich von jeder Partition Aomei Backups, viele von C und jeweils 2 von D und E. Ach ja:Dund auf allen 3 Partitionen ist der Computerschutz deaktiviert weil ich lieber ein Backup einspiele als einen Wiederherstellungspunkt.
 
Zuletzt bearbeitet:
Nein, das Best Practice bezog sich auf /roots Äußerung und den Artikel von MS. Eben einen Account zum arbeiten (ruhig auch mit UAC) und einen für administrative Tätigkeiten wie z.B. Änderungen am OS.

Melvin Melville schrieb:
Ich will keine 30 GB freigeben nur für Recovery - außer es spricht viel dafür. Daher meine frage wieviel ich freigeben soll.
Aha. Du willst also einen Porsche für den Preis eines Golfs? Wie viel Platz du willst/brauchst kann dir keiner pauschal sagen, denn das hängt von deinem Nutzungsverhalten ab. Wenn du täglich aufs neue die daily builds irgendwelche Linux-Distris ziehst brauchst mehr als wenn sich nur paar Textdateien ändern.

Zu den Berechtigungen: Bei manchen hier hat man echt den Eindruck, selbstständiges Denken und der Experimentierdrang endeten mit der zweiten Klasse... Leg dir doch nen zweiten MS-Account temporär an, richte ihn als Admin an, "degradier" den Account zum User und wieder zurück. Dann hast du Gewissheit. Alternativ vorher ein Backup einrichten, dann hast im Worstcase praktischerweise gleich den kompletten Restore getestet.

Melvin Melville schrieb:
Mit ner Übersicht von Angriffsvektoren, und nem Vergleich zwischen Bequemlichkeit und Sicherheit mit Tipps.
Das stellst du dir wie genau vor? Angriffsvektoren gibt es extrem viele da es auch von der Motivation des Angreifers abhängt und für jeden gibt es verschiedene Mechanismen um sich davor zu schützen bzw. in verschiedenen Abstufungen. Meine Sammlung an Katzen-GIFs sind bei weitem nicht so schützenswert wie z.B. Kundendaten. Wenn du zu faul/bequem bist, dies einzeln zu entscheiden musst du, wenn personenbezogene Daten Dritter ins Spiel kommen oder dir deine eigenen Daten wichtig sind, von der höchsten Stufe ausgehen. Das bedeutet gnadenlos: Minimal notwendigste Berechtigung, Verschlüsselung aller Daten sowohl Ablage als auch Transport, jedwede Authentifizierung wo möglich per 2FA/MFA, etc.

Aber ein paar minimale Basics findet man z.B. hier: https://decentsecurity.com/

Bei der Bequemlichkeit wird es noch "komischer" denn jeder ist unterschiedlich faul. Der eine ist die totale Sofakartoffel und will alles per Maus und grafischer Oberfläche klicken. Der nächste ist ein fauler Admin, der nur ne CLI benötigt weil er eben zu faul ist, die Hände von der Tastatur zu nehmen. Beide Anwendungsfälle zeigen Bequemlichkeit auf, nur eben unterschiedliche Arten.

Ob man jetzt das so trennt wie @purzelbär oder nicht muss jeder für sich entscheiden. Bei mir liegen Downloads usw. alle im Ordner Downloads bzw. ich lösche diese. Nach ein paar Monaten sind diese eh meist veraltet und ob ich jetzt eine alte Version installiere und dann Updates einspiele oder direkt den neuen Installer ziehe ist Jacke wie Hose. Wenn man mit mehreren Partitionen leben kann: Top. Problematisch wird es halt nur wenn man diese zu klein schneidet und hinterher vergrößern muss. Windows ist da bei weitem nicht so flexibel wie ein LVM unter Linux, von daher wirst ein Problem haben wenn du in 2 Jahren merkst, dass C: voll ist. Da gibt es keine goldene Regel und alles andere ist falsch. Du musst für dich den besten Lösungsweg finden.
Die einen kommen mit Lösungsweg A klar und finden dies praktisch, andere eben besser mit B.
 
snaxilian, meine Partitionen sind groß genug;)ich hab nicht viel installiert und auch nur sehr wenig in Eigene Eateien usw. Auf C ist von 174 GB 130 GB frei, auf D sind es 118 von 146 und auf E sind es 133 von 143 GB und was die Downloads betrifft: ewig hebe ich die nicht auf, nach einer gewissen Zeit wenn ich Lust dazu habe, werden die Installer natürlich gelöscht. Warum ich 3 Partitionen gemacht habe? ganz einfach: wenn ich ein Backup von Windows mal zurückspielen müsste, soll dabei nichts an den Daten der Spiele Partition geändert werden, die bleibt also unberührt davon und genau das wollte ich so.
 
Zuletzt bearbeitet:
Melvin Melville schrieb:

ist gemeint Firmennetzwerk mit Active Directory - das hast du nicht du bist nur Privatnutzer

Bitte nicht zu kompliziert denken oder overengineeren, Windows 10 ist per Default eigentlich sehr gut konfiguriert für Privatnutzer. Updates aktivieren, Bitlocker, Firewall und Antivirus (meine Empfehlung wäre Kaspersky Internet Security, der Windows Defender AV&FW ist aber auch OK) und wenn man sich noch gönnen will ein vollautomatisiertes Cloud Backup wie Backblaze für 60 Scheine im Jahr (Zero-Knowledge verschlüsselt) und dann kann eigentlich nicht mehr allzu viel passieren. MFA ist auch immer gut gegen Phishing und bei Office Dokumente aufpassen was für Makros man ausführt.
 
  • Gefällt mir
Reaktionen: Melvin Melville
Roesi schrieb:

Naja, das muss man schon etwas relativieren. Die Seitenkanal Angriffe (Timing Attack) die da gefunden wurden sind nur mit physischem Zugriff, großen zeitlichen und finanziellen Aufwand und Experten Know-How umsetzbar. Das rentiert sich vlt. bei klassifizierten Daten aber sicher nicht bei einem Privat PC von irgendjemandem.

Intel TPM Chips erfüllen die Sicherheitsstufe Common Criteria Evaluation Assurance Level 4+ (CC EAL 4+) was bedeutet dass Design und Umsetzung sehr hohen und anerkannten Sicherheitsstandards entspricht und auch überprüft wurde. Ich würde behaupten der TPM Chip ist das sicherste Teil (egal ob Hardware oder Software) in einem modernen PC.
 
Habe noch eine grundsätzliche Frage zu KeePass in Verbindung mit Firefox-Addon (und global autotype für bspw Steam): Ist das sicherer als seine Passwörter manuell einzutippen? Las das Keypass bspw vor Keyloggern schützen soll was bei der Oldschool-Variante nicht der Fall wäre.
 
Melvin Melville schrieb:
Las das Keypass bspw vor Keyloggern schützen soll was bei der Oldschool-Variante nicht der Fall wäre.
Also den Sicherheitsgewinn würde ich als marginal einstufen. Ja vlt hat der Keylogger nicht das Feature dass er mit Autotype das PW abfängt, aber viele andere Schadsoftware kann direkt die Passwörter automatisiert aus dem Memory dumpen wenn Keepass geöffnet ist. Wenn der PC verseucht ist und du verwendest Keepass dann musst du damit rechnen dass alle dein Passwörter in der Datenbank kompromittiert sind.
 
Hm. Was spricht dann für Keypass verhält es sich analog zur verschlüsselten Speicherung in Firefox?
Kann im Falle einer Verseuchung mein gespeichertes Steampasswort ausgelesen werden?
 
Zurück
Oben