Startseite   |  Site map   |  A-Z artikel   |  Artikel einreichen   |   Kontakt   |  
   
  •  
    Biologie
    Themen der Chemie
    Deutsch online artikel
    Englisch / Englische
    Franzosisch
    Geographie
    Geschichte
    Informatik
    Kunst
    Mathematik / Studium
    Musik
    Philosophie
    Physik
    Recht
    Sport
    Wirtschaft & Technik



    Biographie

    Impressum

informatik artikel (Interpretation und charakterisierung)

Mp3

Mail

Viren

Keine administrator-rechte beim internet-surfen


1. Java
2. Viren



Zunächst empfehle ich, von den Win 95/98/ME-Betriebssystemen umzusteigen auf

Windows 2000/XP, weil es die besseren, vor allem aber sicheren Betriebssysteme

sind. Als Dateisystem sollten Sie mit diesen Betriebssystemen natürlich NTFS und

nicht eine der FAT-Varianten verwenden, weil Sie nur mit NTFS die Zugriffsrechte

vernünftig reglementieren können. Als Administrator sollte man mit w2k/XP aber

wirklich nur dann arbeiten, wenn es etwas zu verwalten gibt (Benutzer einrichten,

Software installieren, Einstellungen des Betriebssystems ändern, Änderungen an der

Registry usw.). Ich habe für mich einen Benutzer mit einfachen Benutzerrechten eingerichtet

und nur unter diesem Namen gehe ich ins Internet. Ein einfacher Benutzer

darf eine Vielzahl gefährlicher Aktionen (Schreibzugriff auf die Registry, Installation

von Programmen usw.) nicht ausführen, so dass allein hierdurch bereits ein gewisser

Grundschutz verwirklicht ist. Machen Sie sich bitte klar, dass ein dreizeiliges Script,

das Sie sich auf jeder Web-Seite, die Sie ansteuern, einfangen können, ausreicht,

um Ihre gesamte Festplatte zu formatieren, und zwar ohne dass Sie gefragt werden

oder eine sonstige Möglichkeit hätten, dies zu verhindern. Sie können zwar das gesamte

aktive Scripting (s. auch unter Begriffserläuterungen ActiveX) in Ihrem Browser

abschalten (und müssen dies nach meiner Auffassung auch in jedem Fall, wenn

Sie Administrator-Rechte haben), werden dann aber nicht mehr viel Freude beim Internet-

Surfen haben. Auf die Virenscanner, die inzwischen fast alle auch einen

Script-Schutz beinhalten und heuristische Verfahren verwenden, können Sie sich

ebenfalls nicht verlassen, denn mit einer vergleichbaren Erfolgsquote wie beim Virenscannen,

bei dem es ja ,nur' darum geht, vorhandene Muster zu erkennen, können

Sie sich bei diesen Verfahren nicht verlassen. Die Hersteller der Virenscanner

schweigen sich aus gutem Grund zu diesem Thema aus, denn mit jeder Information

würden Sie gleichzeitig auch den potentiellen Angreifern wichtiges Material liefern.

Die nachfolgend beschriebenen Firewalls nützen gegen diese Gefahren überhaupt

nichts, denn die Scripte laden Sie sich zusammen mit der Web-Seite, die Sie freiwillig

ansteuern. Es hängt ausschließlich von den Einstellungen Ihres Browsers ab, ob

die mitgeladenen Scripte auch ausgeführt werden dürfen. Nach meiner ganz persönlichen

Einschätzung ist die Gefahr für einen privaten Anwender, durch ein Script geschädigt

zu werden, wesentlich größer, als eine Schädigung durch einen Virus. Ein

weiterer Gesichtspunkt: Wenn ich z.B. mit [2] mein System auf Spyware untersuche,

ist der Unterschied zwischen w98- und w2k-Rechnern gewaltig: Auf den w2k-

Rechnern findet sich so gut wie nie Spyware; auf den w98-Rechnern sieht das ganz

anders aus. Schließlich müssen Sie sich darüber im Klaren sein, dass bei vielen,

wenn nicht sogar bei den meisten gezielten Angriffen das sogenannte ,social engineering'

[30] eine Rolle spielt: Der Angreifer versucht, Zugangsdaten nicht über einen

37

___________________________

Hinweise

Computer-Angriff herauszubekommen, sondern über das Befragen Eingeweihter.

Das sieht dann z.B. so aus: Ein potentieller Angreifer ruft die Schreibkraft des Unternehmens

an und gibt sich als Mitarbeiter des Unternehmens aus, welches für die

Software-Wartung zuständig ist. Er fragt die Schreibkraft, ob sie mit Ihrem Computer

zufrieden ist (Welche Schreibkraft würde das schon bejahen ?). Der Anrufer zeigt

sich sehr verständnisvoll und es entwickelt sich ein angenehmes Gespräch, in dessen

Verlauf der Anrufer anbietet, die schlimmsten Unannehmlichkeiten zu beseitigen.

Er benötigt natürlich den Benutzernamen und das Passwort. Alles weitere können

Sie sich denken. Wenn in diesem Fall die Schreibkraft auch noch Administrator-

Rechte hat, können Sie einpacken.

Übrigens funktionieren fast alle Programme mit den Rechten eines einfachen Benutzers,

so dass es kaum erforderlich ist, sich als Hauptbenutzer anzumelden. Manche

Programme ,schimpfen', weil sie nicht auf die Registry zugreifen dürfen (ohnehin eine

Unart, die abgestellt gehört), funktionieren dann aber trotzdem einwandfrei. Mir

sind mittlerweile eher die Programme suspekt, die Hauptbenutzerrechte fordern, ohne

dass ich hierfür einen Grund erkennen kann. Es besteht ein gewisser Verdacht,

dass solche Programme zumindest Spyware, wenn nicht Schlimmeres enthalten (Mir

ist z.B. unbegreiflich, warum die Musicmatch Jukebox mindestens Hauptbenutzer-

Rechte fordert). Bei Programmen, die mehr als einfache Benutzerrechte fordern, ohne

dass Sie hierfür einen Grund erkennen können, würde ich mich nach einer Alternative

umsehen oder mich an den Hersteller wenden. Z.B. erforderte beim TDSLSpeedmanager

von t-online [31] bis zur Version 2.0 nicht nur die System-

Optimierung Administrator-Rechte (was natürlich richtig ist), sondern auch die bloße

Anzeige der Übertragungsrate. Ich habe mit den Technikern von t-online, die sich

übrigens sehr viel Mühe gegeben haben, mehrfach korrespondiert, ohne eine Lösung

zu finden, aber: Ab der Version 3.0 funktioniert die Anzeige auch mit einfachen Benutzerrechten.

Eine sehr gute Beschreibung, wie man Benutzer unter Windows XP (Home und Professional)

einrichten und verwalten kann, finden Sie in der ct [20]. Mir ist es im übrigen

unbegreiflich, wie MicroSoft auf der einen Seite ständig versichern kann, man sei

um mehr Sicherheit bemüht, auf der anderen Seite aber das Einrichten und Verwalten

von Benutzern in der Home-Edition erschwert. Die Benutzerverwaltung ist im

Heimbereich mindestens genauso wichtig wie beim professionellen Einsatz, denn

gerade im privaten Bereich werden auch völlig computerunerfahrene Anwender und

Anwender, denen das nötige Sicherheitsbewusstsein fehlt (Kinder), mit dem Rechner

arbeiten und im Internet surfen wollen.

Gegenüber der 1. Auflage dieser Anleitung habe ich die Warnung vor den Administrator-

Rechten nochmals verschärft, weil die - ansonsten von mir sehr geschätzte -

c't in Heft 01/2003 auf Seite 82, empfohlen hat, alle aktiven Nutzer mit Administrator-

Rechten zu versehen, ,damit auch alle Programme reibungslos funktionieren'. Insbesondere

Personal Firewalls und Antiviren-Software müssten nicht nur mit Administrator-

Rechten installiert werden, sondern auch mit diesen laufen. Das stimmt nicht, widerspricht

allen sonstigen Ratschlägen (auch in der c't, vgl. [20]) und ist einfach unverantwortlich

(in den Folgeheften sind auch entsprechende Leserbriefe erschienen).

Die nachfolgend vorgestellte Kerio Personal Firewall funktioniert nicht nur mit eingeschränkten

Benutzerrechten und kann mit diesen eingestellt werden, sondern die

38

___________________________

Hinweise

Sicherheit dieser Firewall können Sie mit eingeschränkten Benutzerrechten sogar um

mindestens eine Klasse erhöhen (s. unter VII.).

Norton Antivirus 2002/2003 funktionierte bei mir unter w2k mit eingeschränkten Benutzerrechten

mit folgenden Einschränkungen einwandfrei:

- eine vollständige Systemprüfung erfordert Administrator-Rechte,

- Auto-Protect lässt sich nicht deaktivieren,

- Liveupdate ist nicht möglich.

Der erste Punkt ist völlig klar: Wenn ich das System vollständig prüfen will, muss ich

uneingeschränkten Zugriff, also Administrator-Rechte, haben.

Der zweite Punkt ist eigentlich folgerichtig: Es darf nicht sein, dass ein eingeschränkter

Benutzer einfach per Mausklick den Virenschutz deaktiviert. Gleichwohl würde ich

mir eine Option in NAV wünschen, mit der ein einfacher Benutzer jedenfalls dann

den Virenschutz vorübergehend deaktivieren kann, wenn er das Administrator-

Passwort kennt. Manche Programme empfehlen das Abschalten des Virenschutzes.

Meist sind dies Installations-Programme, für die ohnehin Administrator-Rechte erforderlich

sind. Im übrigen habe ich noch keine praktischen Schwierigkeiten feststellen

können, weil der Virenschutz nicht abzustellen war.

Der dritte Punkt ist ein schwerer Mangel von NAV, der eigentlich zur Abwertung des

Programms in allen Tests führen müsste. Es ist mir ein Rätsel, dass NAV ständig

gute Testergebnisse einfährt oder sogar Vergleichstests gewinnt. Es darf eigentlich

nicht sein, dass ein einfacher Benutzer mit veralteten Virensignaturen arbeiten oder

den Administrator bemühen muss. Symantec selbst betont die Bedeutung, die die

aktuellen Virensignaturen für einen wirksamen Schutz haben. Dann müssen diese

Signaturen aber auch möglichst verzögerungsfrei auf den Rechner kommen. Welche

Entscheidungs-Alternativen soll ein Administrator denn haben, wenn Symantec neue

Signaturen zur Verfügung stellt ? Er wird es kaum besser wissen, als Symantec.

Wenn Symantec meint, die neuen Signaturen seien besser, wird sie auch der Administrator

annehmen müssen. Praktisch habe ich mir dadurch beholfen, dass ich das

Lifeupdate abgeschaltet habe, um mich zweimal in der Woche als Administrator anzumelden

und Lifeupdate von hand auszuführen.

I

n Heft 03/2003, S. 177, hat die c't auf eine Leseranfrage mitgeteilt, NAV vertrage

sich mit wXP nur dann, wenn man die regelmäßigen Virenchecks abschalte oder

ständig mit Administrator-Rechten arbeite. Sollte dies zutreffen, so wäre NAV nicht

nur mit ,ungenügend' zu bewerten, sondern schlichtweg unbrauchbar. Ich würde das

Programm meiden und erforderlichenfalls zurückgeben und mir das Geld erstatten

lassen. Für mich sind die eingeschränkten Benutzerrechte die zweitwichtigste Sicherheitseinrichtung

(nach dem Virenscanner) und es kann nicht sein, dass die wichtigste

Sicherheitseinrichtung mich zwingt, die zweitwichtigste abzuschalten. Ich darf

aber nochmals betonen, dass ich die geschilderten Schwierigkeiten mit w2k und eingeschränkten

Benutzerrechten nicht hatte. Das Liveupdate muss aber abgeschaltet

werden, denn NAV reagiert sehr ,zickig', wenn es versucht, ein Liveupdate durchzuführen

und dies nicht gelingt.

Sollten Sie ein Programm unbedingt benötigen, welches Administrator-Rechte erfordert,

und es wirklich gar keine Alternative in Form eines Updates oder eines andern

Programms geben, dann könnten Ihnen vielleicht die folgenden Tipps helfen:

39

___________________________

Hinweise

Zunächst kann man jedes Programm mit systeminternen Mitteln mit anderen Rechten

ausführen: Lassen Sie sich die auszuführende Datei z.B. im Windows-Explorer

anzeigen, drücken Sie dann die Shift-Taste und klicken Sie danach die Datei mit der

rechten Maustaste an (Reihenfolge beachten !). Es erscheint der Menupunkt ,Ausführen

als ...'. Hier können Sie den Benutzernamen und das Passwort des Benutzers

angeben, mit dessen Rechten das Programm ausgeführt werden soll. Wenn Sie die

Eigenschaften eines vom aktuellen Benutzer angelegten Links aufrufen, können Sie

dort ein Kästchen ankreuzen mit der Bezeichnung ,Unter anderem Benutzernamen

ausführen'. Schließlich kann man sich auch mit dem Programm ,runas' einen entsprechenden

Link anlegen. Alle Optionen des Programms ,runas' werden angezeigt,

wenn Sie mit StartAusführencmd ins DOS-Fenster wechseln und dort ,runas'

eingeben (zurück mit ,exit'). Der Nachteil dieser Verfahren besteht darin, dass Sie

das Passwort stets von Hand eingeben müssen. Dies ist besonders lästig bei Programmen,

die bereits beim Windows-Start gestartet werden sollen.

Deshalb gibt es die Möglichkeit, ein Programm als Service zu starten. Hierzu benötigen

Sie z.B. das Programm ,Apptoservice' [32] oder die Programme srvany.exe und

instsrv.exe aus dem NT Resource Kit und eine passende Anleitung [33].

Klappt auch das nicht, hilft in jedem Fall das Programm ,runasPWD.exe' [34] von Richard

MacDonald. Ich habe allerdings lange gezögert, den Hinweis in diese Anleitung

aufzunehmen, denn der entscheidende Vorteil dieses Programms ist zugleich

ein sicherheitstechnisch schwerer Nachteil: Das Programm arbeitet ähnlich wie ,runas',

kann aber außerdem das Passwort in der Befehlszeile mit verarbeiten, wodurch

ein vollautomatischer Start möglich ist. Wenn Sie das Programm über einen entsprechenden

Link z.B. in den Autostart-Ordner einbinden, haben Sie dieses Passwort

(z.B. des Administrators) im Klartext auf der Festplatte, was eigentlich unverantwortlich

ist. Dies dürfte in keinem Fall in einer ,echten' Mehrbenutzerumgebung in Frage

kommen, in der wirklich mehrere Menschen an demselben Rechner arbeiten und in

der unbedingt verhindert werden muss, dass einzelne dieser Benutzer sich Administrator-

Rechte aneignen. Wenn allerdings nur ein Mensch mit mehreren Benutzerkonten

an dem Computer arbeitet oder alle Benutzer ohnehin das Administrator-

Passwort kennen, kann man sicher auf die vertretbare Idee kommen, es sei jedenfalls

sicherer, das Administrator-Passwort auf der Festplatte zu speichern als sich

ständig mit Administrator-Rechten im Internet zu bewegen (gut ist beides nicht).

Bei XP erzeugt Windows bei der Installation selbst eine Sicherheitslücke, indem es

für den abgesicherten Modus ein kennwortloses Administrator-Konto anlegt. Um diese

Lücke zu schließen, müssen Sie den Rechner einmal im abgesicherten Modus

starten (,F8'-Taste während des Start-Vorgangs gedrückt halten und ,abgesicherter

Modus' in dem dann erscheinenden Menu auswählen). Melden Sie sich dann als

,Administrator' an. Unter Start Systemsteuerung Benutzerkonten können Sie das

Administrator-Konto anwählen und über Kennwort erstellen ein Kennwort vergeben.

 
 




Datenschutz

Top Themen / Analyse
Derzeitige Berufssituation:
How to identify a hoax
Optische Speichermedien
CCD (Charged Coupled Device)
Woher stammt es und welche Entwicklungen folgten?
Das Kostenproblem
Die Darstellung der Vorlagedateien im Systemrichtlinieneditor
Die Grenzen von IP
Für was kann man das verwenden ?
IDIV





Datenschutz

Zum selben thema
Netzwerk
Software
Entwicklung
Windows
Programm
Unix
Games
Sicherheit
Disk
Technologie
Bildung
Mp3
Cd
Suche
Grafik
Zahlung
Html
Internet
Hardware
Cpu
Firewall
Speicher
Mail
Banking
Video
Hacker
Design
Sprache
Dvd
Drucker
Elektronisches
Geschichte
Fehler
Website
Linux
Computer
A-Z informatik artikel:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #

Copyright © 2008 - : ARTIKEL32 | Alle rechte vorbehalten.
Vervielfältigung im Ganzen oder teilweise das Material auf dieser Website gegen das Urheberrecht und wird bestraft, nach dem Gesetz.