[BachManiac]

Hi!

Ich werd in ein paar Monaten für den Dad meiner Freundin das Internet einrichten. Wird ne normale DSL-Verbindung werden...


Und da in dem Haus eigentlich alle extreme Neulinge auf dem PC-Gebiet sind (Dad, Mum, kleine Schwester mit 13 Jahren, auweh ), soll der Rechner wirklich DAU-sicher sein.


zum Rechner selber:

Ein PIII mit 450 Mhz und 128MB Ram. (ich werd ihn mal auf 256MB aufrüsten, mal sehen, wies laufen wird)
Ein neuer 17" TFT Schirm.
Der Rechner wird bisher lediglich zum betrachten von Fotos von der hauseigenen Digitalkamera und zum Schreiben von Word/Excel - Dokus benutzt! Und das funktioniert jetzt seit dem ich Win XP (früher war 98 drauf, ist nie neuformatiert worden -> saulahm) installiert und alle unnötigen Dienste, Visualisierungen, sounds uswusw deaktiviert habe, extrem gut!
Antivir ist natürlich auch schon drauf

So und nun die Frage wegen dem Internet.

Was sagt ihr dazu, wenn ich jetzt generell nen Gast-Account anlege, bei welchem der Benutzer so wenig wie möglich Rechte hat, also so gut wie völliges schreibverbot auf laufwerk c: (die eigenen dateien usw sind alle auf d:)

bloß halt der Opera Cache Ordner usw.

Ich hab mit beschränkten Rechten noch nie was gemacht, bin selber immer als Admin bei mir zuhause angemeldet.... ok, es gibt fast keinen Tag, wo ich nicht was installiere oder lösche.

Kann man das mit den Benutzerrechten so einstellen, dass an den Windows Einstellungen absolut NIX geändert werden kann?

So müsste das ganze System ja dann sogar für Würmer usw sicher sein, oder nicht? bräuchte ich dann überhaupt noch nen Virenscanner oder ne Firewall?

Bei nem Rechner von unserer Rotkreuz-Stelle ist es nichtmal möglich, ne fremde EXE-Datei zu starten, wie macht man das?

Ich bräuchte dann auch noch bitte eine gute kleine Firewall, die eigentlich nur Schutz von innen nach außen bieten soll (von aussen kommt ja eh nix) und vor allem WENIG Performance kostet, genauso wie der Antivir, mit dem bin ich eigentlich sehr zufrieden.

also könntet ihr mir bitte ein paar Infos bezüglich Benutzerrechten und der Firewall geben? danke im voraus!

Dieser Beitrag wurde von BachManiac bearbeitet: 21. September 2005 - 13:53

[want_to_know]

Als Firewall empfehle ich Sygate Personal Fw. Ist mit umständen wie jede andere Firewall in der Handhabung gewöhnungsbedürftig. Doch eigentlich Ganz Simpel zu bedienen wenn man es richtig erklärt, da ich mir vorstellen kannst das du das schneller kapierst.

Benutzer Technisch würde ich nicht DAS Gast Konto nehmen, statt dessen lieber einen neues Konto anlegen. Und mit den notwendigen Rechten ausstatten. (Das Lesen der Hilfe dort, wäre von Vorteil)

Es entzieht sich meinem Momentanen Wissen ob der Firefox Browser für so was geeignet ist da ich seit längerer Zeit nur noch mit ihm Browser und ich weiss was ich anklicken darf und was nicht.
Deswegen wäre vll. hier der Internet Explorer von Vorteil. Da man dort, was einschränkungen angeht, viel Einstellen.

Wenn mir noch was einfällt melde ich mich.

[BachManiac]

hi! der Rechner ist frisch formatiert!

hab xp pro mit sp2 drauf.

und antivir ist auch bereits drauf.

da die windows firewall ja alles von innen nach aussen lässt, ist sie eben nicht brauchbar für mich!

ich hab grad was im netz gefunden... Wincontrol ich weiß, das programm macht eigentlich nur das, was man manuell auch einstellen kann, aber was haltet ihr generell davon? oder gibts auch eine freeware-lösung?

[Graumagier]

BachManiac sagte:

da die windows firewall ja alles von innen nach aussen lässt, ist sie eben nicht brauchbar für mich!

Application Control sollte dann doch durch die Benutzerrechte zu erledigen sein...

[want_to_know]

Wäre doch nett wenn jemand mal einen Benutzerrechte Thread auf machen würde wo alles erklärt wird oder links dazu wo es einfach erklärt wird. wär sicher nützlich.

[Graumagier]

In diesem Thread wird das zumindest angerissen.

Dieser Beitrag wurde von Graumagier bearbeitet: 21. September 2005 - 15:01

[want_to_know]

hmm JA und NEIN. ja es wird angerissen was für gewisse einstellungen man vornehmen soll. Neine es hat nichts mit den Rechten ansich zu tun.

[Rika]

Zitat

da die windows firewall ja alles von innen nach aussen lässt, ist sie eben nicht brauchbar für mich!

Sie versucht nicht, den User davon zu überzeugen, daß das Gegenteil nicht unmöglich oder sinnvollerweise partitiell umsetzbar wäre. Es ist schon schlimm genug, daß dies heutzutage als Qualitätsmerkmal zu betrachten ist.

Zitat

Application Control sollte dann doch durch die Benutzerrechte zu erledigen sein...

Ja, ne. Dank Software Restriction Policy setzt man einfach alles, was nicht aus der Whitelist steht, als explizit nicht ausführbar. Sich ausschließlich darauf zu verlassen, daß der User zu unfähig ist, sich Exec-Rechte in seinem Home-Directory wiederzubeschaffen, und zudem auch noch Software einsetzt, die nicht selbst andere Methoden als ShellExecute() benutzt, ist nicht wirklich sinnhaft.

Zitat

Wäre doch nett wenn jemand mal einen Benutzerrechte Thread auf machen würde wo alles erklärt wird oder links dazu wo es einfach erklärt wird. wär sicher nützlich.

Du meinst das Skript zur Vorlesung Betriebssysteme der Informatikfakultät der Universität deines Vertrauens?
Oder MSDN? Oder "Windows–Sicherheit - Sicherheit von Systemen, Daten und Netzwerken unter Windows 2000, XP und .NET", Addison-Wesley-Verlag, damals im Rahmen einer Werbeaktion für jedermann kostenlos erhältlich?
Wobei es eh nur Erläuterungen für das eigentlich selbsterklärende Rechtemodell ist: ACLs, d.h. eine Tabelle der Zuordnung von Rechteprinzipalen und dessen Rechten, angeordnet nach Prinzipal. Zuordnung zu mehreren Rechteintegralen wird per logischem Oder ausgewertet, explizite Verweigerung dominiert. Jede Datei hat einen Besitzer, der ebenfalls ein Prinzipal ist. Zudem wird Vererbung unterstützt.

[want_to_know]

Okay, was hat da Rika grad geschirben?

Dieser Beitrag wurde von want_to_know bearbeitet: 21. September 2005 - 16:12

[Win-Fan]

Zitat (want_to_know: 21.09.2005, 17:10)

Okay, was hat da Rika grad geschirben?

Die Anleitung zur Reparatur des Warp-Antriebes, wie es Scotty dem Capt. Kirk erklären würde.
(Das Prinzip der "mehr Wissenden": Warum einfach wenn es auch kompliziert geht)


2 Punkte, kann ich warscheinlich auf die schnelle, auch ohne Tricorder zur Übersetzung, deuten.

=> Zu deinem Vorschlag des Benutzerrechte Thread`s wollte er wohl sagen, das es bereits genügend Anleitungen und Lesestoff dazu gibt, was man sich aber wohl auch wieder sparen kann, da die Rechteverwaltung in Windows selbsterklärend und ohne zusätzliche Anleitungen zu verstehen ist.
=> Und "explizite Verweigerung dominiert" bedeutet, das das setzen der Häkchen unter dem Punkt "Verweigern" in den Berechtigungen der Benutzer und Gruppen, immer Vorrang vor den gesetzten Rechten der Benutzer in dem Punkt "Zulassen" hat, worauf vorher durch eine Meldung nochmal hingewiesen wird (siehe Bild), und man sich so auch als Admin schnell selbst aussperren kann, und man z.B keinen Zugriff mehr auf Dateien hat (was aber auch wieder rückgängig zu machen geht). Also vorsichtig und überlegt beim setzen von Verweigerungen.

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von Win-Fan bearbeitet: 22. September 2005 - 03:38

[Rika]

Zitat

Die Anleitung zur Reparatur des Warp-Antriebes, wie es Scotty dem Capt. Kirk erklären würde.

Der dünne oder der dicke Scotty? :-)
BTW, den Warp-Antrieb zu reparieren kriegt jeder Halb-Trekki hin.

OK, dann nochmal langsam:
Wenn man Benutzerrechte von einem Benutzerprinzipal abhängig macht (d.h. keine Mandatory Access Controls, wo regelbasiert gearbeitet wird, z.B. Dateien nach einer gewissen Zeit die Zugriffsbrechtigung wieder verlieren), dann ist die Zuordnung von Benutzerprinzipal zu seinen Rechten als einfache Tabelle zu realisieren. Diese kann man, je nach Art der Auswertung, entweder nach dem Benutzerprinzipal ordnen (Access Control List = ACL, Wer darf Was?) oder nach den Rechten (Capabilities, Was darf Wer?). Windows NT verwendet ersteres.
Benutzerprinzipale sind Benutzer, Benutzergruppen (die aus mehreren Benutzern bestehen) oder System-Objekte (der Besitzer der Datei, die Gruppe aller per Login authentifzierten Benutzer, jeder auf diesem Computer, ...). Durch die Benutzergruppen, und auch durch die Vererbung der ACLs eines übergeordneten Objektes, können mehrere Einträge auf ein Benutzer zutreffen und werden dann entsprechend ausgewertet: Per Default wird alles verweigert. Sobald auch nur einer der Einträge etwas zulässt, dann ist der Zugriff erlaubt. Enthält auch nur einer der Einträge eine Rechteverweigerung, dann wird das Recht unabhängig von eventuell vorhandenen weiteren Erlaubniseinträger grundsätzlich verweigert.
Die Rechte, die Windows NT anbietet, sind auch klar:
Lesezugriff, Schreibzugriff, Erstellen von Dateien in einem Ordner, Anhängen von Daten an eine Datei, Änderung der Attribute, Änderung der Erweiterten Attribute (Komprimiert, Verschlüsselt, Indiziert), Anzeige der Benutzerrechte, Änderung der Benutzerrechte, Besitzübernahme an der Datei.
Zudem hat halt jede Datei einen Besitzer, der selbst ein Prinzipal ist und implizit alles darf.
Dann gibt's noch zwei Ausnahmen: Mit Adminrechten kann man den Besitz an jeder Datei übernehmen, egal, ob das erlaubt ist oder nicht, und kann sich damit auch alle Rechte an der Datei verschaffen. Und, nicht offiziell per GUI möglich und von Microsoft geleugnet, ist es als Admin auch möglich, den Besitz an einer Datei abzugeben.

Per Default sehen die Berechtigungen bei WinNT so aus:
Systemwiederherstellungsordner, einige Systemdaten = SYSTEM
Datenträger = Admin alles, Hauptbenutzer, Benutzer und Jeder nur Lesend, Ausführen
Benutzerverzeichnisse = der jeweilige Benutzer alles, andere Benutzer gar nix

In der Registry ist es ähnlich. Kurzum: Zusammen mit dem, was Benutzer dürfen, können sie maximal ihr eigenes Benutzerverzeichnis zur Sau machen, aber weder den anderen Benutzern noch dem System schaden.

Noch etwas: Das Ausführen-Recht ist rein informativ und wird nur von Shell32::ShellExecute() ausgewertet, d.h. es ist natürlich durchaus möglich, die Datei einfach mit einem anderen Programm in den Speicher zu laden und dort auszuführen. Und da jeder in seinem Benutzerverzeichnis sinnvollerweise neue Dateien erstellen können sollte, an denen er dann auch Besitz hat, bringt es auch nichts, dieses Recht überall forcieren zu wollen. Deshalb gibt's die seit Windows XP die Softwareausführungsrichtlinien, die unabhängig davon die Ausführungsberechtigungen verwalten.

[Win-Fan]

Zitat (Rika: 22.09.2005, 15:43)

Der dünne oder der dicke Scotty? :-)

Der dünne. Der dicke Scotty ist zu alt geworden, und wird warscheinlich nichtmal mehr richtig wissen was der Warp-Antrieb ist. Ist schon schlimm, die dicker gewordene und vergreiste Manschaft zu sehen.

[Graumagier]

Win-Fan sagte:

Der dünne. Der dicke Scotty ist zu alt geworden, und wird warscheinlich nichtmal mehr richtig wissen was der Warp-Antrieb ist.

Vor allem ist er seit knapp zwei Monaten tot...