[WIN-Fried]

Wirklich? Auf diesem Pfad installieren?
Auf die Idee wäre ich nie gekommen.

WIN-Fried

[ShadowHunter]

Wenn ich jetzt z.b bei D:\Programme noch einen ordner mache für diese speziellen Programme nennen wir ihn mal "Extra" ist ja egal, und diesem auch für einen Benutzer passende Rechte geben dürften die Programme ja gehen. Win-Fan meinte nur eben, dass dadurch das Sicherheitsrisiko steigt, was hältst du davon?
Weil ob das jetzt in meinem Homeordner ist wo ich volle rechte hab oder einem andren ordner auf D: z.b ist ja recht egal!

Zitat

es gäbe noch die möglichkeit für den zeitpunkt des installierens dem benutzer admin-rechte zu geben und dann wenn das programm einmal gestartet wurde, wider zu nehmen. das ist aber auch sehr unsauber.

Inwiefern unsauber, ok bisschen umständlich aber worauf beziehst du dies 8)?

[Win-Fan]

Zitat (ShadowHunter: 12.04.2006, 13:55)

Wenn ich jetzt z.b bei D:\Programme noch einen ordner mache für diese speziellen Programme nennen wir ihn mal "Extra" ist ja egal, und diesem auch für einen Benutzer passende Rechte geben dürften die Programme ja gehen.

Das Problem dabei ist ja nichtmal der Programmordner selbst (egal ob unter c: oder d:), sondern mögliche Systemdateien im Windowsverzeichniss auf die der Benutzer keinen Zugriff hat bzw. Registrypfade auf die er nicht zugreifen bzw. schreiben kann/darf.

Zitat

Win-Fan meinte nur eben, dass dadurch das Sicherheitsrisiko steigt, was hältst du davon?

Ich bezog mich dabei eigentlich auf deine Aussage bzw. deinen Vorschlag, Berechtigungen für die ein Benutzer keine Berechtigungen hat, manuell zu ändern.

Dieser Beitrag wurde von Win-Fan bearbeitet: 12. April 2006 - 13:06

[WIN-Fried]

Und wer kennt ein "Klicki-Bunti-Administrator-Progrämmchen"?

WIN-Fried

[ShadowHunter]

Zitat

Das Problem dabei ist ja nichtmal der Programmordner selbst (egal ob unter c: oder d:), sondern mögliche Systemdateien im Windowsverzeichniss auf die der Benutzer keinen Zugriff hat bzw. Registrypfade auf die er nicht zugreifen bzw. schreiben kann/darf.

Die sollten aber doch auch weiterhin erhalten bleiben diese Zugriffsverweigerungen oder?
Mirc.exe hat halt vollen zugriff und nutzt seine .dll oder was auch immer darin is oder eine .log file, alles aus seinem eigenen ordner, sollte "eigentlich" ja keinen schaden anrichten können!

[ShadowHunter]

bin jetz leicht verwirrt blick nicht ganz durch deine Bemerkungen durch aber:

Ich möchte ihn nicht verschieben sondern weiterhin meine Programme auf D: installieren wie schon seit eh und je, da ich dies für besser erachte. Mit den meisten geht dies ja auch.
Ich möchte also MIRC (nur als beispiel) nicht in c:\dokumente und einstellungen\$benutzerx$\programme
sondern in d:\programme installieren, weil auf c eigentlich nur mein system und treiber sind.
Wenn ich dem "d:\programme" die gleichen rechte wie "c:\dokumente und einstellungen\$benutzerx$\programme" zuweise sollte dies ja gehen und ist doch im prinzip genau das was du vorgeschlagen hast nur ein anderer ordner, oder mache ich da was falsch?

Die Einstellungen sind ja kein Thema, einmal im Benutzer das Programm gestartet und eingstellt passt das ja.

um meine Verwirrung 8) zu konkretisieren:

Zitat

per default ist der programmeordner von "xp read" only für mitglieder der gruppe benutzer.

welchen programme ordner meinst du genau? und was genau mit "xp read"

Zitat

einige programme versuchen dort ihre einstellungen usw zu schreiben. im idealfall speichen die programme aber ihre(sollten zumindest) einstellungen ins benutzerprofil

dort = wo? aus dem 2.satz: wo speichern sie die einstellung im benutzerprofil genau? (so pfadangaben wären praktisch dann weiss ich vlt genauer was du meinst ^^)

Zitat

sollten jetzt die prgramme in das $progs$ verzeichnis schreiben wollen, dann müsstest du deinen alternativpfad manipulieren. das ist aber nicht sinn und zweck der übung. und nur weil der benutzer in seinem homeverzeichnis volle recht hat, heißt das noch lange nicht, dass er "volle" rechte hat.

Welches progs verzeichnis genau meins tdu? wieso müsste ich ihn manipulieren, was hat er denn damit zutun?
wenn er ja nur dort volle rechte hat und sonst ja nicht "volle" rechte, ist doch alles in ordnung oder nicht?

Zitat

aber welchen teifgründigen sinnmacht macht es, den $progs$ pfad nach d: zu veschieben? und dort dann schreibrechte einzurichten finde ich sehr bedenklich!

Ich verschieb ihn ja nicht ich lege nur von vornherein fest, programme auf d: zu installieren und wieso bedenklich?

Das ganze soll keine Kritik sein 8) auch wenn es so klingt, ich kann dir nur nicht ganz folgen, was ja an mir und nicht dir liegt!

[Win-Fan]

Zitat (shiversc: 12.04.2006, 14:16)

ich denke du hast nicht verstanden, warum man einen solchen aufwand betreiben sollte? was würde es für einen sinn machen, einen einfachen nutzer im system/windows ordner schreiben zu lassen?

Es macht wenig bis keinen Sinn, da es Sicherheitstechnisch bedenklich ist, ich weis.
Aber ich glaub du hast mich da jetzt auch etwas missverstanden.
Ich meinte damit nicht das man Berechtigungen die man im Programmverzeichniss benötigt, entsprechend ändern soll, sondern ich bin jetzt davon ausgegangen das "per default" die Berechtigungen in diesem Verzeichniss nicht das eigendliche Problem währen und das Benutzer dort schon ausreichend Rechte hätten.
Hab mich aber scheinbar getäuscht.

ShadowHunter sagte:

welchen programme ordner meinst du genau? und was genau mit "xp read"

Er meint "C:\Programme", und mit "xp read"=nur "lesen"-Rechte.

Zitat

dort = wo?

Na "C:\Programme"

Zitat

Ich verschieb ihn ja nicht ich lege nur von vornherein fest, programme auf d: zu installieren und wieso bedenklich?

Mit "tiefgründigeren Sinn" meint er warscheinlich den Sinn im allgemeinen, warum du deine Programme überhaupt unter D: installierst? Denn z.B. deine Spielstände, oder sonstige persönliche Programmdaten oder Backupdateien und dergleichen wirst du ja bestimmt ohnehin immer manuell sichern für den Fall eines Systemchrash`s. Also macht die Installation der Programme in einer anderen Partition wenig Sinn.
Und die meisten Programme müssen für eine "korrekte Funktionsweise" nach einer Neuinstallation von Windows (z.B. nach Systemchrash), ohnehin wieder erneut installiert werden, da die Systemdateien im Windowsverzeichniss neu installiert und Registry-Einträge neu gesetzt werden müssen.
Und ob du diese dann nun drüber installierst oder gleich neu, bleibt sich dann egal.


Und bedenklich deswegen, weil es dann das selbe bedenkliche Verhalten wäre als wenn du unter c: deine Berechtigungen an Systemverzeichnissen manuell anpasst.

Dieser Beitrag wurde von Win-Fan bearbeitet: 12. April 2006 - 14:09

[Rika]

@ShadowHunter: Der Zugriff auf ein Programm, das nur von einem verwendet wird, ist ungefährlich, aber dann kannst du Programm ja auch gleich in %userprofile%\bin installieren.

Wenn mehrere Benutzer, insbesondere ein Admin darauf zugreifen, ist das Problem aber offensichtlich. Die Malware in einem infizierten Account schreibt in ein Programm und ein anderer Benutzer führt es aus, infiziert sich damit auch. Und wenn der Benutzer ein Admin war, dann hast du verloren.

Versuche also in solchen Fällen so wenig Zugeständnisse wie nur irgendwie möglich zu machen.

[ShadowHunter]

So zumindest etwas Verwirrung beseitigt. Ich habe diese Partitionierung auch aus Ordnungs und Übersichsgründen gewählt, deßhalb sei mal die komplette erwähnt:
C: Windows (habe ich nur mein System und Treiber installiert)
D: Programme (Alle Programme z.b Winamp, da ich bei einer Neuinstallation das Programm nicht extra neu einstellen muss, sondern lediglich installieren und den alten Ordner drüberkopiere, was mir Zeit spart)
E: Spiele (siehe Programme)
F: Daten (Hier befindet sich z.b auch der "Eigene Dateien" Ordner)
G: Auslagerungsdatei (erklärt sich von selbst)
H: Daten2 (eine 2.Platte in der auch ein seperater TempOrdner ist)

Ich versuche mal eure Ansätze so zusammenzufassen wie ich es verstanden habe und korrigiert mich bitte:

1. In Zukunft meine Programme als Administrator installieren (dann bereits einmal starten oder erst als benutzer?) und diese in den Ordner C:\Programme installieren oder in C:\Dokumente und Einstellungen\User installieren?

2. Dieser Ordner sollte keinen Vollzugriff gewähren sondern nur zum Lesen sein. Was ist aber mit den Programmen die nicht funktionieren bzw. die z.b log dateien schreiben oder ähnliches? diese müssen ja schreibrechte kriegen

3.

Zitat

du kannst mich gern kritisieren, bedenke aber, dass es für mich keinen plausiblen grund gibt, eine extra partition zu für programme. natürlich kann man diese partition wegen der rechte angleichen. aber das ist wiedersprüchlich.

Ich wollte damit nur sagen, dass es obwohl es so klingt keine Kritik sein sollte bin ja um jede Hilfe froh 8)

4.

Zitat

windows xp und zugehörige weitverbreitete programme haben eben nicht immer was mit userfreundlichkeit zu tun, wenn man halbwegs sicher sein will, bzw die grundlagen eines sicherheitskonzeptes verwirklichen will. beschwert euch bei den herstellern und verbannt sie vom system. nur die wenigsten sind nicht zu ersetzen.

leider traurige Tatsache ich merks, kann jedoch nocht nicht komplett auf linux oder ähnliches umsteigen. Hab jedoch vor nach dem Abiturstress jetz dann mich weiter in die System einzuarbeiten, ob ich Windows jedoch komplett verbannen kann ist fragwürdig.

5.
Wie würdet ihr bei so einem Problem wie mit Photoshop vorgehen? Mirc ist ersetzbar 8) ik

Also ganz einfach zusammen gefasst:
Wo soll ich in Zukunft genau meine Programme installieren und wie (ob admin/benutzer und wann starten)?
Und wie soll ich mit so Problemen umgehen wie mit Photoshop wenn sich keine Alternative finden läßt

Danke für die klasse Hilfe ^^


edit:@Rika

Zitat

@ShadowHunter: Der Zugriff auf ein Programm, das nur von einem verwendet wird, ist ungefährlich, aber dann kannst du Programm ja auch gleich in %userprofile%\bin installieren.

Wenn mehrere Benutzer, insbesondere ein Admin darauf zugreifen, ist das Problem aber offensichtlich. Die Malware in einem infizierten Account schreibt in ein Programm und ein anderer Benutzer führt es aus, infiziert sich damit auch. Und wenn der Benutzer ein Admin war, dann hast du verloren.

Versuche also in solchen Fällen so wenig Zugeständnisse wie nur irgendwie möglich zu machen.

Welchen Ordner meinst du da genau? Könntest ihn mir mit Pfadangabe schreiben? wäre klasse danke.

Also ich habe hier nur ein Admin und ein Benutzerkonto, der Admin arbeitet eigentlich nur, wenn er es auch soll z.b irgendwelche Anpassungen am System oder so, fürs Surfen und Arbeiten wird das Benutzerkonto verwendet. Somit sollte sich maximal der Benutzeraccount infizieren können.

Dieser Beitrag wurde von ShadowHunter bearbeitet: 12. April 2006 - 16:36

[Win-Fan]

Zitat (ShadowHunter: 12.04.2006, 17:29)

G: Auslagerungsdatei (erklärt sich von selbst)

Eigentlich nicht, denn diese Partition scheint sich auf der selben Platte (wie Windows) zu befinden was meines erachtens weder an Geschwindigkeit noch sonst irgend ein Vorteil bringt.

Dieser Beitrag wurde von Win-Fan bearbeitet: 12. April 2006 - 16:49

[ShadowHunter]

Nein, hätte erwähnen sollen diese ist auch auf der 2.S-ATA Platte 8) Fat16

[Rika]

@ShadowHunter: Photoshop ist immer ein riesiges Problem, weil der AdobeLM-Dienst ein Privilege Escalation ermöglicht und ohne den PS gar nicht läuft. Hier hilft nur ein geeigneter verifizierter *****, der per ** angefragt werden kann.