Sicherheit - Benutzer ohne Adminrechte in Windows sinnvoll?

[Hubble]

Liebe Kollegen

Aufgeschreckt von LutzHase und seinem Verschlüsselungstrojaner überdenke ich ein paar "Schwachstellen" in meinem System.
Eine davon ist, dass ich in Windows nur einen Benutzer habe und dieser die üblichen admin-nahen Rechte hat. Der PC wird (fast) immer nur von mir benutzt.
Ich hab jetzt gelesen wie ich das ändern kann, aber bin mir über Sinn und Unsinn nicht sicher. Google spuckt mir fast mehr Ergebnisse raus, wo das als unnötig bezeichnet wird. Das Konto habe eh nicht volle Adminrechte und die UAC schütze. Ich muss dann ja mit OK bestätigen. Kann das ein Trojaner nicht einfach selber bestätigen und sich so Rechte verschaffen? Mit einem separaten Adminkonto muss ja das Passwort eingegeben werden, was eine höhere Hürde ist oder nicht?

Ich akzeptiere schon etwas Minderkomfort, aber dieser sollte dann auch die Sicherheit erhöhen.

Angenommen ich erstelle ein lokales Adminkonto: Sollte ich mich dann nur via diesem auf der DS als Admin anmelden? Und ja, der heisst (noch) Admin... seit heute Nacht mit 2-Weg Authentifikation.

Ich hab noch mehr Themen und Punkte (z.B. VPN), aber möchte eins ums andere angehen.
Danke für deine Einschätzung. Ich nehme auch gerne Links entgegen, wo ich mich weiter einlesen kann.

 

[blurrrr]

Ist ganz einfach: "So wenig wie möglich, soviel wie nötig". Frage geklärt.

Das kannst Du eigentlich auf alles beziehen, ist nur immer der alte Kompromiss "Sicherheit vs. Bequemlichkeit".

 

[Synchrotron]

Kein "Admin" sollte so heißen.

Auf jedem Gerät, auf dem das möglich ist, sollte man ein Admin-Konto anlegen, plus ein oder mehrere Userkonten. Mehrere z.B. auf der DS, je nach Zugriffsgrund (z.B. einen um selbst mit Dateien zu arbeiten, einen für Musik, einen für Videos, einen für Fotos, einen für das Backup etc.). Man kann den normalen Usern eingeschränkte oder erweitere Rechte geben, so wie man es benötigt.

Gearbeitet wird immer nur mit den normalen Usern. Die Admins sind weitgehend inaktiv und werden nur dann benutzt, wenn sie benötigt werden. Jeder Admin hat einen anderen Namen und ein anderes PW, wo möglich zusätzlich 2FA.

Ein Trojaner kann auch mit einem normalen User auf ein Gerät gelangen (vor allem wenn darauf Windows und Office läuft). Aber um von dort aus weiter zu kommen benötigt er immer Admin-Rechte. Die kann er sich über einen Keylogger verschaffen, wenn sie eingegeben werden. Aber je länger es dauert, um so eher fällt die Infektion auf. Jeder weitere Admin mit wieder anderen Zugangsdaten ist eine nächste Hürde.

 

[NSFH]

Ransomware verschlüsselt alles was es sieht, dafür wird kein Admin Account benötigt.
Diese Accounts spielen nur eine Rolle, wenn systemübergreifende Speichermedien gesucht werden bzw ein erweiterter Zugriff stattfindet um Daten abzusaugen. Das wird bei den kleinen Synos eher nicht passieren. Hier vermutet kein Eindringling derart hochkarätige Infos das dieser viel höhere Aufwand gerechtfertigt wäre.

 

[ottosykora]

Mit einem separaten Adminkonto muss ja das Passwort eingegeben werden, was eine höhere Hürde ist oder nicht?

dafür weiss nun der qualifizierte Hacker oder seine SW das Password so bald du es eingibst...

 

[Hubble]

Vielen Dank für alle Reaktionen. Auch wenn ich jetzt nur bedingt schlauer bin. Ich werde wohl auch die Sache mit den funktionsdefinierten Benutzern angehen. Auch wenn das wieder zig mehr Passwörter gibt. Und mich an dieses andere Thema erinnert und dass ich immer noch nicht richtig weiss, ob ich mir einen solchen zulegen soll und was der alles können muss.

 

[Synchrotron]

Meine normalen User haben eher simple Passwörter. Wenn jemand auf meinem eigenen PC einen brute force Angriff fährt, ist schon mal einiges schief gelaufen.

Für meine Admins verwende ich starke Passwörter und einen PW-Manager. Blöd ist es auf dem PC, da muß ich sie immer noch eintippen (was ein Keylogger mitlesen würde). Elegant ist es auf dem MacBook Pro, mit Fingerabdrucksensor. Finger drauf, entsperrt, automatisch ausgefüllt, fertig. Das würde nicht mal ein Keylogger mit Bildschirmfoto knacken.

Da ich meine Admins nicht so oft benötige, und meistens Admin-Kram sammele und zusammen gefasst bearbeite, halte ich den Mehraufwand für gerechtfertigt. Führt auch dazu, dass man Zeit hat darüber nachzudenken, ob man dieses tolle Progrämmchen tatsächlich benötigt und installieren möchte.

 

[ottosykora]

dass ich immer noch nicht richtig weiss, ob ich mir einen solchen zulegen soll und was der alles können muss.

natürlich brauchst du einen normalen Benutzer der nicht admin ist. Das ist doch eine ganz selbstverständliche Sache. Ich kenne nichts anderes.

 

[ottosykora]

Fingerabdrucksensor. Finger drauf, entsperrt, automatisch ausgefüllt, fertig. Das würde nicht mal ein Keylogger mit Bildschirmfoto knacken.

aber dir ist schon bekannt, dass man biometrische Merkmale nur für Identifikation verwenden darf und nicht um irgendwelche Vorgänge automatisch zu starten verwenden darf?
Es ist halt nur bequem und darum bietet es die Industrie an, obwohl die Leute die es implementieren ganz genau wissen sie bauen da Bullshit, Management und Marketing verlangen es halt weil es die Konkurrenz auch hat.


Aber na ja, das geht in grundlegende Prinzipien von Sicherheitstechnik etc., dafür sind heute die wenigsten zu begeistern.

 

[ebusynsyn]

Ebenfalls aufgeschreckt durch die Fälle von Verschlüsselungen die hier diskutiert werden: Ich nutze mein NAS nicht (mehr) von Aussen. Ausser via VPN - das ich im Router eingerichtet habe. Im Router sind auch keine Portweiterleitungen eingerichtet. Die Firewall vom NAS habe ich, soweit ich das überblicke, gut eingerichtet. Ich fühle mich recht sicher, dass die hier kürzlich und heute zur Kenntnis gebrachten Fälle von Verschlüsselungen mir (hoffentlich) nicht passieren.

Und falls doch: Meine Backup-Strategie habe ich unlängst ebenfalls überarbeitet. Fürs Backup nutze ich sowohl die Synology Cloud, wie auch ein anderen Nas, das zu vorgegebenen Zeiten ein Backup zieht, sich danach herunterfährt und automatisch vom Netz geht (stromlos ist). Alle 14 Tage mach ich bewusst ein händisches Backup auf eine dritte NAS. Händisch darum, weil ich mich dann auf dem Haupt-NAS anmelden muss und so erkennen würde, ob sich was negatives ereignet hat.

Jetzt kommts: Da auch ich zur Zeit ausschliesslich im Homeoffice arbeite, könnte mein Geschäftsnotebook (Windows, Privat nur Mac) eine Schwachstelle sein. Denn dieses hängt auch am 'normalen' WLAN. Käme ein Mail von einem Hacker und würde ich dieses anklicken, wäre ich wohl geliefert. Oder?

Idee: Für die berufliche Tätigkeit ein Gast-WLAN einrichten. Würde das was bringen?

 

[Synchrotron]

Klar, Fremdgeräte in ein abgetrenntes Netz nehmen, ist keine schlechte Idee. Das typische Gast-WLAN ist komplett getrennt, eine eigene Welt für sich. Mal eben was drucken geht dann nicht, muss aber vermutlich auch nicht sein. Man kann mit entsprechender Technik (Switche) auch das Heimnetzwerk segmentieren, Stichwort VLAN.

Bei aller Absicherung: Das Risiko durch Phishing-Mails lässt sich durch die Absicherung nach außen nicht eliminieren. Gilt ebenso für Programm- oder anderen Downloads aus obskuren (dafür aber kostenlosen - Geiz ist geil - Quellen). Wenn die Aktivität von innen angestoßen wird, helfen die meisten Maßnahmen nichts. Da hilft nur Aufmerksamkeit und Nachdenken.Das Backup ist die letzte Rückfallebene, für den Fall der Fälle.

 

[Synchrotron]

aber dir ist schon bekannt, dass man biometrische Merkmale nur für Identifikation verwenden darf und nicht um irgendwelche Vorgänge automatisch zu starten verwenden darf?

Die Unterscheidung ist ziemlich dünn:
Fingerabdrucksensor an einer Tür: Positive Erkennung, Tür wird entriegelt. Identifikation oder automatischer Vorgang ?

 

[ebusynsyn]

Wenn die Aktivität von innen angestoßen wird, helfen die meisten Maßnahmen nichts. Da hilft nur Aufmerksamkeit und Nachdenken.Das Backup ist die letzte Rückfallebene, für den Fall der Fälle.

Wahre Worte gelassen ausgesprochen.

Vielen Dank!

Das Gast-WLAN ist nun aktiv. Wieder ein Baustein zur Sicherheit.

PS: Der heimische Drucker kommt für den geschäftlichen Einsatz sehr selten zum Einsatz. Falls doch, gibt es Lösungen (Druck PDF, Mail an mich, drucken)

 

[Jens H]

Gibt es eigentlich Ports, die besonders "gefährlich" sind, wenn sie offen sind? Ich frage deswegen, weil selbst wenn ich nur mittels VPN auf meine Diskstation zugreifen kann, dann muss ja zumindest der VPN-Port offen sein. Was macht es dann für einen Unterschied, ob zusätzlich auch noch die Ports für DiskStation und für Webmail und eine Homepage offen sind?
Gilt 2 offene Ports = doppelte Wahrscheinlichkeit für einen Eindringling? Ist für den potenziellen Eindringling nicht Username und Passwort der Flaschenhals? Oder anders gefragt: Wenn der Hacker über irgendeinen Weg das Passwort rausfindet, macht es dann einen Unterschied ob nur der Port 4711 oder nur der Port 0815 offen ist?

 

[ottosykora]

Fingerabdrucksensor an einer Tür: Positive Erkennung, Tür wird entriegelt. Identifikation oder automatischer Vorgang ?

ist ein automatischer Vorgang durch biometrisches Merkmal ausgelöst.
Absolut falsche Anwendung von Biometrie.
Der Installateur der Einrichtung hat keine Ahnung von seiner Arbeit, hat noch nie eine minimale Ausbildung in seinem Beruf erhalten.

Es *muss* noch ein Geheimnis dazu kommen, sonst ist es völlig, also zu 100% wertlos. Eine seriöse Sicherheitsfirma wird so was nie installieren. Und wenn ja, dann zeigt sich wie seriös diese Firma ist. Und wenn ein Kunde so was unbedingt haben will, dann lässt man ihn unterschreiben dass informiert worden ist und weiss dass diese Einrichtung keinerlei Sicherheitsfunktion hat und nur der Bequemlichkeit dient.

Grundsätzlich gilt:
Biometrische Merkmale sind allen bekannt und zugänglich. Als meine Fingerabdrücke stehen der ganzen Welt uneingeschränkt zur Verfügung und jeder kann daraus beliebig Daten extrahieren wie er will, genau so kann mich jeder sehen und auch abbilden etc.

 

[blurrrr]

Fingerabdruck und die Tür geht auf? Dann lass uns mal ein Bier trinken gehen (aber nicht wundern, wenn ich das Glas mitnehm)

Biometrische Merkmale sind allen bekannt und zugänglich.

Ein schönes Beispiel dafür (Fingerabdruck und Iris sind ja eh schon durch) sind u.a. die "Handvenenscanner" (wo man jetzt meinen könnte, dass diese ganz besonders sicher wären, da sich die Venen "in" der Hand befinden und von aussen nicht abgreifbar erscheinen). Auch hier wurde schon mittels "Foto" (mittels Infrarot) verwertbares Material zum Nachbau geschaffen (Google spuckt da auch gern näheres zu aus). Fakt ist jedenfalls, dass die Systeme, welche u.a. mittels Biometrie identifizieren, in der Regel mehrstufig sind (z.B. Chip/Karte + Pin + Biometrie), oder mehrere biometrische Merkmale erfordern (2+ wäre da noch die minimale Stufe). Oftmals sitzt dann aber sowieso noch wer daneben, der die Personen kontrolliert, so dass man auch erst garnicht ungehindert/unüberwacht an entsprechende Systeme kann.

@Jens H Bestimmte Ports die besonders gefährlich sind? Nein, mit den Ports selbst hat das eher nichts zu tun, sondern vielmehr mit den Diensten die dahinter stehen. Dienste wie z.B. Telnet, Samba und Co. sollten besser nicht direkt aus dem Internet erreichbar sein (die haben natürlich ihre entsprechenden Ports und nach denen wird auch entsprechend oft gescannt). Wenn die Möglichkeit eines VPN besteht, sollte diese auch entsprechend genutzt werden. Sollen Dinge für Dritte (ohne VPN-Zugang) im Internet bereitgestellt werden, wird man um offene Ports nicht herum kommen. Je nachdem, um was es sich handelt, macht es ggf. Sinn, diese Dinge auf einen anderweitigen Server im Internet auszulagern (z.B. Website). Was den Datenaustausch angeht, so kann man durchaus auf kostenlose Möglichkeiten (oder auch bezahlte) zurückgreifen, die üblichen dürften ja bekannt sein. Alternativ kann man sich auch einen eigenen vServer dafür anmieten. Ist aber auch nur meine bescheidene Meinung ?

 

[Synchrotron]

Ist eigentlich ganz einfach: Mal ins Paketzentrum gehen und alles anschauen. Was muß tatsächlich - weil es benutzt wird - installiert sein ? Den Rest deinstallieren, ohne Gnade. Kann man sich alles wieder drauf laden, wenn man es mal in Betrieb nehmen will. Was nicht installiert ist, kann auch keine Sicherheitslücke haben.

Nächster Schritt: Systemsteuerung, alles durchgehen, was Dienste angeht. Alles abschalten, was man nicht aktiv benutzt. AFP ? FTP ? rsync ? SSH ? Wem das böhmische Dörfer sind, der braucht sie auch nicht. Aktivierte Dienste durchsehen, ob man Sicherheitseinstellungen hochstellen kann (z.B. SMB - Zugriff auf frühere Versionen nicht zulassen / sonst ist SMB1 aktiv).

Nächster Schritt: Im Router und auf der DS alles abschalten, was sich selbst Zugänge von außen oder nach außen konfiguriert. Zuerst weg mit UPnP und WPS. Faustregel: Ist es komfortabel, ist es auch gefährlich. Dann die vorhandenen Zugänge überprüfen, möglichst löschen. Wenn es im Router dicht ist, kann es auf der DS noch offen sein, ist dann nicht mehr direkt erreichbar. Übrig bleiben darf nur, was auf der DS (oder anderswo im Netz) aktiv ist und ordentlich abgesichert.

Jetzt - weil es jetzt überschaubar geworden ist - die paar übrigen Zugänge, Dienste und Programme einzeln überprüfen bzgl. Aktualität, Einstellungen (Passworte, 2FA etc.) und Absicherung, u.a. durch die Firewall oder Zertifikate. Das sollte man regelmäßig wiederholen, am besten einen festen wiederkehrenden Termin setzen. Wenn nur läuft, was muß, ist das kein Hexenwerk.

 

[blurrrr]

Ich ergänz nochmal, weil es grade wieder so schön passt: PDCA-Zirkel ?