Windows: Fehlende Administratorrechte stopfen 94% aller Sicherheitslücken!

Gerade sind mir einige erhellende bis brisante Sicherheitsinformationen in die Hände gefallen. Ich habe einen Bericht mit Zahlen, wie gut SPAM-Kampagnen (z.B. zur Verteilung von Ransomware) funktionieren. Und noch brisanter: Gut 94% aller Sicherheitslücken, die sich auf Windows-Systemen oder in Microsoft-Software ausnutzen ließen, liefen ins Leere, wenn den Leute Administratorrechte entzogen würden und Nutzer sowie Admins unter Standard-Benutzerkonten arbeiten würden.


Anzeige

Gelegentlich stößt Du auf eine Information und dann fallen Puzzlesteine ins Bild und Du siehst klarer. Ist mir vor ein paar Tagen so gegangen – aber erst mal einige Vorbemerkungen. Wenn ich hier im Blog die Sicherheitsartikel so durchgehe, drängt sich der Eindruck auf, dass Windows-Nutzer alle paar Tage durch Malware heimgesucht werden. Bei einigen Leuten – leider auch in Firmen – ist das so. Erpressungstrojaner, die Kliniken oder Firmen lahm legen. Millionen-Beträge, die durch Phishing abgezogen werden, Trojaner, die System ausspionieren – alles ist dabei.

Vorbemerkung: Man sollte als Admin unter Standardkonten arbeiten

Und dann gibt es noch zwei Fundstellen hier im Blog, die ich explizit erwähnen will. Mitte Januar hatte ich den Beitrag Windows: Benutzerkontensteuerung (UAC) unsichtbar, der auf ein Problem mit der Benutzerkontensteuerungsanzeige abhob. Dort wird ein leidiges Problem angesprochen, welches manche Anwender plagt (die UAC-Anzeige klappt nicht richtig). Und es gab den Beitrag Erebus Ransomware und die ausgetrickste UAC, wo darauf hingewiesen wird, dass die Standard-Einstellungen der Benutzerkontensteuerung bei Administratorkonten ein Sicherheitsrisiko darstellen können (mit Tricks lässt sich die Nachfrage der UAC beim Administratorkonto umgehen).

Ich hatte im letztgenannten Beitrag darauf hingewiesen, dass auch Administratoren aus Sicherheitsgründen nur unter Standard-Benutzerkonten arbeiten sollten. Das halte ich seit Windows Vista so (unter Windows XP war das kaum möglich) und predige das auch in meinen Büchern. Nur ganz wenige administrative Aufgaben erfordern wirklich die Anmeldung unter einem Benutzerkonto aus der Gruppe der Administratoren.

Wie erfolgreich ist eigentlich das Phishing-Zeugs?

Kern- und Angelpunkt im Hinblick auf Sicherheit sind (neben gepatchten Sicherheitslücken) natürlich auch Fragen der Art "wie erfolgreich sind Spam-, Phishing- und Malwaretising-Kampagnen"? Dass Cyber-Kriminelle Massenmails mit infizierten Anhängen oder Links auf kompromittierte Webseiten aussenden, ist die eine Geschichte. Dass Nutzer darauf hereinfallen, die andere Seite. Wenn niemand das Zeugs beachtet, würden solche Angriffe ins Leere laufen.

Vom Sicherheitsanbieter Arvecto ist mir ein Report mit dem Thema Know your threats series: Social engineering in die Finger gefallen. Der Report lässt sich als PDF-Datei abrufen, die Leute wollen aber ein paar Anmeldeddaten. Die Analyse ist ganz interessant, hat die Autorin des Reports doch Untersuchungen anderen Sicherheitsdienstleister mal zusammen gefasst. Hier ein paar Kenndaten zu Phishing und Sozial Media-Angriffe.

  • Im ersten Quartal 2016 nahm die Zahl der Phishing-Sites und des resultieren Spam-Aufkommens um 250% gegenüber dem Vorjahresquartal zu. Die Phishing-Marktführer sitzen übrigens in den USA.
  • Von The McAfee Labs gibt es einen Threats Report, der warnt: Von 10 Phishing-E-Mails, die Angreifer aussenden, ist eine erfolgreich – also eine Trefferrate von 10%.
  • McAfee hat einen Test gefahren und 10 reale E-Mails mehr als 19.000 Leuten mit der Frage vorgesetzt, ob diese E-Mails gefährlich oder bedenkenlos zu öffnen seien. Ergebnis: 80% der Probanden fielen mindestens auf eine der gefakten Phishing-Mails in der Stichprobe herein.
  • Der 2016 Data Breach Investigations Report legt ähnliche Daten offen. Verizon berichtet, dass 30% der Phishing-Mails geöffnet werden. Und gut 12% der Nutzer erlauben die Ausführung eines Angriffs, weil auf einen Anhang oder einen angegebenen Link geklickt wird.
  • Symantec gibt an, dass jede 220te verschickte E-Mail wohl Malware enthält und jede 1.846te Nachricht ist eine Phishing-Mail.

Der Arvecto-Bericht enthält noch eine Reihe weiterer Informationen. Quintessenz ist, dass der Nutzer die Schwachstelle darstellt.


(Quelle: Avecto Report)

Über die "doofen User" zu lamentieren, hilft nicht. Man kann als IT-Sicherheitsbeauftragter oder Administrator versuchen, die Leute zu erziehen, muss aber immer damit rechnen, dass dieses schwächste Glied der Kette bricht.


Anzeige

94% der kritischen Microsoft-Sicherheitslücken ohne Adminrechte wirkungslos

Die Bombe platzt aber in einem zweiten Avecto-Report mit dem Titel 2016 Microsoft Vulnerabilities Study: Mitigating risk by removing user privileges. Auch dieser Report ist gegen Angabe einiger Daten als PDF-Dokument abrufbar. Hier die Kernaussagen:

  • Die Analyse der am Patchday (jeden 2. Dienstag im Monat) herausgegebenen Security Bulletins des Jahres 2016 ergab, dass 94% der kritischen Microsoft Sicherheitslücken wirkungslos blieben, wenn dem Nutzer Administratorrechte entzogen wurden. In 2015 waren es erst 85% der Sicherheitslücken, die nur mit Adminrechten nutzbar waren.
  • Selbst bei nicht als kritisch eingestuften Sicherheitslücken im Jahr 2016 ließen sich 66% ohne Administratorrechte nicht ausnutzen.
  • 100% der im Internet Explorer aufgedeckten Sicherheitslücken waren ohne Administratorrechte nicht ausnutzbar.
  • 99% der für Microsoft Office gemeldeten Sicherheitslücken blieben wirkungslos, wenn die Nutzer keine Administratorberechtigungen hätten.
  • Insgesamt wurden 530 Sicherheitslücken für 2016 gemeldet, im Vorjahr lag die Anzahl mit 524 geringfügig darunter. Aber gegenüber 2013 gibt es eine Zunahme der Sicherheitslücken von über 60%.
  • Das von Microsoft als neuestes und sicherstes Betriebssystem beworbene Windows 10 hat übrigens die höchste Anzahl an gefundenen Sicherheitslücken. Windows 10 wurde 395 Mal genannt, 46% häufiger als Windows 8 und Windows 8.1 mit je 265 Sicherheitslücken.
  • 93% der kritischen Windows 10-Sicherheitslücken würden ebenfalls ins Leer laufen, wenn die Leute nicht mit Administratorrechten unterwegs wären.

Wenn man sich also die obigen Zahlen und die Details aus den verlinkten Reports mal anschaut, liegt der Ball eindeutig im Feld der Administratoren (und der Feierabend-Admins), die ihre Maschinen nur richtig konfigurieren müssten. Wer meint, ohne Kontenkennwort unter einem Administratorkonto – möglicherweise noch unter dem Build-In Konto Administrator – arbeiten zu müssen, dem ist nicht mehr zu helfen. Wenn eine Klinik durch Ransomware lahm gelegt wird, weil ein IT-Mitarbeiter eine Phishing-Mail mit Anhang geöffnet hat, zeigt dies, dass die Leute unter Administratorkonten unterwegs sind (oder extrem sorglos agieren).

Fazit: Administratoren könnten die Welt ein gutes Stück sicherer machen, wenn sie Anwendern die Admin-Rechte unter Windows entziehen und selbst unter eingeschränkten Benutzerkonten arbeiten. Per UAC lässt sich ja bisher fast alles an administrativen Aufgaben erledigen – man muss hat mehr klicken.

Anmerkung von mir: Leider wird sich das mit Windows 10 zum Schlechteren entwickeln. Denn hier arbeitet Microsoft kräftig daran, dass die Leute gezwungen werden, unter Administratorrechten zu arbeiten, da, dank Apps und Modern UI bestimmte Sachen nur noch unter Administratorkonten funktionieren (UAC fehlt). Aber das thematisiere ich mal separat – hier der Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit? Weitere Details findet ihr in den verlinkten Reports. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

28 Antworten zu Windows: Fehlende Administratorrechte stopfen 94% aller Sicherheitslücken!

  1. Frank Hammerschmidt sagt:

    Ich finde den letzten Absatz, ehrlich gesagt, doof. Erst mal was behaupten, was dem Leser eventuell im Kopf bleibt. Ob sich das dann später "das thematisiere ich mal separat" auch wirklich bewahrheitet, spielt schon gar keine Rolle mehr.

    Ansonsten: volle Zustimmung zum Artikel.

    Gruß, Frank

  2. Al CiD sagt:

    UAC war schon immer und ist immer noch eine Krücke, die eine grundlegend strukturelle Lücke aus (ur-)alten Zeiten zu verstecken versucht… ein nicht wirklich vorhandene, sprich praktikable, Multiuser-Struktur für den Normalo.

    Viele der Programme erfordern bzw. verlangen administrative Rechte um überhaupt oder vernünftig zu funktionieren… eine Errungenschaft die auch MS gefördert hat und teilweise vorgelebt hat, die sich im Laufe der Zeit als Quasi-Standard etabliert hat.

    Abgesehen davon erfordert(e) das Windowssystem regelmäßig Operationen am Herzen um dieses zurecht zu rücken und das geht nur mit entsprechendem Zugriff: FixIt, CCleaner, sonstige Systemoptimierer… die Leute haben sich daran gewöhnt.

    • JohnRipper sagt:

      "Viele der Programme erfordern bzw. verlangen administrative Rechte um überhaupt oder vernünftig zu funktionieren… eine Errungenschaft die auch MS gefördert hat und teilweise vorgelebt hat, die sich im Laufe der Zeit als Quasi-Standard etabliert hat."

      Das ist in zweierlei Hinsicht Quatsch:
      a) Moderne Programme kommen sehr gut mit den regulären Rechten aus, sofern die Programme nicht explizit auf Wartung o.ä. ausgerichtet sind. Wenn ein Programm aber unnötigerweise Adminrechte benötigt (bspw. ein PDF-Creater, Daten-Verwaltungsprgramm, Office-Tool, o.ä.), dann ist er einfach nur schlecht programmiert und die Vorgaben von MS werden nicht eingehalten. Man sollte auf ein entsprechendes Programm dann verzichten.
      b) Daran ist aber nicht MS Schuld. Schon seit Jahren werden im Technet u.ö. Quellen die korrekten Prozeduren beschrieben. Einige Entwickler halten sich nur nicht daran, sodass man es ihnen beibringen muss. Diese Programm müssen sterben (und tun es auch zunehmend).

      "die Leute haben sich daran gewöhnt."
      Eben genau deswegen hat ein Admin-Account in den Händen eines Standardbenutzer nichts verloren. Den Nutzen von CCleaner und sonstige "Systemoptimierer" habe ich noch nie verstanden.

  3. Andreas sagt:

    Ich habe seit Vista immer ein AdminKonto als Nutzer für tägliche Arbeiten,weil ich ehrlich gesagt faul bin jedes Mal ein Passwort einzugeben.Ich nutze jetzt Windows 8.1.

    Nennt es Glück,aber mir ist noch nie der Rechner mit Viren befallen oder Ramsonware verschlüsselt wurden.

    Ich achte darauf was ich im Internet und bei E-Mails und Programmen anklicke und runterlade und prüfe mit Avast Antivirus und externen Tools den Rechner regelmäßig auf Viren.Und ich speichere meine persönlichen Daten auf einen USB-Stick als Backup.

    Ich werde ab jetzt aber lieber zwei Konten führen.Danke für den Beitrag und einen schönen Sonntag noch.

    • John Ripper sagt:

      Ich kann sowas nicht verstehen.

      Für was genau benötigt man für die tägliche Arbeit einen Account mit Admin-Rechten.
      Genau, gar nicht.

      Keiner meiner Nutzer hat Admin-Rechte und es gab noch nie Beschwerden. Vielmehr dürfen Nutzer noch nicht mal Software ausführen, die ich nicht installiert habe (genau genommen keine Software die nicht in "ProgramFiles" liegt). Und auch hier gab es noch nie Beschwerden.

      Also wo genau schränkt einen ein Nicht-Admin-Account ein?

  4. Peter sagt:

    Was ist, wenn man unter einem Administrator-Account arbeitet, aber die UAC ganz hochgeschoben hat?
    Reicht das auch um 94% aller Sicherheitslücken zu stopfen?
    Oder muss es wirklich ein Standard-Benutzerkonto sein?

    • HansS sagt:

      Das mache ich auch so, es würde mich aber auch interessieren, warum das nicht sicher sein sollte. Voraussetzung ist natürlich, dass der Benutzer die UAC-Einstellung nicht ändert, weil ihm die ständigen Sicherheitsabfragen lästig sind, oder die Abfrage leichtsinnig mit "Ja" beantwortet, ohne sich zu vergewissern, welche Anwendung gerade Admin-Rechte anfordert.

      • JohnRipper sagt:

        Objektiv ist das vielleicht sicher.
        Subjektiv würde ich sagen, dass die Überwindung Admin-Accountdaten entsprechend höher ist wie "nur mal wieder" auf "Ja" zu klicken.

        Auch hier stehe ich einfach nicht wozu man Admin-Rechte im normalen Umfeld braucht.

    • Günter Born sagt:

      Kann ich final nicht ganz beantworten – ad hoc würde ich sagen "reicht". Aber wie viele Leute haben den Regler ganz hoch geschoben? Und bleibt das bei Windows-as-a-service auch erhalten? Zeigt doch schon, dass der Teufel im Detail liegt.

    • André sagt:

      ja das reicht, weil man wegen UAC ja den filtered Token bekommt und der hat effektiv Standardbenutzerrechte

      • Günter Born sagt:

        Aus dieser Sicht hast Du Recht. Mein Problem geht eher in Richtung "vom Bauchgefühl her traue ich genau diesem Ansatz keinen mm". Warum?

        – In der Standardeinstellung – eine Stufe nach unten bei UAC-Level – ist die im "Erebus-Beitrag" beschriebene UAC-Bypass-Methode anwendbar. Bei Standardkonten läuft der Ansatz dagegen ins Leere!
        – Gehe ich auf Windows as a service, müsste ich bei jedem Feature-Upgrade (eigentlich bei jedem kumulativen Update) prüfen, ob der Regler nach der Installation noch in der gewünschten Stellung steht.

        Diese Kombination halte ich persönlich für kritisch. Die Erfahrung zeigt, dass so was selbst bei sehr peniblen Anwendern irgendwann vergessen wird. Denn eines darf man nicht vergessen: Die Majorität der Leute setzt auf Windows als Arbeitspferd, mit dem man arbeiten will oder muss. Zwischenzeitlich habe ich zu prüfen, ob Updates durchlaufen, ob die Privacy-, App-Einstellungen etc. erhalten geblieben sind, ob alle Geräte funktionieren und ob nicht neue Bugs in der neuen Build hinzugekommen sind.

        Man mag mir jetzt wieder Aluhut-Trägertum vorwerfen. Aber ich bin zu lange im Geschäft und habe zu viele Pferde vor der Apotheke kotzen sehen! Es wird hier herumgeschwurbelt um ein Problem, welches ich schlicht bei Verwendung eines Standard-Kontos nicht habe!

        Daher meine Empfehlung: Legt euch für normale Arbeiten und für die Masse der Administrationsaufgaben ein Standard-Benutzerkonto an. Darunter arbeitet ihr. Und nur Funktionen, die zwingend den Kontext eines Administratorkontos benötigen, werden unter einem solchen Konto ausgeführt. Ich muss immer lange nachdenke, bis ich solche Funktionen benennen kann, die per filtered Token nicht klappen (beim Upgrade von Win 8.1 auf Win 10 musste der Assistent unter einem Admin-Konto aufgerufen werden, und die globalen Einstellungen zum Brennen von optischen Medien benötigten ein Admin-Konto, mehr fällt mir ad hoc nicht ein, gibt aber wohl noch ein, zwei weitere Funktionen, warum auch immer).

        Ein separates Admin-Konto, welches kaum benutzt wird, hat noch einen weiteren Vorteil: Geht das Profil des Standardkontos kaputt und es ist keine Anmeldung mehr möglich, kann man das Admin-Konto zur Reparatur verwenden.

        • André sagt:

          "In der Standardeinstellung – eine Stufe nach unten bei UAC-Level – ist die im „Erebus-Beitrag" beschriebene UAC-Bypass-Methode anwendbar."

          Deshalb sage ich ja immer, Regler auf höchste Stufe stellen um Vista Level zu haben.

          Der Regler wird sich nie verstellen, hatte ich noch niemals. kA wie du auf diese abstruse Theorie wieder kommst.

          "Daher meine Empfehlung: Legt euch für normale Arbeiten und für die Masse der Administrationsaufgaben ein Standard-Benutzerkonto an. Darunter arbeitet ihr. Und nur Funktionen, die zwingend den Kontext eines Administratorkontos benötigen, werden unter einem solchen Konto ausgeführt."

          Und das führt zu Problemen, hatte ich bei 2000/XP genug. Wenn man Programme über extra Admin account installiert, landen Einstellungen für HKCU beim Admin und dann passt das beim normalen Account nicht mehr.

          Die UAC kombiniert beide Accounttypen in einem. Normal hat man Standardbenutzerrechte, wenn man Adminrechte will/benötigt, muss man die Abfrage bestätigen.

          "Ein separates Admin-Konto, welches kaum benutzt wird, hat noch einen weiteren Vorteil: Geht das Profil des Standardkontos kaputt und es ist keine Anmeldung mehr möglich, kann man das Admin-Konto zur Reparatur verwenden."

          dafür gibt es den versteckten/deaktivierten Adminaccount.

          Du solltest wirklich mal suchen ob du meinen alten Beitrag zu der UAC noch in einem Cache findest. Da hatte ich das alles erklärt. Du hast wie 99,9% der Nutzer die UAC nicht verstanden und hast nur abstruse Pseudo Theorien um deinen Sicht zu bestätigen.

          • Günter Born sagt:

            André: Mit ein paar deiner Argumente könnte man sich ja beschäftigen – aber so einiges in der obigen Argumentation ist – na ja. Konträre Positionen sind gut – ist ja das Ziel des Blog-Beitrags.

            Aber: W2K/XP kann ja nicht Erfahrungsbasis für die Diskussion über Benutzerkontensteuerung sein – oder habe ich was übersehen. Die Sache mit HKCU sehe ich auch noch nicht – für Admins liegen die Einstellungen schon im richtigen Profil – für Standardbenutzer hat der Wissende Lösungsmöglichkeiten. Build-In Konto "Administrator" freischalten, dürfte die meisten Leute überfordern. Und die Frage, ob sich ein UAC-Regler bei Windows as a service niemals verstellt "weil eine Erfahrung" vorliegt – die Gegenposition aber als "abstruse Theorie" abzutun – wie belastbar ist das? Wir sind da auf dem Pfad des Glaubens …

            Ich halte die von mir gegebene Empfehlung nach wie vor für die Masse der Leute als den besseren Weg – nutze ich seit Windows Vista eigentlich problemlos.

            Die Vorstellung: Man müsste den Regler umstellen – dann ist alles gut – von der Theorie bin ich d'accord …

            Und die Praxis? Irgendwann steht eine Neuinstallation/Rücksetzen auf Werkseinstellungen an – es sind tausend Sachen zu beachten und dann wird UAC vergessen …

            Mehr brauche ich wohl nicht zu sagen. Du bekommst das auf die Reihe, da mache ich mir keine Sorgen. Aber ich sehe schlicht die 1.000 anderen Nutzer, die in der Praxis von anderen Sorgen geplagt werden. Und genau da soll der Blog-Beitrag schlicht eine Diskussion anstoßen.

          • André sagt:

            XP/2000 ist korrekt, weil die UAC mit Standardkonto und Passworteingabe identisch zu 2000/XP arbeitet ("over the shoulder", aber da weißt du ja auch wieder nicht was das ist).

            Auch das HKCU Problem verstehst du nicht. ja die liegen dann beim Admin, weil das Setup als admin lief, da gehören sie aber nicht hin, man will sie ja später als normaler Nutzer benutzen und dann sind sie nicht da, weil sie im Admin Hive liegen. So schwer zu verstehen?

            Mein Tablet hat das Update von 8.1 auf 10 (nun 1607) überstanden ohne dass der regler wieder auf die 2. Stufe zurück gestellt wurde.

            Fazit: Du verstehst nicht wie die UAC arbeitetet, reimst dir was zusammen und pochst weiter darauf, dass UAC ja böse ist, weil du sie nicht verstehst.

          • Tim sagt:

            "Auch das HKCU Problem verstehst du nicht. ja die liegen dann beim Admin, weil das Setup als admin lief, da gehören sie aber nicht hin, man will sie ja später als normaler Nutzer benutzen und dann sind sie nicht da, weil sie im Admin Hive liegen. "

            Jopp… das muss man leider so bestätigen.

            Trifft auch häufig Spieler, die es mal mit einem eingeschränkten Konto versuchen wollten und an dieser Hürde scheiterten. Immer wieder hin und her wechseln, ist einem halt irgendwann zu blöd und einiges läuft eingeschränkt mal so überhaupt nicht…

            Die Frage ist nun natürlich, obs nicht ganz einfach eine Frage der Entwickler ist, die Windows Regeln ignorieren und schlampig arbeiten… aber das Problem hat am Ende halt der Nutzer.
            Wie viele Probleme werden wohl dadurch ausgelöst, das man eben ein eingeschränktes Konto verwendet?

            Man denke mal daran das schon die UAC Bestätigung viele Menschen nervte… warum auch immer… jetzt sollen die auch noch den Kontotyp ständig bei Bedarf wechseln?
            Hier hätte Microsoft schlicht und einfach reagieren müssen und die geschichte entsprechend anpassen, damit genau dieses Problem verschwindet.

          • André sagt:

            @Tim,

            das liegt teilweise an Entwicklern, die ihre Programme nach dem Setup starten, dort Einstellungen anlegen. Da Programme die Rechte von dem Elternprozess erben, läuft es da als Admin und so landen die Daten im Hive des Admins und wenn man es später normal startet fehlen die Daten (Lizenz, sonst Einstellungen).

            "Hier hätte Microsoft schlicht und einfach reagieren müssen und die geschichte entsprechend anpassen, damit genau dieses Problem verschwindet."

            der Fehler war halt, dass die MMC Benutzer-Gruppen weiter den Nutzer als Teil der Admingruppe darstellt, das versteht halt keiner.

  5. Andreas sagt:

    Warum bietet Windows den Standardbenutzer nicht schon bei der Installation an?

    Bei Linux klappt es besser mit dem Nutzerrechten(su root usw.)

    • Peter sagt:

      Das liegt meiner Meinung nach (leider) daran, dass Linux i.d.R. von Cracks (Freaks im Positiven gemeint ;-) ), oder zumindest von technisch Interessierten, installiert wird, wohingegen Microsoft bei Windows die Gratwanderung machen muss, dass auch ein Supermarkt-PC nach dem Einschalten des Rechners, ohne vorheriges Studium des Handbuchs 'laufen' und auch von Einsteigern administrierbar sein muss.

    • André sagt:

      ist er doch, wenn man UAC an lässt und den Regler ganz hoch schiebt (Vista Level)

  6. Dieter Schmitz sagt:

    "Ich hatte im letztgenannten Beitrag darauf hingewiesen, dass auch Administratoren aus Sicherheitsgründen nur unter Standard-Benutzerkonten arbeiten sollten. Das halte ich seit Windows Vista so und predige das auch in meinen Büchern."

    Hallo,

    wie kann ich denn ein OPTIMAL eingerichtetes Admin-Konto in ein normales User-Konto vervielfältigen?

    Wenn ich ein neues Konto anlege, hat das nur nutzlose Standardeinstellungen.

    Wandele ich ein Admin-Konto in ein User-Konto um, muss ich erneut ein Admin-Konto anlegen UND erneut optimieren.

    WARUM bietet Microsoft keine Möglichkeit, ein OPTIMAL eingerichtetes Konto zu vervielfältigen?

    • Günter Born sagt:

      Falscher Ansatz! Ich lasse das Admin-Konto beim Aufsetzen der Maschine anlegen – da wird nichts optimiert oder was auch immer, brauche ich nicht. Es liegen lediglich der Editor als Verknüpfung und der Explorer auf dem Desktop. Danach richte ich mein Standard-Benutzerkonto ein, unter dem ich arbeite. Da habe ich dann meine Tools verknüpft.

      Das Admin-Konto hat nur noch den Zweck, für die UAC die Freigabe der administrativen Tokens zu bewerkstelligen. Die zwei Mal, die ich im Jahr wirklich mal am Admin-Konto angemeldet bin, weil was unter dem Standardkonto mit UAC nicht klappt, sind dann zu vernachlässigen. Ich führe die administrative Aufgabe mit Bordmitteln aus, melde mich wieder ab und gut ist. Keine Notwendigkeit, da irgend etwas zu "optimieren".

  7. Thomas D. sagt:

    Moin Moin,

    Wenn auch reichlich verspätet, das gibt es.
    Soweit Ich weiß über DISM.
    Aber etwas umständlich.
    Ich habe es aufgegeben.

    Ich fahre auch seit Jahren mit dem Ansatz das Ich mir 2 Konten erstelle nach der Erstanmeldung.

    Neu-Installationen mache Ich folgendermaßen:
    – Netzwerk NICHT verbinden
    – Durchlaufen lassen bis zum angeben des namens.
    – SHIFT und F3 drücken für Sysprep
    – Standard Update Pakete anwenden und Standard Programme installieren

    Die UAC ist dabei aus, was, ja ich stimme dem zu!, angenehmer ist.

    – Nachdem alles was offline geht inkl defender installiert und aktualisiert wurde, Sysprep zuende laufen lassen.
    – Neustart und LAN rein / WLAN key rauskramen
    – Dummy Account angeben und durch rödeln lassen
    – 2 Konten anlegen:
    – Einmal Admin
    – Einmal Standard

    Mein Admin Konto, da melde Ich mich einmal an und richte nur ein das Ich ALLES sehen kann, das wirkt sich nämlich auf RunAs aus.

    Und meinen StandardBenutzer.
    Den Erst erstellten Dummy Benutzer deaktiviere Ich, Ich traue dem nicht überm Weg.
    (der OriginalAdmin z.B. hat IMMER die SSID 500 soweit Ich weiß und ist darüber aufrufbar und angreifbar –> deswegen ist der Hackbar. Ich habe nicht überprüft ob die erst accounts nicht ähnlich "belastet" sind. Ein bißchen Aluhut schadet nicht unbedingt..)

    Dann richte Ich mir meinen Standard Benutzer ein.
    Wenn jetzt eine Anfrage nach AdminRechten kommt, gebe Ich mein ADM PW ein und ende.
    Bis auf die NACHFRAGE klappt das immer.
    Auch mit den Settings.
    Nur manche Spiele wollen aktiv für Updates als Admin gestartet werden *grr*.
    Aktuelle Titel :-(

    Aber das ist alles.

    Nur mein Sohn grollt das er seine Spiele nicht so updaten und installieren kann wie er will :-)

    Aber wenn "mich" "jemand" nach meinem PASSWORT fragt reagiere "Ich" anders als wenn Ich einfach nur bestätigen muss.
    Auch bei anderen (Mutter, Schwiegermutter, Bekannte, Nachbarn,…) ergibt das "nur" Probleme wenn etwas upgedatet werden muss.
    Da die meisten das aber nicht hinbekommen muss ich ran.
    Ich gebe einfach deren Admin PW ein, das Ich identisch habe mit deren PW, eine Lücke ja, aber Ich will die nicht entmachten, und es klappt.
    Nebenbei gibt es etwas Schulung und bei Sachen die mehr als 4mal vorkamen brauchte Ich nicht mehr ran :-)
    Die meisten Leute haben KEIN INTERESSE an IT und deren Hintergründe.
    Es muss funktionieren.
    Und wenn das dösige Passwort hilft das "man" nicht übernommen wird, aber bei Sachen die der Nutzer WILL nur eingegeben werden muss..
    Die Leute bei mir sind froh.

    Ich führe das primär auf ein paar Punkte zurück:
    Ich erkläre den Grund.
    Ich zeige ihnen life das sie selber neues installieren können.
    Ich bin bei Problemen da :-)

    • Günter Born sagt:

      Danke für die Ergänzung. Zufall: ich war gestern noch auf dem Beitrag – der ist nach wie vor aktuell.

      Diese Vorgehensweise mit RunAs oder UAC wird spätestens bei Windows 10 an seine Grenzen kommen, wenn administrative Aufgaben über die Einstellungen-App auszuführen sind. Da muss man unter einem Administratorkonto angemeldet sein, um die Optionen überhaupt angezeigt zu bekommen.

Schreibe einen Kommentar zu Dieter Schmitz Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.