Kein Admin (Win7) im Alltag

Zitat von foo_on_air

Das kranke an der malware ist dass auch netzwerk shares betroffen sind. Das macht ein backup sehr aufwändig oder teuer. Wenn ich ein nas im lan habe ist das genauso gefährdet. Oder kann ich allein der backup software schreibrechte geben? Glaube nicht?! Oder ich bräuchte eine software die am nas rennt und von definierten verzeichnissen regelmässig ein backup macht. Gibt es sowas für win? Kontrollieren kann man da natürlich nix, mirroring wäre gefährlich.

Grundsätzlich ist es keine neue Entwicklung, auch andere Schädlinge haben etwaige Shares "verseucht". Für deinen Bedarf reicht eigentlich Windows Backup, ein normaler User hat keine Schreibrechte auf Backups. Die meisten NAS Hersteller bieten aber auch eine passende Software an (dsm ds,..).

Schlussendlich hilft alles nichts wenn dein Backup dann über die "sauberen" Daten kopiert.

Zitat von foo_on_air

Ich kenne viele programme die offensichtlich eine verbindung ins internet aufbauen und die win fw schlägt gar nicht an.

Die Windows Firewall hat von Haus aus viele Ausnahmen weil es sonst die meisten User einfach verwirren würde.
Zudem kommt dazu das jeder eine Ahnung von der Windows Firewall hat weil sie nicht komplett proprietär/geschlossen ist (man kann einfach Regeln hinzufügen).

Wenn man jetzt ein Programm installiert (an der UAC vorbei, die man natürlich akzeptieren muss) dann gibt man dem Programm natürlich auch alle möglichen Rechte und damit ist die Windows Firewall automatisch ausgehebelt.

3rd Party Firewalls sind immerhin nicht offen und man kann nicht einfach über irgendeine Schnittstelle Regeln hinzufügen (im Normalfall) und da es viele verschiedene gibt ist es recht unwahrscheinlich das genau deine speziell angegriffen wird (wäre aber durchaus auch möglich).



Eine HIPS Software verfolgt halt genau das typische Sicherheitsproblem "User installiert etwas" und checkt was du eigentlich machst, bzw. was die Software die du ausführst eigentlich macht. Problem ist im Normalfall (und der Grund warum das vermutlich noch nicht per Default in Windows integriert ist) dass es nicht trivial ist ein eigentliches Problem zu erkennen.

Woher soll ein Programm wissen das es jetzt "ok" ist dass Software XYZ die Registry Werte ABC verändert, oder Dateien 123 in Ordner 987 schreibt?
Das muss der User wissen, und natürlich setzt das auch voraus das der User weiß, was jetzt Registry Wert XYZ ist, oder ob es ok ist das die Software jetzt dort etwas hin schreibt.

Und oft ist es nicht einmal klar was für Rechte eine Software überhaupt wirklich benötigt. Programmierer sind da auch oft sehr "großzügig", sie nehmen sich halt mal gerne alles was sie bekommen können - "brauche ich dies und jenes Recht wirklich?" wird nicht oft überlegt, kostet ja Zeit und Wissen. "Besser man nimmt es mit, dann geht auch alles"
Ist ja bei Android Apps auch schon nicht einfach zu sagen "soll ich der App jetzt Zugriff auf meine Kontaktliste geben oder nicht!?".

Ein Durcheinander bei den Ordner-Berechtigungen ist schon entstanden. Der Versuch, einen Ordner zu öffnen, endete in einem Admin Prompt. Der angemeldete Standard-Benutzer hatte nicht die nötigen Rechte.

Ich erinnere mich an Backup & Restore von früher, als ich für tausende Ordner Berechtigungen neu setzen musste. Das hat ewig gedauert, die Attribute zu ändern und Besitzer-Rechte zu übernehmen. Dadurch, dass ich bisher als Admin gearbeitet habe, wird da etliches nicht stimmen.

Das NAS ist online, ab und zu läuft die Workstation parallel. Um mal schnell Dateien aufs Nas zu kopieren, ohne dass ein Trojaner löschen kann, wäre es toll, wenn ich Ordner-Rechte vergeben könnte, sodass nur das Kopierprogramm schreiben bzw. löschen kann. Ich weiß aber nicht wie das einzurichten ist.