Super Eingeschränkt !
 

Hi ich möchte gern etwas erfahren. Ich möchte, dass das eingeschränkte Konto, nur fürs Internetzugang genutzt wird und fürs mediale z.B. Musik hören etc. Das man keine Programme öffnet oder gewisse Seiten nicht besucht werden können. Halt Total eingeschränkt :D

ähm also, würd mich auch freuen, wenn ihr mir ein paar Links geben, wo ich selber einbisschen bastele oder ein paar tipps und tricks :dummguck:

Wenn man keine Programme mehr öffnen könnte bräuchtest du den PC nicht mehr, immerhin is ja auch ein Browser ein Programm.
Das eingeschränkte Konto, verhindert aber z.B. das unerwünschte Installieren von Programmen oder Manipulation der Registry.
Jedoch kann man im eingeschränkten Konto jede Seite ansurfen, welche Seiten möchtest du den genau sperren?
Das Abspielen multimedialer Inhalte ist ohne Adminrechte ohne weiteres möglich, wenn das entsprechende Programm vorher installiert wurde.

Bitte konkretisiere mal deine Frage, so dass man dir eine genaue Antwort geben kann.
Das surfen ohne Adminrechte ist aber generell empfehlenswert.
Siehe auch www.noadmin.de

Sorry, hab eben nicht soviel Ahnung. Zum Beispiel unter Programme, dass man das nicht mehr öffnet und nur Media Player, Internetzugang, Antivir, Messenger, und weitere nützliche Programme sieht. Beispiel benutze ich ein HTML editor, das nicht unbedingt im eingeschränkten Konto erschint oder irgendwelche Codecs.

Ich möchte einfach nur, dass man nur den Desktop sieht und nur bestimmte Programme öffnen kann. Wie bei diesen ALDi PCs da, wo du nur Schreiben, Lesen, Surfen etc. kannst.

Detailliert genug? :o

Hi,
wenn Du C:/Dokumente und Einstellungen öffnest, siehst Du Ordner für Deine Benutzerkonten - also z.B. User1, User2, All Users.

Wenn Du "All Users" öffnest, findest Du unter Startmenü die Programme die alle Nutzer sehen. User1 - Startmenü, sieht seine Programme (Startmenü - User1) plus die aus All Users, usw.
Wenn User1 (Dein eingeschränktes Konto) nichts sehen soll, musst Du alle Programme + Ordner aus Startmenü für User1 + All Users ins Startmenü User2 verschieben.

Wenn es das war, was Du wolltest kannst Du es mal versuchen.

Aber melde Dich bitte, wenn Du feststellst, dass etwas nicht mehr tut. z.B. installiert sich ein AV-Programm immer unter "All User", sollen ja auch alle etwas davon haben, und ich weiß nicht was passiert, wenn Du den da raus nimmst (habs selbst noch nicht versucht).

karaya

richtig.

Außerdem beschäftige dich mal mit dem (standardmäß deaktivierten) Gast-Konto.

Mit dem Konto was auch standardmäßig deaktiviert bleiben sollte?

Warum diese seltsame Idee?

Microsofts Sicherheitshandbuch für Windows XP

Abschnitt: Einstellungen für lokale Richtlinien

Zudem:

http://www.microsoft.com/technet/sec...ry/911052.mspx

edit:

ist nicht seinerzeit Nimda über den Gastaccount ins Haus gekommen?

Unfug. Der jeweilige Nutzer durfte ihn schon selber anklicken. Nimda kam per Mail.
KeinWurm mit großer (temporärer) Verbreitung nutzt explizit den sehr selten aktivierten Gastzugang.

Ich sehe nirgendwo einen Zusammenhang zu einem Nichtbenutzen des Gast-Zuganges.
Natürlich UMBENENNEN und mit Passwort versehen (außer es soll wirklich ein "Gast"-Zugang her). Dies ist das A&O für alle aktiven Accounts, lernt man in der ersten Stunde (war schon vor 10 Jahren so), macht man in der Praxis aber nicht so furchtbar häufig (gilt nämlich auch für den anderen Default-Account namens "Administrator" und zeige mir den 08/19-Nutzer der unter XPHome-SP2 bewusst den Nutzer(!) "Administrator" überhaupt bemerkt. Was ich nicht sehe, kann ich nicht absichern.

Du solltest die von dir gelinkten Seiten auch durchlesen:
- es wird "irgendein" gültiger Account gebraucht
- mit dem "Gast"-Account (wenn aktiviert = gültig) ging dies nur unter ganz bestimmten Bedingungen und auch nur unter XP-SP1
"when you enable Simple File Sharing, the Guest account is also enabled and given permission to access the system through the network."
(jeder andere Account kann dafür aber auch benutzt werden.

Und jetzt hätte ich nun doch gerne eine Antwort auf meine Frage, die ich dir schon vor ein paar Tagen gestellt habe, bzgl deiner Signatur:
"Regelmässige Backups ... verringern die Gefahr dieses Board nutzen zu müssen signifikant."
Auch diesen Teilsatz verstehe ich nicht ganz :heulen:der andere Teilsatz ist aber durchaus wahr. :daumenhoc

Nimda verbreitete sich imho auch über Netzwerkfreigaben und in diesem Zusammenhang nutze Nimda den Gastaccount. Wie sonst liese sich erklären, dass Removaltools den Gastzugang deaktivierten?

...

Du rätst einem offensichtlich unerfahrenen User den Gastaccount zu nutzen ohne ihn im selben Atemzug daraufhinzuweisen, dass dieser Umbenannt und mit Passwort versehen werden muss?

Um so mehr muss man $USER auf die Besonderheiten hinweisen, vor allem wenn man selbst auf ein Standardkonto hinweist.

Ich lese nie was ich poste .....
BTW Du hast Dir das Sicherheitshandbuch für Windows XP durchgelesen?

Ob dies nur unter ganz bestimmten Umständen möglich ist, spielt überhaupt keine Rolle. Es bleibt die Tatsache, dass das Gastkonto ein Account ist, was wie Administrator und auch Supportxyz, standardmässig vorliegt und alleine deshalb schon eine Gefahr ist.

Man möchte ein Vollbackup von einer sauberen vollständigen Installation machen. Man möchte fortlaufend inkrementelle Backups der Datenpartition machen. Man möchte im Falle eines kompromittierten Systems das Vollbackup sowie das letze inkrementelle Backup der Datenpartition vor Kompromittierung des Rechners einspielen.

Ich hoffe ich konnte die Intention des ersten Halbsatzes meiner Signatur klar genug darstellen.

Gruß

MightyMarc

AFAIK jedes Sicherheitstool in der Richtung, sollte den Gastauccount auf Deaktivierung überprüfen. Primär kam Nimda per Mail, die Netzwerkfreigaben waren dann nur noch das Schmankerl, ein Gast hat normalerweise keine Schreibrechte, also nutzt der Zugang für solch einen simplen Nimda erst mal wenig.
Nicht ganz falsch, ich kann aber erst mal nicht immer alles reinschreiben, auf jeden Fall ist ein Gastaccount per se selbst mit Nutzername "Gast" und keinem Passwort extrem eingeschränkt und dadurch sicherer.
Warum? Wenn er mit Gastaccount - quasi ohne jegliche lokalen Rechte - sich was einfängt spielt der Name keine Rolle (auch das Passwort nicht), nur die momentanen Rechte. Nimmt er einen Account mit Namen "Geheim" und Passwort "weißkeiner" aber mit Benutzerrechten, dann hat die Malware eben schon normale Benutzerrechte!
schaut so aus
nein, du etwa? (schaut nicht so aus ;) )


Natürlich!
JEDES Konto stellt eine Gefährdungspotetial dar. :D
(Ohne Konto kein Zugriff)
Ein Gastkonto IST sicherer (da fast rechtelos), besser wäre zugegeben noch + umbennen + Passwort gewesen.
Der richtige Tipp oben von dir wäre also gewesen "Umbenennen und mit Passwort versehen" und definitiv nicht "deaktiviert lassen". Sicherheitsbuch, lesen, verstehen und umsetzen können.


Aua,
Lerne bitte erst einmal inkrementelles und differntielles Backup zu unterscheiden, sonst :heulen:
(mit inkrementellen Backups musst du Vollbackup + ALLE inkrementellen Backups in der richtigen Reihenfolge rückspielen.)

Und nein, 99,99999% würden trotz Backup hier nachfragen, wäre auch richtig und würde ich auch machen. Erst eine Abwägung Aufwand/Erfolgswahrscheinlichkeit/Gefahr führt zum sinnvollen Entscheidungsprozess.
Würdest du wegen einer kleinen lästigen (aber harmlosen) Adware gleich alle Backups einspielen? (Gut mit differntiellem Backup wären dies "nur" zwei Backups.) Statt was zu lernen und dein System auch abzudichten? Ein Backup VERHINDERT keinerlei Malwarebefall. :D deshalb meine Nachfrage, ansonsten wie schon bei meiner ersten Frage diesbezüglich, gute Sig.
Die Sig sigd man nur zu spät (sigd = bairsich führ "sieht")

:party:

Für's Archiv:

* Shadow pro Gastkonto
* MightyMarc dagegen

"Die Bezeichnung Gast in der Einstellung Konten: Gastkonto umbenennen ist ein weiterer Name, der Hackern wohlbekannt ist. Es wird empfohlen, auch für dieses Konto einen neuen Namen anzugeben, der in diesem Fall nicht auf einen Gastbenutzer hinweist. Auch wenn Sie dieses Gastkonto deaktivieren, was empfohlen wird, sollten Sie es zur größeren Sicherheit umbenennen."

Mea cupla. Da habe ich in der Tat Blödsinn getippt.

Imho ist das Einspielen eines Backups kein sonderlicher Aufwand. Ein Produktives System steht innerhalb kurzer Zeit wieder zur Verfügung. Ich will aber auch nicht die Leute davon abhalten, dieses Board zu nutzen. Ich denke nur, etwas Entlastung wäre nicht schlecht (so mein Eindruck).

Habe ich nie behauptet.

Unter Umständen lernt $USER lediglich, dass da so ein Forum gibt wo ihm geholfen wird, wenn er mal wieder fahrlässig seine Mühle zerschossen hat.

Habe ich nie behauptet. Aber Du wusstest eh, was ich meine ;)

Langsam, ich muss grad auch noch schwäbisch und spanisch lernen, wobei ich jetzt auch nicht sagen könnte was mir schwerer fällt....

€dit:

der Orthographie auf die Sprünge geholfen

Hallo Jungs, oh man ich wollte hier niemanden aufeinander hetzen :heulen:

Also ich hab folgendes heraussgefunden, ääähm nämlich nichts. Ob nun Ja oder Nein ist doch egal kann mir einer schreiben was ich jetzt machen muss? Oder soll ich die Seiten benutzen, die mir empfiehlt?

Egal ich nutze den Gastkonto weiterhin und installiere die Progs neu, dann kann ich nämlich aussuchen ob alles auf der Startleiste angezeigt werden soll oder nicht.

Danke