.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Keine Admin-Rechte = sicherere PCs

Keine Admin-Rechte = sicherere PCs

  • Comments 16
  • Likes

Was schwer nach Binsenweisheit klingt, wurde nun durch eine Analyse belegt: Arbeiten Anwender unter Windows 7 ohne Administratorenrechte, bleiben 90 Prozent aller Angriffe auf Windows-Sicherheitslücken wirkungslos. Im Fall von Microsoft Office sind es sogar 100 Prozent.

Laut einem Bericht des IT-Sicherheitsproduktherstellers Beyond Trust kann ein Großteil aller Sicherheitsprobleme in Microsoft-Produkten durch die Wegnahme von Admin-Rechten eingeschränkt werden. Beyond Trust untersuchte alle im Jahr 2009 von Microsoft veröffentlichten Security Bulletins für Windows, Office und dem Internet Explorer. Das Ergebnis fiel deutlich aus: 64 Prozent aller Sicherheitslücken könnten nicht missbraucht werden, wenn der gerade angemeldete Nutzer keine Admin-Befugnisse hat.

Unter Windows 7 werden so 90 Prozent aller als kritisch eingestuften Sicherheitslücken ausgekontert, im Fall von Office und dem Internet Explorer 8 sind es sogar 100 Prozent. Dass Windows 7 insgesamt besser abgesichert ist als beispielsweise Windows XP, geht ebenfalls aus dem Report hervor: Unter Windows XP lassen sich durch den Entzug der Administrator-Privilegien nur 62 Prozent der Angriffe auf Sicherheitslücken verhindern.

Interessant ist auch der hohe Wert von 87 Prozent in Bezug auf Remote Code Execution. Denn diese Königsklasse unter den Attacken – der Angreifer kann hierdurch beliebigen, eigenen Code auf dem PC des Opfers abarbeiten lassen – hätte nur in 13 Prozent aller Fälle Erfolg, würden die Admin-Rechte entzogen. Insgesamt bleiben mehr als vier von fünf (81 Prozent) aller in 2009 als kritisch eingestuften Schwachstellen ohne Wirkung, wenn der Anwender nur mit normalen Nutzerrechten arbeitet.

Auch wenn es nicht um Zero-Day-Exploits geht, gegen die ohnehin kaum ein Kraut gewachsen ist: Diese Zahlen machen deutlich, wie wichtig die korrekte Vergabe von Nutzerrechten ist. Denn in kaum einem Unternehmen werden die am Patch-Tag bereitgestellten Sicherheitsupdates sofort auf den Arbeitsstationen installiert. Nachdem Angreifer aber manchmal binnen Stunden nach Veröffentlichen der Updates durch Reverse-Engineering herausgefunden haben, wie die geschlossene Sicherheitslücke genau beschaffen und somit zu missbrauchen ist, kann nur durch umfassenden Schutz der PCs in der Zwischenzeit Schlimmeres verhindert werden. Andernfalls steigt das Risiko einer Infektion in der Zeit zwischen Veröffentlichung und Installation der Updates erheblich an. Zu den möglichen Schutzmaßnahmen gehört auch die Vergabe passender Rechte für die Anwender.

Quelle: Microsoft Sicherheits-Newsletter

Comments
  • Da sieht man es mal wieder :)

    Macht es Sicherheitstechnisch einen Unterschied ob ich als Admin mit höchster UAC Stufe oder als Eingeschränkter User arbeite? Wenn ja, wo macht Admin+UAC das System unsicherer als nach wievor strickt ein getrenntes Anwender-Konto zu erstellen?

    Danke für die informativen News :)

  • UAC ist keine Security Boundary in Windows. Es stellt keine Barriere dar wie zwei getrennte Usersessions. Wer die höchste Sicherheitheitsstufe haben will, sollte als  Standardbenutzer arbeiten und zur Rechteerhöhung sich mittels Fast User Switching mit einem administrativen Konto anmelden.

    Ob Du als Admin mit UAC in der höchsten oder zweithöchsten Stufe unter Windows 7 arbeitest, macht am Ende des Tages keinen großen Unterschied.

  • schön, dass es jetzt eine offizielle studie gibt ;-)

    unter anderen systemen ist dies einfache "su" schon ewig etabliert..

    man muss sich nur dran halten ;-)

  • Gibt es einen "best practice"-Ansatz, wie dies unter Win7 realisiert werden kann?

    Die Variante mit Standardbenutzer und Fast User Switching sagt mir nicht so zu resp. Gibts dazu irgendwo eine schlaue Beschreibung?

    contact: Bgaechter@gmail.com

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern künftig die

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  • Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment