Und die neuesten (Sicherheits)updates sind tatsächlich wichtig. Angriffe auf bekannte Sicherheitslücken erfordern kaum Fachkenntnis, dafür gibt es diverse Exploit-Frameworks. Und da Webseiten heute nicht einfach nur Webseite sind, sondern Inhalte von überall einbinden, hilft auch aufpassen nur bedingt.
Ich halte die Diskussion von "Sicherheitslücken" für Normalnutzer für überbewertet. Normalnutzer werden üblicherweise nicht über Zero-Day-Exploits gehackt (wenn sie überhaupt auf technischem Wege gehackt werden!).
Eine Standard-Windowsinstallation hat zwei massive Sicherheitslücken, nämlich:
a) Der Normaluser ist als Administrator unterwegs.
b) Dateien in den Userverzeichnissen können ausgeführt werden.
Das Updaten und Virenscannerinstallieren ist im Vergleich dazu lediglich ein Herumdoktern an Symptomen.
Ein gut administriertes System sollte zwei Bereiche haben
a) Den Programmbereich, der im Normalbetrieb schreibgeschützt ist. Nein, noch nicht einmal schreibgeschützt, sondern schreibsicher. Ich präzisiere das deswegen, damit keiner kommt und behauptet, daß die Benutzersteuerung UAC ja ein gewisser Schutz sei. Er ist in der Tat als Schutz nicht 0, aber der Schutz dürfte minimal sein.
b) Den Datenbereich, in den man logischerweise hineinschreiben können muß. Was dort allerdings hineingeschrieben wird, darf dort nicht ausführbar sein.
Sollte sich ein Leser schon einmal darüber gewundert haben, daß sich ein Programm völlig problemlos installieren ließ, obwohl er doch aus Sicherheitsgründen mit einem Benutzerkonto mit eingeschränkten Rechten unterwegs sei, der möchte einfach mal nachschauen, wo sich das Programm installiert hat. Im Programmverzeichnis wird er es nicht finden, dort darf der eingeschränkte Benutzer ja nicht schreiben. Er wird es in seinem Benutzerverzeichnis finden. Dort darf der eingeschränkte Benutzer schreiben und auch dort installierte Programme ausführen.
Das Dateisystem von Windows unterstützt das obige Konzept aus der Schachtel. Allerdings muß man es konfigurieren, und daran mangelt es (speziell beim zweiten Punkt).
Es hat mal Zeiten gegeben, in denen man in allen Gazetten die strenge (sachlich richtige!) Mahnung lesen konnte, man solle auch als Einzelnutzer zwei Konten anlegen, nämlich ein Adminstratorkonto, in das man sich nur einzeichnet, wenn man ein neues Programm installiert, und ein Benutzerkonto, das man üblicherweise zum Arbeiten mit dem Rechner nimmt. Diesen sinnvollen Hinweis habe ich schon lang nicht mehr gelesen, wohingegen man die treuherzigen Ermahnungen, auch nur ja immer nur die neuesten Softwareversionen einzuspielen und selbstverständlich auch einen Virenscanner, einem auf Schritt und Tritt begegnen, wenn man sich im Netz bewegt.
Den zweiten Punkt kennen praktisch nur Experten. Ich zitiere mal aus https://schneegans.de/windows/safer/ , einer Seite, die sicherlich nichts für den Normaluser ist:
*_SAFER.INF konfiguriert Windows so, daß Benutzer (also Nicht-Administratoren) Programme nur dort ausführen dürfen, wo sie keine Schreibrechte haben. Ein Benutzer kann somit ein Schadprogramm nicht zur Ausführung bringen, selbst wenn er wollte – wo er es ablegen kann, darf er es nicht ausführen, und wo er es ausführen dürfte, darf er es nicht ablegen.
Sehr viel Malware wird heruntergeladen und landet dann im jeweiligen Nutzerverzeichnis. Sie kann dort keinen Schaden anrichten, sofern das Downloadverzeichnis so konfiguriert ist, daß das Betriebssystem Dateien dort nicht ausführen darf. Das ist ein systematischer Schutz, der sehr viel wirksamer ist als der pragmatische Schutz durch einen Virenscanner. Der Virenscanner schaut die Download-Datei an, stellt möglicherweise fest, daß er gerade eine .exe untersucht, checkt seine Signaturen, findet nichts und läßt die Datei dann durch. Wenn der Virenscanner eine Malware nicht erkennt, ist sie im System. Der geschilderte Schutz funktioniert völlig anders: Man kann alles herunterladen, was man will, aber man kann es dort, wo man es als Normalnutzer speichern darf, nicht ausführen. Es wird überhaupt nicht geprüft, ob eine Datei gut oder böse ist, sondern da Ausführen wird generell blockiert, also zu 100%.
Unsere IT hält uns regelmäßig die sattsam bekannten Gardinenpredigten - aber vermutlich kein einziges System im Haus ist in der oben geschilderten Weise dicht. Ich kann völlig problemlos eigene Software installieren und auch zur Ausführung bringen, weil mein Nutzerbereich wie bei praktisch allen Windows-Rechnern nicht ausführungsgeschützt ist. Ich brauche das auch beruflich: Der Windows-Standard-Bildbetrachter beherrscht bestimmte Bildformate nicht, die uns regelmäßig zugeschickt werden. Also habe ich mir einen passenden Konverter installiert. Die Kollegen wissen das mittlerweile, ich konvertiere die entsprechenden Dateien für alle. Ich habe das Problem mal der IT gemeldet und angeregt, daß das Konverterprogramm auf allen Stationen installiert werde. Man hat mir daraufhin eine Gardinenpredigt in hoheitlichem Ton gehalten und beschieden, daß so etwas aus Sicherheitsgründen keinesfalls erwogen werden könnte. Man könnte mir allenfalls anbieten, im Einzelfall entsprechende Dateien einzureichen, wo sie dann fachmännisch untersucht und ggf. konvertiert werden können.
Ich brauche die Funktion jeden Tag, das wäre also unpraktikabel.
Ich habe mich höflich für die Aufklärung bedankt, habe mir meinen Teil dabei gedacht und konvertiere meine Dateien weiterhin in der bisher praktizierten Methode.
Wenn man alle Fenster des Hauses mit gutem Schwedenstahl vergittert, aber ein Fenster bei dieser Maßnahme vergißt, ist das nicht viel besser, als hätte man überhaupt keine Vorsorge getroffen.
Oben im Thread hat einer eine Script-Sammlung erwähnt, mit der man Windows härten könne. Das kann man in der Tat, aber ich würde es einem Normal-DAU nicht empfehlen, Scripte von unbekannten Seiten auszuführen. Ein x-beliebiges Programm kann gut oder böse sein (die allermeisten sind gut), ein x-beliebiges Script kann gut oder böse sein (die allermeisten sind gut).
Über das treuherzige Updaten und Virenscannerinstallieren werde ich dennoch weiter schmunzeln (was meinem Fanclub hier im Forum ohne Frage den Schaum vor den Mund treiben dürfte).
Im Januar 2024 ist Microsoft selbst einem Hackerangriff zum Opfer gefallen. Wenn nicht Microsoft, wer sonst hätte das aktuellste Windows auf seinen Geräten? Es hat ihnen nicht geholfen und sie laborieren immer noch daran herum.
