Hallo trekkie
an dieser Stelle widerspreche ich dir, zumindest gibt es mehr als eine Ansicht dazu:
trekkie22 wrote:Du siehst, die Variante "Immer als Admin" und "Ohne Sicherheitsabfrage" ist die schlimmste. Du bekommst so nicht mehr direkt mit, daß da ein Programm mit Admin-Rechten läuft - wenn ein unliebsamer Bewohner Deines Rechners das Programm startet, hat er sich damit unbemerkt Admin-Rechte verschafft. Wenn dagegen der Haken bei "Für dieses Programm nicht mehr fragen" raus ist, kommt beim Programmstart die Sicherheitsabfrage, das Programm kann also nicht unbemerkt mit Administrativen Rechten gestartet werden.
Beide Haken zu setzen führt dazu, daß man sich ein potentielles Sicherheitsloch baut.
1. Wenn auf der Seite Programmfilter die letzte Option gesetzt ist, bekommt der Benutzer (berechtigt oder nicht) immer mit, wenn ein Programm mit erhöhten Rechten läuft.
2. Wenn jemand unberechtigter Zugang zum PC hat, hat der Besitzer ein viel größeres Problem, als daß der nun Programme mit erhöhten Rechten ausführen kann. Programm sind nur Werkzeuge, Mittel zum Zweck, der Knackpunkt sind die Daten. (Gäbe es einen Rechner ganz ohne Daten- inklusive Internet-Zugangsdaten, also völlig hypothetisch - wäre mir die Rechte-Frage völlig egal. Was sollte passieren?)
3. Wenn der unberechtigte so wie du das dargestellt hast ein Programm mit erweiterten Rechten durch einfachen Doppelklick startet (weil beide besagte Optionen entsprechend stehen) und die Rückmeldung (siehe mein Punkt 1) ist abgeschaltet, so würde er das gar nicht mitbekommen - es sein denn, er hätte so intime Kenntnisse über die Konfiguration meines PCs, daß die Frage, wo hier eigentlich die Probleme wirklich anfangen, erneut aufgeworfen werden muß. Es besteht also kein Risiko als das, das immer besteht, wenn jemand unberechtigt Zugang zu einem fremden Rechner hat.
4. Der einzige Schutz gegen genanntes Problem ist der, daß vor dem Start mit erhobenen Rechten eine Paßwortabfrage gestellt wird.
Der von dir geschilderte Fall 1 hat übrigens seine klare Daseinsberechtigung in Programmen, die notwendigerweise mit Admin-Rechten ausgeführt werden müssen und zusammen mit Windows starten. Wenn man hier nicht immer eingreifen will, gibt es gar keine andere Möglichkeit.
N.B. Neben den vielen, die völlig gedankenlos tagtäglich im Admin-Konto alles erledigen, was der PC so hergibt, gibt es nach meiner Beobachtung die andere Extremgruppe, die das Benutzen von Admin-Rechten für etwas aussätziges hält und vermeidet wie der Teufel das Weihwasser. Auch letzteres ist IMHO falsch und kann zu falschen Lösungen führen. (Ich habe unlängst jemanden gesprochen, der hat seine Utilities, also EXE-Dateien, mit Benutzerrechten irgendwo gespeichert und führt sie dort aus, nur um ja nicht den Dateimanager mit Admin-Rechten zu starten. Daß diese EXE-Dateien genauso wenig geschützt sind, als ob er sich als Admin angemeldet hätte, war ihm gar nicht aufgefallen.)
Bezogen auf SuRun: Startet ein Virus aus der Shell eines Benutzers, so hat es reduzierte Rechte; das ist der Sinn der Sache. Würde ein Virus versuchen, sich via SuRun als Admin zu starten, so gibt es die Abfrage (die bei jedem SuRun unbekannten Programm obligatorisch ist); folglich kann keine Schad-Ware sich selbst via SuRun automatisch mit erhöhten Rechten starten. Was zur Zeit noch fehlt, wäre eine MD5-Prüfung; allerdings sehe ich die als sekundär an, weil sich aus dem Benutzer/SuRunner-Konto eine EXE (ordnungsgemäß mit Admin-Rechten installiert), so einfach gar nicht austauschen läßt. Insofern ist "Für dieses Programm nicht mehr fragen" alles, nur keine Experten-Modus-Frage. Das Risiko, wenn aktiviert, ist theoretisch da, praktisch aber vernachlässigbar. Wer sich in gefährlicher Umgebung befindet, sollte zumindest die Paßwortabfrage aktivieren, wäre aber besser beraten, genauer auf die Konfiguration zu achten, mit der sich der Rechner nach einigen Minuten Pause selber sperrt - und / oder er gewöhnt sich an die Tastenkombination Win-L, wenn er von seinem Sessel aufsteht, dann kann gar nichts mehr passieren.