Keine Admin-Rechte = sicherere PCs


Was schwer nach Binsenweisheit klingt, wurde nun durch eine Analyse belegt: Arbeiten Anwender unter Windows 7 ohne Administratorenrechte, bleiben 90 Prozent aller Angriffe auf Windows-Sicherheitslücken wirkungslos. Im Fall von Microsoft Office sind es sogar 100 Prozent.

Laut einem Bericht des IT-Sicherheitsproduktherstellers Beyond Trust kann ein Großteil aller Sicherheitsprobleme in Microsoft-Produkten durch die Wegnahme von Admin-Rechten eingeschränkt werden. Beyond Trust untersuchte alle im Jahr 2009 von Microsoft veröffentlichten Security Bulletins für Windows, Office und dem Internet Explorer. Das Ergebnis fiel deutlich aus: 64 Prozent aller Sicherheitslücken könnten nicht missbraucht werden, wenn der gerade angemeldete Nutzer keine Admin-Befugnisse hat.

Unter Windows 7 werden so 90 Prozent aller als kritisch eingestuften Sicherheitslücken ausgekontert, im Fall von Office und dem Internet Explorer 8 sind es sogar 100 Prozent. Dass Windows 7 insgesamt besser abgesichert ist als beispielsweise Windows XP, geht ebenfalls aus dem Report hervor: Unter Windows XP lassen sich durch den Entzug der Administrator-Privilegien nur 62 Prozent der Angriffe auf Sicherheitslücken verhindern.

Interessant ist auch der hohe Wert von 87 Prozent in Bezug auf Remote Code Execution. Denn diese Königsklasse unter den Attacken – der Angreifer kann hierdurch beliebigen, eigenen Code auf dem PC des Opfers abarbeiten lassen – hätte nur in 13 Prozent aller Fälle Erfolg, würden die Admin-Rechte entzogen. Insgesamt bleiben mehr als vier von fünf (81 Prozent) aller in 2009 als kritisch eingestuften Schwachstellen ohne Wirkung, wenn der Anwender nur mit normalen Nutzerrechten arbeitet.

Auch wenn es nicht um Zero-Day-Exploits geht, gegen die ohnehin kaum ein Kraut gewachsen ist: Diese Zahlen machen deutlich, wie wichtig die korrekte Vergabe von Nutzerrechten ist. Denn in kaum einem Unternehmen werden die am Patch-Tag bereitgestellten Sicherheitsupdates sofort auf den Arbeitsstationen installiert. Nachdem Angreifer aber manchmal binnen Stunden nach Veröffentlichen der Updates durch Reverse-Engineering herausgefunden haben, wie die geschlossene Sicherheitslücke genau beschaffen und somit zu missbrauchen ist, kann nur durch umfassenden Schutz der PCs in der Zwischenzeit Schlimmeres verhindert werden. Andernfalls steigt das Risiko einer Infektion in der Zeit zwischen Veröffentlichung und Installation der Updates erheblich an. Zu den möglichen Schutzmaßnahmen gehört auch die Vergabe passender Rechte für die Anwender.

Quelle: Microsoft Sicherheits-Newsletter

Comments (16)

  1. NexusGR says:

    Da sieht man es mal wieder 🙂

    Macht es Sicherheitstechnisch einen Unterschied ob ich als Admin mit höchster UAC Stufe oder als Eingeschränkter User arbeite? Wenn ja, wo macht Admin+UAC das System unsicherer als nach wievor strickt ein getrenntes Anwender-Konto zu erstellen?

    Danke für die informativen News 🙂

  2. Daniel Melanchthon [MSFT] says:

    UAC ist keine Security Boundary in Windows. Es stellt keine Barriere dar wie zwei getrennte Usersessions. Wer die höchste Sicherheitheitsstufe haben will, sollte als  Standardbenutzer arbeiten und zur Rechteerhöhung sich mittels Fast User Switching mit einem administrativen Konto anmelden.

    Ob Du als Admin mit UAC in der höchsten oder zweithöchsten Stufe unter Windows 7 arbeitest, macht am Ende des Tages keinen großen Unterschied.

  3. Stefan says:

    schön, dass es jetzt eine offizielle studie gibt 😉

    unter anderen systemen ist dies einfache "su" schon ewig etabliert..

    man muss sich nur dran halten 😉

  4. Björn says:

    Gibt es einen "best practice"-Ansatz, wie dies unter Win7 realisiert werden kann?

    Die Variante mit Standardbenutzer und Fast User Switching sagt mir nicht so zu resp. Gibts dazu irgendwo eine schlaue Beschreibung?

    contact: Bgaechter@gmail.com

  5. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern künftig die

  6. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  7. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  8. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  9. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  10. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  11. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  12. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  13. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  14. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  15. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  16. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern