Antivirus für Windows

[Heretic]

Ich machs aber auch nicht. Das ist irgendwie eine Entscheidung, die man direkt beim frischen Aufsetzen eines Systems treffen sollte. Ansonsten wird es mühsam und ich bin da leider faul. Aber prinzipiell ist es best practise!

Geht mir genauso. Es wäre schön, wenn man sein mühsam über die Jahre eingerichtetes Admin-Konto einfach kopieren und den Klon dann in ein lokales Konto umwandeln könnte. Wenn jemand weiß, ob und wie das geht - bitte posten!

[GoodLord]

Ich machs aber auch nicht. Das ist irgendwie eine Entscheidung, die man direkt beim frischen Aufsetzen eines Systems treffen sollte. Ansonsten wird es mühsam und ich bin da leider faul. Aber prinzipiell ist es best practise!

Geht mir genauso. Es wäre schön, wenn man sein mühsam über die Jahre eingerichtetes Admin-Konto einfach kopieren und den Klon dann in ein lokales Konto umwandeln könnte. Wenn jemand weiß, ob und wie das geht - bitte posten!

Du kannst dein Konto doch einfach in ein nicht- Adminkonto wandeln oder(vorausgesetzt du hast ein anderes Adminkonto eingerichtet)? Wofür kopieren?

[JonathanKelt]

Ein lokales Userobjekt kann in Windows nicht kopiert werden - im Gegensatz zu einem AD DS Userobjekt.
Wobei hier nicht wirkich das Objekt kopiert, sondern anhand eines vorhandenen Objekts ein Template erstellt wird, das die gleichen Einstellungen und Gruppenmitgliedschaften hat.
Man kann die UserEINSTELLUNGNE kopieren (NTUSER.DAT). Is relevant für ein Migrationsszenario - das is aber ein anderes Thema und führt zu weit.

Die Berechtigungen von lokalen Usern (Useraccounts) definieren sich durch die lokalen Gruppenmitgliedschaften.
Ein "old school" Best Practice Szenario sieht also so aus.
Mit einem lokalen Admin Account einen lokales User Objekt erstellen.
Dieses neue lokale Userobjekt macht man zum Mitglied in der Gruppe User (Benutzer).
Das kann man alles leicht und schnell in der MMC erstellen (Computerverwaltung):
Windows + R Taste -> compmgmt.msc -> Enter oder
Windows + R Taste -> lusrmgr.msc -> Enter

Dann meldet man sich mit dem Admin Account ab und mit dem neuen Useraccount wieder an.
Das is also schnell mit ganz wenigen Mausklicks konfiguriert.

Wann immer man dann eine systemrelevante Konfiguration machen möchte poppt das UAC auf und man muss Admin Credentials eintippen.

Und genau wegen dem UAC ist das kein Best Practice mehr und man braucht den ganzen Quatsch nicht mehr.
UAC - User Account Control - ist mit Windows Vista eingeführt worden.
Grundsätzlich "laufen" alle Useraccounts in Windows mit den Rechten aus der Gruppe User (Benutzer), also mit eingeschränkten Rechten.
ALLE User Accounts! Auch lokale Admin Accounts!
Die Idee von UAC ist, dass für bestimmte administrative Aktionen die Userrechte für diese eine Aktion auf "Admin-Level" angehoben werden und danach wieder auf User Level abgesenkt werden. IMMER.

Wie sieht das dann aus?
Wenn man mit einem User Account angemeldet ist, der nur "User/Benutzer" Rechte hat, und man eine systemrelevante Aktion durchführen möchte, dann poppt ein Fenster auf, wo man Admin Credentials eingeben muss.
Wenn man mit einem User Account angemeldet ist, der lokale Admin Rechte hat, dann poppt dieses Fenster auch auf, man kann dann aber einfach OK oder Abbrechen klicken.
Es ist aber immer die Selbe Funktionsweise.

Es gibt diverse Berechtigungsrollen in Windows, mit diversen granularen Berechtigungen (siehe compmgmt.msc).
Außerdem kann die "Empfindlichkeit" vom UAC selbst konfiguriert werden:
Windows Taste hauen -> UAC eintippen -> "Einstellungen der Benutzerkontensteuerung ändern" öffnen.

Liebe Grüße
Jo

[Heretic]

Danke für deine Erklärungen. Dieses Berechtigungs- und Usergruppen-Gedöns klingt nach etwas, mit dem ich mich nie befassen möchte. Aber zum Glück...

Und genau wegen dem UAC ist das kein Best Practice mehr und man braucht den ganzen Quatsch nicht mehr.

...bleibt mir das ja dank UAC erspart. Sehr schön.

[Azralex]

Ich bin mit UAC unter Windows 10 auch von den getrennten Usern abgewichen, in der Handhabung gab es da vor allem bei älteren Spielen immer wieder mal Probleme mit unprivilegierten Usern. Unter Linux ist das Konzept mit sudo recht ähnlich.

[finjan]

Ich benutze Norton AntiVirus und bin zufrieden - aber es ist kostenpflichtig!

[Lurtz]

Man kann sogar argumentieren, dass der Microsoft Defender nicht nur ausreichend, sondern sogar besser als Drittanbieter-Lösungen ist, da der Defender im Gegensatz zu diesen keine zusätzlichen Lücken ins System reißt, weil man gewisse Dinge einfach umgehen will oder muss, die Microsoft beim eigenen System besser im Griff hat.

Allen gemein ist auch, dass ein Echtzeitscanner immer eine zusätzliche Angriffsfläche im eigenen System schafft, da ein Virenscanner sehr viele Dateitypen parsen muss, in denen sich bösartiger Code verstecken kann, der genau dieses Parsen nutzt um eine Lücke im System mit erhöhten Zugriffsrechten (die des Parsers) auszunutzen. Auch hier ist der Defender im Vorteil, weil er lange Zeit/bis heute (?) der einzige Scanner ist, bei dem der Prozess unter Windows 10/11 immerhin noch in einer Sandbox läuft.
Man kann aber durchaus argumentieren, dass Echtzeitvirenscanner aufgrund der Parser immer ein erhöhtes Sicherheitsrisiko mit sich bringen und es besser sein kann, ohne unterwegs zu sein. Dann würde ich aber zumindest eine Lösung wie Pi-Hole und einen Scriptblocker im Browser einsetzen.

Bei all diesen Lösungen sollte man die Übermittlung von Beispieldaten zum Herstellerserver erlauben, da die Signaturdatenbanken im Grunde permanent veraltet sind und viele Bedrohungen über eine Heuristik-Analyse ermittelt werden.

Auch würde ich argumentieren, dass Microsoft idR seriöser ist als die üblichen Anbieter von Sicherheitslösungen, die schon häufig versucht haben ihren Kunden auch mal eben Cryptominere und dergleichen unterzujubeln. Unsere Malware = gut, andere Malware = böse!
Microsoft ist sicher auch kritisch zu sehen, aber wenn man das proprietäre Windows eh verwendet, dürfte man damit keine größeren Probleme haben.

Der mit Abstand wichtigste Grundsatz ist aber, immer aktuelle, gepatchte Software einzusetzen. Kein Virenscanner der Welt bringt was wenn das Betriebssystem oder Anwendungsprogramme verwundbar sind.
Und keine nicht empfohlenen Eigenkonfigurationen wie Voigt unten durchführen

Ich glaube ich habe sogar Defender ausgeschaltet und renne roh run, mit ja sogar abgestellten UAC.

Das ist gar keine gute Idee, weil du damit das Rechtemanagement von Windows im Grunde komplett aushebelst und wieder auf einem Level mit Win9X unterwegs bist.

Best practice wäre sogar, einen komplett getrennten Admin-Account auf dem PC zu haben und den Rest nur mit eingeschränkten Rechten laufen zu lassen.

[Voigt]

Ich sag zu Freunden ja auch immer: Do as I say, not as I do.
Mir ist sehr bewusst dass meine Konfiguration so garnicht empfehlenswert ist von einem Sicherheitsstandpunkt.. aber noja..

[Taro]

Hier ist ein schönes kurzes Video zum Thema Anti-Viren-Programme:

https://youtu.be/ZxzvHXT0NXw

[Acid-Burn]

Antivirus Tools sind immer so ne Sache. Ich hatte früher auch nur den Windows Defender, bin aber durch die ganze Homeoffice Zeit auf Bitdefender Premium umgestiegen, da hier dich noch ein paar ganz gute Tools drin sind.
Das, gepaart mit einer sinnvollen Netzwerk Infrastruktur bieten dir entsprechende Sicherheit, wenn du mit sensibleren Daten bspw. arbeitsbedingt zu tun hast.

Für den orthonormal Gamer ist allerdings der Windows Defender absolut ausreichend.

Im Endeffekt musst du es immer fallspezifisch entscheiden, was am besten zu dir und deinem Anwendungszweck passt

Anmerkung noch: wenn du keinen high end Rechner hast, kann Antiviren-/Internet Security Software ziemlich auf die Leistung gehen.

[Lurtz]

Antivirus Tools sind immer so ne Sache. Ich hatte früher auch nur den Windows Defender, bin aber durch die ganze Homeoffice Zeit auf Bitdefender Premium umgestiegen, da hier dich noch ein paar ganz gute Tools drin sind.
Das, gepaart mit einer sinnvollen Netzwerk Infrastruktur bieten dir entsprechende Sicherheit, wenn du mit sensibleren Daten bspw. arbeitsbedingt zu tun hast.

Was für Tools sind das?

[Axel]

Ich mach das wie Voigt: Komplett nackter Rechner in der Regel.

Was ich habe, ist ebenfalls Malwarebytes. Ist relativ günstig und erkennt alles. Aber das schöne: Ich kann es dauerhaft ausschalten. Alle paar Tage lasse ich mal nen Scan manuell durchlaufen und das war es dann auch.

Ich mag den Defender nicht, weil der teilweise schon arg viel Leistung zieht. Auch aus dem Grund mag ich allgemein nicht so viele Hintergrundprogramme. Bei mir ist da in den letzten Jahren auch nie was größeres passiert oder so. Ich gehe grundsätzlich mit Adblocker und Scriptblocker ins Internet, damit eliminiert man schon recht viel an Gefahrenquellen. Ansonsten halt einfach umsichtig sein.

Und: Ich nutze kein Onlinebanking. Paypal, sensible Online-Accounts & Co. dagegen nutze ich wiederum nur auf dem iPad, was ich dagegen wenig bis garnicht für allgemeines surfen nutze. Also selbst wenn mir was auf den Rechner kommt: So richtig sensible Daten gibt es da nicht drauf, da ich dahingehend Gerätetrennung betreibe. Und sollte ich doch unsicher sein, nutze ich im Zweifelsfall eine VM.

Und: Ich HASSE wenig mehr als UAC! Ist genauso wie Cortona und die ganzen anderen Nervigkeiten neuerer Windows-Versionen standardmäßig deaktiviert.

[Acid-Burn]

Was für Tools sind das?

Meinst du jetzt was ich einsetze, oder worauf bezieht sich die Frage?

[Acid-Burn]

Windows Defender reicht aus.
Ein mächtiges Sicherheits-Plus hat man, wenn man sich die Mühe macht und die Disziplin beibehält und Windows nur mit nem User ohne Admin-Rechte bedient. Für jede Installation muss man sich dann mit dem Admin-Account einloggen, aber irgendwelche Software kann nicht mehr so einfach ohne das eigene Mitwissen Schindluder treiben.

Ich machs aber auch nicht. Das ist irgendwie eine Entscheidung, die man direkt beim frischen Aufsetzen eines Systems treffen sollte. Ansonsten wird es mühsam und ich bin da leider faul. Aber prinzipiell ist es best practise!

Hat n bisschen was von linux Logik
Absolut sinnvoll, aber im Windows Umfeld ziemlich ätzend zu handhaben , m.E.

[GoodLord]

Was brint es denn (bei aktivierter UAC) wenn man mit einem "Nicht-Admin-Account" unterwegs ist? Davon abgesehen, dass ich in der Vergangenheit kein problem damit hatte meinen Account von Admin auf User und wieder zurück zu stellen.

[Lurtz]

Meinst du jetzt was ich einsetze, oder worauf bezieht sich die Frage?

Ich meine welche du da genau einsetzt und inwiefern sie dich sicherer machen.

Was brint es denn (bei aktivierter UAC) wenn man mit einem "Nicht-Admin-Account" unterwegs ist? Davon abgesehen, dass ich in der Vergangenheit kein problem damit hatte meinen Account von Admin auf User und wieder zurück zu stellen.

Gibt zB ein paar administrative Funktionen, die mit Standard-Accounts gar nicht gehen. Insgesamt dürfte der Unterschied, wenn man nicht einfach blind überall auf JA klickt, aber vernachlässigbar sein.

[Acid-Burn]

In meine Fall läuft auf den Windows Rechnern Bitdefender Premium mit sauber eingerichteten sperren.
Im Netzwerk läuft ein lokaler Unifi Controller inkl. Enterprise router mit 3 VLans, 4 daran hängenden WLANs (normal, iot, guest, etc.) mit intelligenter detection und Block für alle Arten von Malware, IP Verbindungen, und diverser Protokolle.
Die VLans sind vom Hauptnetzwerk geblockt, sodass kein Zugriff möglich ist.
Und fürs surfen läuft noch pi-hole, damit mir keine Werbung, oder fishing auf den Keks geht

Kurz um: alles lokal und nur ein Bruchteil nach außen geroutet.

Ausreichend für Firmen und damit auch für privat

... Und ja, im Keller steht ein Serverschrank

[finjan]

Ich habe kein Antivirenprogramm zusätzlich zu meinem Windows 10 verwendet und bin seit Jahren gut damit. Früher habe ich Kasperski gekauft, aber damit aufgehört.