Beste topic-starter,

Je verhaal is duidelijk.
Het betreft een computer met twee accounts,
een administrator-account en een standaardgebruikers-account.
Je vraag is, wanneer ingelogd is met het administrator-account, en vervolgens gekozen wordt voor inloggen van een andere gebruiker, met het standaardgebruikers-account, zonder dat is uitgelogd uit het administrator-account, of het standaardgebruikers-account dan wel de bescherming biedt die een account met beperkte rechten normaal gesproken biedt, of dat het feit dat het administrator-account op de achtergrond ook nog actief is een zeker risico betekent.

Interessante vraag.
Het werken in het standaardgebruikersaccount zal wel degelijk bescherming bieden, voor sommige acties zal bevestiging met administrator-rechten worden gevraagd, waardoor een redelijke bescherming wordt geboden tegen installatie van ongewenste software.

Maar ik ben er eerlijk gezegd niet 100 procent zeker van of het op de achtergrond actief zijn van het administrator-account mogelijk toch een bepaald risico met zich mee kan brengen.
Ik hoop dat anderen die vraag met zekerheid kunnen beantwoorden.

Een heel eenvoudige oplossing, die de bovenbeschreven onzekerheid voorkomt, dat lijkt me dat de betreffende vriendin voortaan niet eerst zelf inlogt als administrator, maar dat direct wordt ingelogd op het standaardgebruikersaccount van de dochter.
In het geval er op een bepaald moment (voor installatie van een spelletje, bijvoorbeeld) administrator-rechten nodig zijn, dan kan de moeder eenvoudig die actie uitvoeren door op dat moment die actie uit te voeren met administrator-rechten. Het is niet nodig dat daarvoor de hele tijd het administrator-account actief is en blijft.

Er is geen risico. Als er al een risico is dan is deze enorm klein. Dat er misschien wat bugs zitten in de "Fast user switching" service is natuurlijk niet helemaal uit te sluiten maar ik verwacht daar geen grote problemen. Die waren waarschijnlijk al lang en breed gevonden.

Wat dat betreft is er een groter risico dat er een "privilege escalation" bug is. Bij dergelijke bug is er geen ander (ingelogd) account nodig. Door netjes op tijd te patchen kun je ook dat risico zo klein mogelijk maken.

Verder zijn er nog behoorlijk wat mogelijkheden voor malware die op een 'normaal' gebruikersaccount draait. Deze zijn echter wel weer relatief makkelijk te verwijderen omdat deze malware alleen het gebruikersaccount (en alle data waar dat account bij kan) kan aanpassen.

Als niet admin user draai je in je eigen omgeving.

Als je Taskmanager opent zal je als je het goed hebt ingesteld, onder de dochter account bij processen niet kunnen aanvinken welke processen er van andere users draaien en daar dus ook geen invloed op uit oefenen.

Als moeder=admin rechten heeft dus wel, die kan ook processen draaiend onder dochter (als ze onder moeder=admin is ingelogd) killen.

Hopelijk heb je hier wat aan.

nou strikt genomen blijft de desktop van vriendin gewoon doordraaien als ze niet afmeld dat betekend dus haar msn ook en dat soort dingen (neem aan dat het ook over windows gaat, bij unix ligt het aan de instelling of bijvoorbeeld netwerk door gaat) en ZEKER met doorgaande netwerk activiteit bestaat het risico op infectie.

ik moet wel zeggen dat dit risico verwaarloosbaar in deze context bij probleem vaststelling (slechts niet nihil wanneer gerichte aanval op je vriendin plaatsvind, dan het handig zijn voor een aanvaller te wachten tot ze wisselen) in het kader van 'ongeadresseerde' aanvallen. Is de msn van vriendin niet vulnerable omdat ze toch is aangemeld dan is dochterlief wel op msn aangemeld met hetzelfde programma en dus even zo lek. misschien omdat er dan actief iemand achter zit (is ook maar relatief gezien) dat je minder kans loopt; het gaat hier meer om de basis veiligheid van je systeem.

stel anders automatisch afmelden in bij configuratiescherm > gebruikersaccounts ofzoiets. je kan ook in het register instellen na zoveel minuten inactief automatisch aanmelden en er zijn hier beheerprogramma's voor net als fortress of hoe het ook weer heet. eventueel zet je snelle gebruikerswisseling ofzo uit in [rechtermuisknop deze computer] > beheer > service

groetjes,
geert

Mamma is ook een gebruiker. Wil je dat gebruikers onder admin-rechten werken?

Da's een goeie opmerking. (Op het wat lullige "mamma" na, wellicht.)

Het zou voor de betreffende vriendin een goed idee zijn om naast haar administrator-account ook een eigen standaardgebruikers-account aan te maken en dat voor normale gebruikers-taken te gebruiken. En het administrator-account vervolgens alleen nog te gebruiken voor de beheersactiviteiten waarvoor dat benodigd is.

Dank. Ik verander haar beheerders account in een minder rechten account, en maak een nieuw admin account aan met wachtwoord uiteraard. Kunnen ze beide internetten met minder rechten, en overschakelen naar admin account voor het installeren van een game o.i.d.

Dank SirDice

Ik zeg het al jaren, en blijf het zeggen, ga je pc in/op met een account met minder rechten !
Maar een hoop gebruikers die ik ken zijn te gemakzuchtig, lui, enz.
Even overschakelen naar een admin account om iets te kunnen installeren is al vaak te veel moeite voor ze.
Een wachtwoord hebben op de account vinden veel gebruikers ook irritant en lastig.
Ik kan lullen als brugman, ze weigeren het gewoon.
Ook ken ik een aantal click verslaafden, die standaard meldingen (over updates) telkens weg klikken.

De troep zat inderdaad alleen op dochters account ( log bestand van Malwarebytes.)
Op haar account werkte de virus scanner niet. Dat verklaart de grote hoeveelheid troep.
Het valt me wel tegen van Avast (die goed werkt op moeders account) niets in de gaten heeft, of een melding geeft dat Avast uitgeschakeld is zodra haar dochter met ( beperkte rechten) inlogt.
Ik ben benieuwd hoeveel andere (gratis of betaalde) scanners deze tekortkoming ook hebben.
Mijn les van vandaag is dus.......controleer op elke account of de virus scanner goed werkt, want ervan uit gaan
dat als hij het op een admin account goed doet, dit absoluut geen garantie geeft.

Goed plan. Bedankt

Ja, dat ben ik met je eens.

Zoals ik in bovenstaande reactie tegen SirDice al zei:
Een aantal mensen vinden dat lastig.Ze lijken me advies serieus te nemen, maar gaan toch voor gemakzucht.
Soms word ik er echt moe van.

Dat moet je even uitleggen, wat daar zo lullig aan is?

De topic-starter sprak over "een vriendin en haar dochter".
Misschien gaat het wat ver, maar ik vind het dan netjes om dat over te nemen, en ook te spreken over "de vriendin en de dochter", eventueel over "de moeder en de dochter".
Wanneer een buitenstaander reageert met "Mamma is ook een gebruiker", dan vind ik dat niet gepast, het doet aan als neerbuigend. Alleen de dochter zou haar moeder kunnen aanspreken als "mamma". Ik zou daar liever hebben geschreven "De moeder is ook een gebruiker".

Maar mogelijk is dat slechts mijn persoonlijke gevoel voor taal-stijl, dat aangeeft dat een buitenstaander niet zou moeten reageren met "Mamma is ook een gebruiker". Mogelijk ziet een andere daar geen enkel bezwaar in.

En, wat ook nog mogelijk is, dat is dat die opmerking afkomstig was van de topic-starter.
Aangezien die veel dichter bij die vriendin en de dochter staat, zou het die stijlkundig mogelijk wél 'toegestaan' zijn om te schrijven "Mamma is ook een gebruiker".
Dat is het lastige wanneer iemand oningelogd post, als "Anoniem" dus - je kunt de ene "Anoniem" niet van de ander onderscheiden en je weet niet wie wie is.

Maar goed, ik hoop dat duidelijk is waarom ik dat "Mamma is ook een gebruiker" als ongepast ervoer.

Het is niet duidelijk om welke versie van Windows het gaat maar als het XP of Vista betreft kan je overwegen om SuRun te gebruiken.

Met SuRun draaien alle accounts behalve een beheerdersaccount (voor als het helemaal mis gaat) onder beperkte rechten.
Als er handelingen dienen te worden uitgevoerd die beheerdersrechten nodig hebben dan escaleert SuRun (in de meeste gevallen automatisch) de rechten. Je kan SuRun zo instellen dat het net (als in Linux) naar een wachtwoord vraagt.

Veeeel gemakkelijker dan het wisselen van gebruiker en het beschermt ook nog eens je eigen account.

Website (in het Duits maar met uitstekende Engelse vertaling): http://kay-bruns.de/wp/software/surun/

Nederlandstalige pdf: http://kay-bruns.de/download/SuRun1200nl.pdf

@ Anoniem 11.52:

Ook zonder dat programma dat je noemt hoef je onder Windows niet altijd per se te wisselen van standaardgebruikers-account naar administrator-account wanneer je zaken wilt doen waar je administrator-rechten voor nodig hebt.
In de meeste gevallen onder Windows Vista en onder Windows 7 zal Gebruikersaccountbeheer je zo nodig gewoon vragen om een administratorwachtwoord, waarna je de taak kunt uitvoeren. Slechts voor specifieke taken is het werkelijk nodig om in te loggen in het administrator-account.

Ik probeer niet te lachen.

Dat klopt.
Ik meen dat UAC echter alleen aan te passen is via Security Policies en dat is-volgens mij- in Vista/Win7 Home niet mogelijk.

Mijn suggestie voor SuRun was voornamelijk bedoeld in het geval de OP XP gebruikt.

Je hebt helemaal gelijk, hoor, Hugo.
Dankjewel.
Zoals ik al aangaf, het kan best zijn dat het slechts puur mijn persoonlijke stijl-gevoel is dat aangeeft dat het vreemd is wanneer een buitenstaander die vriendin van topic-starter als "mamma" benoemt, in plaats van als "de vriendin van topic-starter".
Maar goed, laten we weer terug gaan naar het topic.

Dank je.

Maar wat bedoel je precies met het aanpassen van de UAC?
Ik bedoel, waarvoor zou je dat nodig vinden?
Met de UAC in Vista en Win 7 (ook wanneer die in Win 7 op de 'strengste' stand is gezet) geldt standaard wat ik schreef. Je hoeft daarvoor niet de UAC aan te passen.

Ik heb begrepen dat de OP wilt voorkomen dat zijn dochter software installeert zonder zijn goedkeuring.
UAC in standaardinstelling-dus waarbij je alleen maar op 'OK' hoeft te klikken-zet in dit geval geen zoden aan de dijk.
Je zal dus UAC moeten aanpassen (via SecPol) om wel naar een wachtwoord te vragen.

Met betrekking tot de vraag van de OP: als je echt wilt voorkomen dat dochter niks zonder je toestemming installeert dan lijkt het me niet handig om een beheerdersaccount op de achtergrond actief te laten.

Dochter hoeft maar terug te schakelen naar de geopende beheerdersaccount over te schakelen om zelf handelingen uit te voeren die beheerdersrechten vereisen.
Software wordt vaak voor alle gebruikers geïnstalleerd en niet alleen onder de account waarin de executable wordt uitgevoerd.

@ Anoniem 16.42 uur:

1. Alleen in een administrator-account hoef je bij een UAC melding alleen maar OK te klikken.
2. In een standaardgebruikers-account moet je bij een UAC melding een administrator-wachtwoord geven om de taak te kunnen uitvoeren.
3. Een standaardgebruiker kan niet zomaar naar een geopend administrator-account schakelen. Er zal daarbij gevraagd worden naar het administrator-wachtwoord.

Die factoren 2 en 3 lijken me genoeg om te voorkomen dat een standaardgebruiker taken kan uitvoeren waarvoor administrator-rechten nodig zijn.
Daarbij ga ik er echter wél vanuit dat tenminste het administrator-account is beschermd met een wachtwoord. (!!)

Voor een soortgelijke opmerking heb ik ooit in mijn begintijd alhier van Bitwiper - terecht - enorm op mijn kop gekregen. Ondanks het feit dat "Uitvoeren als...", beschikbaar vanaf 2K, een geheel legitieme functie is, welke ook expliciet in de curricula van Microsoft word onderwezen.

Lang verhaal kort: Als Bitwiper je systeem beheerd, worden alle gebruikers eerst uitgelogd alvorens Bitwiper (& ik dus ook sindsdien) zich aanmeld om je systeem te beheren.

Waarmee hulpmiddelen zoals SuRun uiteraard ook uit den boze zijn...

;-)

Ok, Geert (Gisteren,12:25 door 2tirds) maakt een opmerking over automatisch afmelden & dat zit er niet echt in, behalve voor netwerkaanmeldingen of door de Windows 2000 Resource Kit te installeren & dan winexit.scr uit te voeren zoals hier beschreven: http://support.microsoft.com/kb/314999
Wat wel kan is: Configuratiescherm, Vormgeving en thema's, Beeldscherm, tabblad Schermbeveiliging,
kies een schermbeveiliging, behalve <geen>, vink Welkomstscherm weergeven aan, (Wachttijd, Instellingen),
klik op Energiebeheer, tabblad Geavanceerd, Wachtwoord vragen als de computer uit stand-by word gehaald aan vinken (Kan ook hard afgedwongen worden via Groepsbeleid Editor, Gebruikersconfiguratie, Systeem, Energiebeheer).
Toepassen, Ok, Toepassen, Ok.

Dan de Administrator-account's, ja,, in meervoud: Sowieso is er altijd de ingebouwde Administrator. Daarbij is het aan te raden een tweede extra Administrator aan te maken. Wie ooit eens MBSA, http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c gedraaid heeft weet dat er een groen vinkje voor gegeven zal worden.

Op deze accounts word verder niet ingelogd voor normaal gebruik, ze zijn uitsluitend bedoeld voor installatie- & onderhouds-doeleinden.

Daarna worden de standaard beperkte gebruikers-account('s) toegevoegd.

Tip: Na een succesvolle installatie, eleveer dan even de gebruiker('s) naar Administrator (Configuratiescherm, Prestaties en onderhoud, Systeembeheer, Computerbeheer,
Systeemwerkset, Lokale gebruikers en groepen, Groepen, Administrators,
RMK, Toevoegen aan groep, Geavanceerd, Nu zoeken,
dan (met shift of control toets ingedrukt) de (of alle) gewenste gebruiker(s) selecteren (Geen groepen of Iedereen!).
Ok, Ok, Toepassen, Ok.
Afmelden, Aanmelden als een gebruiker, installatie afstellen (vaak moet er eerst even akkoord verklaard worden door de gebruiker alvorens de installatie geconfigureerd word), afmelden,eventueel herhalen voor andere gebruikers,
aanmelden als Administrator, gebruiker(s)s uit de groep Administrators halen.
Goed om te gaan. Herstarten mag. Klaar.

Tip: Op dezelfde manier kan je perfect een gebruikers-account afstellen met de Wizard Bestanden en instellingen overzetten. Zie ook Instellingen van een account kopiëren naar een ander account: http://www.schoonepc.nl/instal/gebruikers.html
Iets daarboven staat ook hoe er met control userpasswords2 een vaste gebruiker bij het opstarten word geselecteerd onder Het welkomstscherm overslaan

Dit mag trouwens allemaal off-line uit gevoerd worden, als er voor de installatie/configuratie geen internetverbinding verplicht is (registratie, updates).

Tot zover de praktische handleiding, nu de echte vraag: Kan de Administrator-account gecompromiteerd worden?
In theorie: Ja. In praktijk: Afhankelijk van de omstandigheden, Enerzijds niet onmogelijk doch anderzijds niet waarschijnlijk.

Interessant factoidje is dat er een tijdje terug statistisch is geanalyseerd dat een computer gemiddeld 39 keer per uur (3x
keer per 2 minuten!) onderhavig is aan een geautomatiseerde hak-poging. Niveau daarvan stelt niet echt veel voor, maar de ingebouwde Administrator-account is wel vaak het doelwit daarvan.

Weer via Systeembeheer, Lokaal beveiligingsbeleid, & dan Accounts: de naam van de Administrator-account wijzigen, Kan de standaardbenaming Administrator gewijzigd worden, bv. Piet Pelleboer. Daarmee word het al een stuk lastiger om in de Administrator-account te komen.
De naam mag 15 tekens zijn, bepaalde tekens zijn niet toegestaan, spaties & punten wel.
N.B: Ondanks die naamswijziging, blijft de standaarddocumentenmap Administrator genaamd, & die hernoemen is niet verstandig.
Via Computerbeheer, of als Administrator aangemeld ook via Configuratiescherm, Gebruikersaccounts, bij Gebruikers kan dan via Eigenschappen, tabblad Algemeen, Volledige naam, de naam die in het Welkomstscherm.Startmenu etc. te zien is worden ingevuld, bv Jan Joppie.
Bij gebruik van het Aanmeldscherm moet je dan Piet Pelleboer invoeren & krijg je Jan Joppie te zien als je op bv. Start klikt.

Wachtwoord. Weer keuze volop. Eerste gedachte is natuurlijk, hoppa, sterk wachtwoord of zin erin. Mag, er is 127 tekens ruimte voor gereserveerd (alhoewel de literatuur daar variatie in vertoond, soms schrijft men 124 of 125...???...)

Echter..:

Windows is standaard zo ingesteld, weer via Lokaal beveiligingsbeleid, dat er dan extern mag worden ingelogd!
Diezelfde standaardinstelling beperkt de aanmelding tot alleen console in geval van een leeg wachtwoord.

Alleen in dat geval kan iemand aan de computer gewoon opnieuw opstarten & op F8 meppen, de naam van de Administrator klikken &... Handig als je altijd je wachtwoord vergeet... ;-)

Hoe dan ook, zeker een instelling om even goed na te kijken...

Tot slot nog een hapje hak-les van Microsoft,(Huh!?! Ja. Duh!..) voor de echte Die-Hards onder ons:
Hacking Fight Back How A Criminal Might Infiltrate..: http://www.microsoft.com/technet/technetmag/issues/2005/01/AnatomyofaHack/

In het geval het om een domain administrator-account gaat is er wel een risico.
Sinds Windows Vista is het via de WIN32 API mogelijk om een nieuw process aan te maken en het parent-process te kiezen. Je hebt wel het debug-privilege nodig, dus local admin in praktijk. Details hier:
http://blog.didierstevens.com/2009/11/22/quickpost-selectmyparent-or-playing-with-the-windows-process-tree/

Dus als er iemand in slaagt om local admin rechten te verkrijgen op een machine waar een domain admin actief is, kan deze zonder problemen (dus zonder wachtwoord) programma's starten als domain admin, en dus admin rechten verkrijgen op het domein.

Wat las ik nu over die UAC dingen? Je bedoeld gewoon registerwaarden in je register plempen? Dat is met alles ten alle tijde mogelijk, misschien soms met een foefje... die sec policiy dinges is meer een soort poortje tussen jou en je register dan dat het werkelijk eigen uniekigheden heeft. Mocht je vragen hebben over wat dan ook UAC heet (tja sorry die termen defenities bij mij lopen soms een beetje raar) over zeg maar gewoon dingen die je wilt doen, moet je concreeet stellen dan zoeken wij er wel de register locaties bij. groetjes!!

[edit]
Waar het hier voornamelijk over gaat is:
1. Het windows register
2. Wat uw bedoeling is

Concretiseer uw bedoeling qua vraagstelling en dan zijn er ook met andere windows distributies dan de professional, mogelijkheden voor u ;)
[/edit]