Het gebruik maken van een account zonder admin rechten kan vaak voorkomen dat malware wordt geinstalleerd op uw pc.
Naar mijn weten geeft het daarnaast niet nog meer praktische nuttigheden

Het nut van een standaard account zonder rechten is dat als je software wilt installeren dit of: in zijn geheel wordt tegengehouden , of je moet bevestigen dat je iets wilt installeren.

Als je bent aangemeld als Administrator (dus full control) en je opent dan een virus dan krijgt het virus ook administrator rechten mee. Dit is dus bij een standaard account niet het geval.

Binnen Windows kun je aan useraccounts rechten koppelen. Dit kan zijn lezen, schrijven, bewerken. Als je bijv op een bepaalde map zegt dat alleen administrator erbij mag dan kun je dus met je standaard account niet naar de inhoud van deze map navigeren.

Als administrator heb je bijv het recht om nieuwe software te installeren wat niet altijd kan met een standaard account.
Zeker in zakelijk situaties is dit wenselijk, maar bij huis tuin en keuken gebruik kan je op deze manier bijv voorkomen dat je kinderen allerlei (onveilige) software op je PC installeren.

Toch wil je een beetje advies geven want deze opstelling an sich is niet voldoende, ondanks dat jij geen rechten hebt zijn virussen tegenwoordig vaak in staat voor zichzelf alsnog admin rechten toe te kennen.

In de meeste gevallen als u "gewoon" internet bankiert is het niet direct zinvol om een gebruikers account te gebruiken zonder admin rechten. Echter is het nartuurlijk altijd een idee om gewoon met een account zonder admin rechten te werken ;)

als ik eerlijk ben niet, het geeft je eigenlijk een beetje schijnveiligheid. Een goede optie naar mijn idee is je browser in een sandbox te draaien. Een sandbox is een afgesloten omgeving in je geheugen. Op het moment dat je dan een virus opend heeft deze geen mogelijkheid om uit de sanbox te breken en zich in je PC te nestelen.

Als je dit doet binnen een account zonder rechten dan ben je een heel stuk veiliger bezig. Als je echt echt veilig wilt zijn dan is een live CD naar mijn idee het beste, maarja of het gebruiksmakkelijk is is een ander verhaal ;-) je zult dan moeten rebooten, de live CD erin moeten doen, booten van CD en wachten tot het OS is geladen. Dan naar je banksite en je ding doen en vervolgens weer rebooten om naar je normale omgeving te gaan.

Er is genoeg freeware op de markt met betrekking tot sanboxes. google maar eens op sandbox voor freeware en meer info :-) Daarnaast raad ik je de browser firefox met de add-on noscript aan. Dit blokkeerd een hele hoop nutteloze java scripts dat vaak ook wordt misbruikt om virussen uit te voeren op een website.

In het begin zal No script vervelend zijn omdat je per script moet aangeven of je het ja of nee wilt laden. Maar nadat dit 1x hebt gedaan zal hij dit onthouden. Wat mij is opgevallen met het gebruik van noscript is het aantal onzinnige scripts dat in websites zitten verwerkt.

Is een VM dan niet een optie i.p.v. een live cd of kan een virus hier ook uit breken ?

Voor een VM heb je een app nodig (Vmware, virtual PC o.i.d.) wat op je HDD staat geinstalleerd. Daarnaast heeft VMworkstation de mogelijkheid om je VM aan je fysieke PC te koppelen zodat je bijv een bestand van je VM naar je fysieke PC kan slepen. Onder water zit het dus toch met elkaar verbonden en kan een virus dus ook op die manier je fysieke PC besmetten. Echter zijn er wel sandbox apps voor Vm maar het blijft een feit dat het op je HDD zelf zit opgeslagen.

Een liveCD zoals bijv backtrack laadt zich in je RAM geheugen. Dit soort geheugen is over het algemeen volatile wat wilt zeggen dat hij geen data bewaard als hij geen power geleverd krijgt. Op het moment dat je dus je PC uitzet zal niets van je sessie bewaard worden. Een eventueel virus dat je hebt binnen gehengeld is dus ook weg.

@astip

Hoe malware geld van je online bankrekening steelt
Vandaag,13:29 doorRedactie

Lees bovenstaande maar. Daar staat een antwoord op je vraag: "Ik vraag me nu echter toch af hoe zinvol dit aparte account voor bankieren nu eigenlijk is. Geeft dit echt een extra bescherming "

@StOn3D: Top bedankt voor je uitleg!

de normale account voor het dagelijkse browsen is belangrijk, dan een ander account gebruiken alleen voor internet bankieren is wel verstandig inderdaad. Ik heb nooit meer dan een bepaald bedrag op mijn lopende rekening staan en doe dit niet eens. Maar als je een dergelijke maatregel wil nemen(en zeker als je windows gebruikt) is de grootste toevoeging, je kunt dan ook je admin account gebruiken om naar de website van je bank te gaan, deze vertrouw je immers.

Het gaat vooral om een scheiding te maken tussen een omgeving waar je soms aanrommelt en soms een keuze maakt voor werkbaarheid tov veiligheid en de omgeving waar je je gevoelige informatie in verwerkt.

Programmeren, spelletjes installeren, vreemde software installeren en andere dingen die kunnen zorgen voor problemen met de veiligheid doe je niet in dezelfde omgeving als waar je je bankzaken, belastingaangifte, verwerken van gevoelige info doet.

Het gaat altijd om de mate van veiligheid, niet of je veilig bent of niet. Vergeet daarnaast ook niet dat jij als mens de zwakste factor bent op het gebied van de informatiebeveiliging. Waar je enorme computerkracht nodig hebt om een versleuteld bericht te decoderen kun je aan de kant van de ontvanger en verzender met een goed smoesje of een slimme melding als cracker vaak meer bereiken.

Een standaard account houdt sommige virussen tegen omdat er admin rechten nodig zijn voor installatie. Probleem is dat sommige software juist moet draaien onder admin rechten (onder XP is dit zo, zoals bv Steam).

Bijkomend probleem is dat als je niet up to date bent met een een gedeelte van je software zoals bv Java en Flash je nog steeds kwetsbaar bent ook al draai je met een standaard account.
Is een account besmet dan is automatisch ook de rest besmet.

Installeer bv gratis Secunia PSI die je software controleert en up to date houdt.

Veiligste is gewoon een veilige boot only Linux ISO te gebruiken zoals er verschillende zijn ontworpen om alleen maar te kunnen surfen of je bank verrichtingen te doen en Windows voor de rest te gebruiken.

Een extra user account zonder rechten voor internet bankieren is idd zinvol maar veel belangrijker is hoe je voor de rest met je pc omgaat. Als je onder je admin account allerlei ie addons, activex rotzooi, toolbars en software uit onbetrouwbare bron installeert en vervolgens onder een ander account gaat internetbankieren dan heeft deze maatregel geen zin.

Het aller beste is nog altijd een aparte pc/laptop gebruiken voor je bankzaken.
Deze los van het netwerk maken en verder niets anders mee doen dan bankzaken en updates.

Zo weet je zeker dat het goed gaat. Een LIVE CD kan natuurlijk ook al vertrouw ik deze niet je kan deze namelijk niet updaten.

Even een nieuw schijfje branden wanneer er een nieuwe versie verschijnt, dat is toch niet zoveel moeite?

Het is zeker goede praktijk om uberhaupt een account te gebruiken zonder Administrator rechten. Voor speciale taken gebruik je de "Run as:" funcitonaliteit, enigzins vergelijkbaar met sudo onder linux.

In de praktijk maakt het voor malware niet zo heel veel uit. Vaak worden 0-days of bekende kwetsbaarheden gebruikt om software te installeren op je systeem. System rechten verkrijgen is dan niet al te lastig ongeacht of de gebruiker nu wel of geen Administrator rechten heeft.

Het belangrijkste advies is een virusscanner gebruiken, automatische updates instellen, geen vuige websites bezoeken. Als je dat dan wel wilt, kun je het beste een separaat systeem gebruiken zoals hierboven eerder beschreven.

Ja, dit geeft absoluut aanvullende bescherming!

Steeds meer grote bedrijven en instellingen maken gebruik van flexplekken met roaming profiles. Out of the box hoef je gelukkig niets aan de Windows configuratie te wijzigen om een heel behoorlijk scheiding tussen gewone user accounts onderling te krijgen (en dan bedoel ik echt ordinary users, niet leden van de groep Administrators met UAC). Met scheiding bedoel ik dat een willekeurige gebruiker X nergens schijfrechten heeft waardoor het account van gebruiker Y automatisch besmet raakt.

De door meerdere gebruikers gedeelde mappen zoals "Opstarten" (onder All Users) en mappen die in het system PATH staan zijn namelijk hooguit leesbaar voor gewone Users. Hetzelfde geldt voor de HKEY_LOCAL_MACHINE (ook bekend als HKLM) hive in het register. Dus als een gewoon user account gecompromitteerd raakt (zodra de betreffende gebruiker inlogt wordt de malware actief en blijft dat totdat de gebruiker uitlogt) heeft dat normaal gesproken geen enkele invloed op andere accounts.

De risico's die je in deze situatie loopt zijn beperkt:

- Als er sprake is van 1 of meer privilege escalation kwetsbaarheden op je systeem waar de malware weet van heeft, ben je de pineut. De kans hierop is echter minimaal als je je systeem gepatched houdt en niet allerlei wilde software installeert.

- Middels social engineering zouden andere gebuikers verleid kunnen worden om malware te starten die via een ander gecompromiteerd account op de PC, USB stick of netwerkschijf is gezet. Out of the box hebben alle gebuikers schrijfrechten in de root van drives (zelf verwijder ik altijd de schrijfrechten in C:\). Dus als malware het bestand Britney!!!!.jpg.exe in C:\ zet, jij dat toevallig ziet staan, jij het tonen van bestandsextensies niet hebt aangezet en wilt weten wat het bestand dat jij ziet, C:\Britney!!!!.jpg, "om het lijf heeft", zul je de gevolgen wel begrijpen.

- Een andere soort van social engineering is denkbaar: account X is gecompromitteerd. In plaats van de standaard screensaver start de malware, na enige tijd geen activiteit van de gebruiker, een programma dat een nep Windows inlogscherm toont met de logon dialogbox al open (je hoeft dus geen Ctrl-Alt-Del meer te tikken). Op het moment dat een andere gebruiker haar wachtwoord invoert liegt de malware dat het wachtwoord niet klopt, maar heeft ondertussen wel de logon gegevens van die tweede gebruiker bemachtigd en kan ook dat account infecteren.

Aanvulling 08:58 - vermijd in het algemeen het openen van bestanden van andere gebruikers (zowel als je bent ingelogd met je beheeraccount als met je bank account), dit geldt niet alleen voor schijnbare jpg bestanden. Los van het feit dat bijv. Office documenten bijna net zo gevaarlijk zijn als executables, kan malware naast een zichtbaar, interessant en ogenschijnlijk ongevaarlijk bestand en in dezelfde map een (eventueel hidden) DLL hebben geplaatst. Als je het bestand opent en geen aanvullende maatregelen hebt genomen (Google naar CWDIllegalInDllSearch) loop je het risico "binary planted" code uit te voeren. Zie bijv. http://www.binaryplanting.com/ en http://isc.sans.edu/diary/DLL+hijacking+vulnerabilities/9445 voor meer info.

Ja, maar naarmate er minder XP gebruikers met Adminrechten zijn, en meer mensen met UAC, verschijnt er steeds meer "flexibele" malware: als er adminrechten beschikbaar zijn wordt hele systeem overgenomen, zo niet dan slechts het betreffende account.
Ik dacht het wel!

Tenzij er sprake is van minstens 1 privilege escalation vulnerability die de malware kent en weet uit te buiten geldt het volgende als de malware een ordinary user account heeft gecompromitteerd:
- De malware zal alleen actief zijn op het moment dat de betreffende gebruiker is ingelogd
- Als je een goede en goed geconfigureerde virusscanner hebt zal de malware deze niet kunnen saboteren
- Als je een goede en goed geconfigureerde personal firewall hebt zal de malware deze niet kunnen saboteren
- De malware zal je netwerkinstellingen en hosts file niet kunnen wijzigen
- De malware zal niet kunnen schrijven onder belangrijke mappen (C:\Program Files\, C:\Windows\) en registersleutels
- De malware zal de security eventlog niet kunnen benaderen
- De malware zal andere gebruiker accounts niet direct kunnen beïnvloeden (denk o.a. aan plugins en/of instellingen van webbrowsers)
- De malware kan geen andere gebruikers aanmaken of verwijderen
- De malware kan geen services installeren, starten of stoppen
- De malware kan niet direct disk sectoren lezen en schrijven, kan dus ook je MBR (Master Boot Record) niet manipuleren
- De malware kan geen system-wide rootkit installeren
- De malware kan het gecompromitteerde account geen aanvullende privileges geven (Administrators kunnen dat wel)
- De malware kan geen system-wide root certificaten toevoegen (waarmee later dingen zijn uit te halen)
En zo zijn er nog wel meer zaken te bedenken.

Als je, op het moment dat je met je beheer account bent ingelogd (daar raad ik beslist UAC voor aan), uiterst voorzicht bent, is het best mogelijk dat op een PC 1 account totaal gecompromitteerd is (van een kind bijvoorbeeld) terwijl een ander account schoon blijft. Niet een situatie die ik aanraad, maar als je virusscanner niet kan worden uitgeschakeld door de malware en het gecompromiteerde account is enkele dagen niet actief, is de kans groot dat de virusscanner (na te zijn geüpdate) bij een latere full disk scan de malware vindt - en hopelijk verwijdert.