Ja want als je malware tegenkomt onder beperkte rechten heeft diezelfde malware ook (meestal) diezelfde rechten.
Het is een erg belangrijke maatregel, zeker doen!

De opzet is om een Administrator-account te gebruiken voor beheerstaken, zoals onder meer voor het installeren en verwijderen van programma's,
en een Standaardgebruikersaccount (dat is met beperkte rechten) te gebruiken voor alle dagelijkse dingen waar je geen Administrator-rechten voor nodig hebt, zoals bijvoorbeeld voor internetten, tekstverwerken, en opgeslagen muziek of video afspelen.

Dat is als je de enige gebruiker van een computer bent uiteraard níet bedoeld om je te beschermen tegen medegebruikers, maar om je te beschermen tegen het installeren en uitvoeren van malware.

In een Administrator-account onder Vista, Win7 en Win8.x werpt Gebruikersaccountbeheer (UAC) een laatste drempel op tegen eventuele malware die andere beveiligingslagen zou weten te doorbreken. Geef je daarbij echter in een moment van verstandsverbijstering UAC toestemming, of weet malware UAC te omzeilen (of is UAC uitgeschakeld, of laag ingesteld - dom!), dan kan de malware zich in een Administrator-account vervolgens naar believen uitvoeren.
Onder een Standaardgebruikersaccount echter zijn de rechten beperkt, óók voor eventuele malware, en kan veel malware zich niet zomaar uitvoeren. Pas wanneer je malware die zich probeert uit te voeren Administrator-rechten zou verlenen door middel van UAC plus het invoeren van een Administrator-password, dan zou de malware volledige rechten verkrijgen en zich kunnen uitvoeren.

Dát is waarom je enkel voor beheerstaken werkt met een Administrator-account, en voor alle dagelijkse dingen met een Standaardgebruikersaccount, dus met beperkte rechten.

Aanvullend nog:

Heb je nu één account, het Administrator-account,
en je wilt over naar het gebruik van een Administrator-account plus een Standaardgebruikersaccount,
dan heb je twee mogelijkheden:
1. Het Administrator-account herinrichten tot een account enkel voor beheerswerk en het aanmaken van een Standaardgebruikersaccount dat je inricht voor dagelijks gebruik,
óf 2. het maken van een nieuw Administrator-account en dat inrichten tot een account enkel voor beheerswerk en omzetten van je eerdere Administrator-account naar een Standaardgebruikersaccount.
(Optie 2 is wellicht het handigste, omdat je daarbij niet je persoonlijke bestanden hoeft te verhuizen van je ene naar je andere account.)

Welke van die twee opties 1 en 2 je ook kiest, het kan daarbij een hoop werk schelen wanneer je je instellingen (en in geval van optie 1 wellicht ook je persoonlijke bestanden) kunt overzetten van het ene naar het andere account.
Je kunt dat doen met behulp van Windows Easy Transfer.
Een goed stappenplan vind je op SchoonePC.
Voor Windows 7, op deze pagina, onder het kopje "Documenten en instellingen kopiëren naar een ander account" (scroll daarvoor naar ongeveer tweederde van de pagina):
http://www.schoonepc.nl/windows7/gebruikersaccounts_windows7_afstellen.html.
Door met Easy Transfer alle instellingen te kopiëren naar het andere account, vermijd je dat je handmatig alle instellingen nog moet gaan maken voor het nieuwe account.
Je moet na het overzetten van de instellingen van een Administrator-account naar een Standaardgebruikersaccount of andersom wel voor het account waar je de instellingen naartoe gekopieerd hebt de status van dat account nog even corrigeren naar zoals van toepassing op dat bestand, Standaardgebruikersaccount of Administrator-account, omdat je die instelling eveneens automatisch overgebracht hebt naar het ontvangende account. Maar dat is een fluitje van een cent.

Een relevant detail nog bij het gebruik van een Administrator-account plus een Standaardgebruikersaccount:
Houd er rekening mee dat je vanuit je Standaardgebruikersaccount niet standaard bij je documenten in je Administrator-account kunt. Het kan wel, maar dan moet je de betreffende mappen eerst Delen tussen je Administrator-account en je Standaardgebruikers-account. (Rechtsklik daarvoor in Windows Verkenner op de te delen map en kies Delen. Kies vervolgens voor de betreffende map het machtigingsniveau voor de standaardgebruiker, "Mede-eigenaar" ligt het meest voor de hand.)


En ten slotte nog dit,
niet gerelateerd aan het gebruik van een Administrator-account plus een Standaardgebruikersaccount,
maar wel gerelateerd aan gebruikersaccountbeheer in algemene zin:

Zet Gebruikersaccountbeheer (UAC) veiligheidshalve beslist op de hoogste stand.
Zie dit: http://webwereld.nl/nieuws/54678/uac-van-windows-7-blijkt-open-deur-voor-malware.html.
Weliswaar heeft Microsoft vervolgens UAC aangepast,
zie http://webwereld.nl/nieuws/54726/microsoft-gaat-overstag-in-windows-7-uac-kwestie.html,
maar onduidelijk is hoe veilig UAC daarmee nu is, wanneer je het niet op het hoogste niveau instelt.
Zie ook: https://www.security.nl/posting/26639/%22Gecastreerde%22+Windows+7+kwetsbaar+voor+virussen,
waar werd gesteld dat Gebruikersaccountbeheer met een instelling lager dan het hoogste niveau als 'gecastreerd' beschouwd moet worden (dus geen 'ballen' meer heeft).
Daarom nogmaals: zet Gebruikersaccountbeheer (UAC) op de hoogste stand.

T.a.v. UAC vraag ik mij het volgende af:
Als je werkt met een gelimiteerd gebruikersaccount en je hebt UAC uit staan dan is het zelfs niet mogelijk om zonder na te denken het beheerders-wachtwoord in te typen, je bent verplicht om te switchen naar het beheerders-account en daar de betreffende software te installeren. Ook het "Uitvoeren als", zoals onder XP kon, kan dan niet meer. Is het dan niet veiliger om UAC juist uit te zetten of zijn er nog andere overwegingen?

Zoals Spiff al aangaf is zijn optie 2 veruit het makkelijkst.:

- Je maakt een nieuw beheerders account aan vanuit je huidige account..
- Je logt uit vanuit je oude account, logt in op het nieuwe beheerders account.
- In het nieuwe beheerders verlaag je de rechten van je oude account.

Vanaf dit moment heeft je oude alleen gebruikersrechten, zonder dat je er veel aan hebt hoeven veranderen.

@ Anoniem, 14:43 uur,
Een interessante gedachte!
Voor een standaardgebruikersaccount kan ik de consequenties nog niet volledig overzien.
Maar zodra je in de beschreven situatie met uitgeschakeld UAC voor een beheerstaak naar het Administrator-account moet, dan mis je daar elke bescherming die UAC bood. Dat zou ik bijzonder onwenselijk vinden.
Waar je schreef, "zelfs niet mogelijk om zonder na te denken het beheerders-wachtwoord in te typen," tsja, wanneer een gebruiker zover is afgegleden dat die zonder na te denken UAC toestemming geeft door het invoeren van een Administrator-password, dan bied UAC uiteraard nog nauwelijks bescherming, maar dan is er uiteraard iets zeer grondig mis met de manier van werken van die gebruiker.
Niettemin, zoals ik al zei, een interessante gedachte. Ik ben benieuwd naar de overwegingen van anderen.

@ 17:22 door Spiff
Het is ook vooral bedoeld voor mensen die de schermen toch al niet lezen, niet weten waar het over gaat en ook vaak niet geïnteresseerd er in zijn en dus vaak maar toestemming geven. De pc's die ik dan voor ze inricht updaten de software toch al automatisch mbv Ninite op de achtergrond en krijgen dus ook niet allerlei update schermpjes van al die software om de haverklap te zien.

@ topicstarter, vanegmond,

Is met de bovenstaande reacties je vraag van do.20-02, 22:52 uur, beantwoord?
Heb je eventueel nog aanvullende vragen bij het betreffende onderwerp?

En verder,
off-topic,
maar wel belangrijk voor je,
een verwijzing naar een andere thread,
waar je onlangs een probleem met Flash Player aangaf, en ik een te adviseren aanpak aangaf,
zie aldaar, in het laatste gedeelte van die reactie, de stappen 1 t/m 4:
https://www.security.nl/posting/379078#posting379106
Ik hoop dat je dat probleem met Flash Player hebt weten te corrigeren.

En nog een kleine aanvulling betreffend de oorspronkelijke vraag,
waarom naast een Administrator-account een Standaardgebruikersaccount te gebruiken,
en dus voor alle dagelijkse dingen waar je geen Administrator-rechten voor nodig hebt te werken in een Standaardgebruikersaccount in plaats van in een Administrator-account,
dit is wat Microsoft erover vermeldt:
http://windows.microsoft.com/nl-nl/windows/understanding-security-safe-computing#1TC=windows-7&section_9
http://windows.microsoft.com/en-us/windows/understanding-security-safe-computing#1TC=windows-7&section_9
N.B. Waar Microsoft het heeft over "bijvoorbeeld hackers", geldt datzelfde ook voor malware.

Wat een antwoorden en kennis allemaal ! Dit gaat mij echt boven mijn pet. Ik heb al veel gelezen maar net terug, dus moet er nog meer induiken. Wist geeneens dat veranderen van accounts je gegevens dan verdwijnen.
Heeft dit gevolgen voor de backup van W 7, die ik steeds maak ? Een vriend van me, kwam daar mee aan, als je meer accounts maakt dan krijg je de backup niet meer goed, volgens hem. Niet dat ik die backup veel gebruik, maar als......
Heeft dit ook gevolgen voor het gebruik van een WD mediaplayer ? Dit zit in een netwerk, en geeft dan alles door. Ik zie dan Admin, Users enz.

Het is nieuw voor je, dus het spreekt voor zich dat je het nog niet kent.
Lees de gegeven informatie rustig meermaals door, vraag waar nodig aanvullende informatie, en zoek waar nodig en waar mogelijk zelf aanvullende informatie. Neem beslist je tijd ervoor.

Wat bedoel je daarmee precies, kun je dat uitleggen?
Ik begrijp niet wat je bedoelt.

Ik ken geen reden waarom je geen goede backups zou kunnen maken wanneer je meerdere accounts gebruikt.
Ik weet niet wat je vriend je heeft gezegd en hoe die dat bedoelde.

Om alvast wat duidelijkheid te proberen te krijgen:
Wat voor soort backups bedoel je?
Bedoel je backups van enkel je persoonlijke mappen en bestanden (documenten, afbeeldingen, muziek, video)?
Of bedoel je systeem-images, ofwel een volledige kopie van je systeem, inclusief Windows en geïnstalleerde programma's en instellingen?
Welk backup-programma gebruik je?
Windows 7 eigen Back-up centrum, om backups van mappen en bestanden te maken,
of Windows 7 Back-up centrum, om een Windows Systeemkopie (Windows Image) te maken,
of een ander programma voor het maken van backups van mappen en bestanden,
of een ander programma voor het maken van systeem-images?

Mogelijk, afhankelijk van waar je nu je media hebt opgeslagen en afhankelijk van de vraag of je bij het herinrichten van je systeem je bestanden verplaatst, of dat die dezelfde locatie houden.
Mogelijk zal je mediaplayer je media opnieuw inventariseren, maar dat zal geen probleem zijn, zo lijkt me.
Heb je in een eerder stadium zelf de locatie van je media moeten aangeven, dan bestaat de kans dat je dat opnieuw moet doen, maar als je dat in een eerder stadium ook gedaan hebt dan zal dat ook nu geen probleem voor je moeten zijn, neem ik aan.

Volgens mijn vriend, kon hij de backup niet meer terugzetten, de naamstelling was niet goed.
Ik bedoel een backup van mijn systeem en bibliotheken, maak daarnaast handmatig een backup van Mijn Documenten en Muziek.
Ik gebruik daarvoor de Windows 7 Backup.

Ik kom hierop terug, maar ik begrijp dat werken met een Standard account het beste is met beperkte rechten en daarnaast een Admin account met alle rechten. Beide met een wachtwoord.
Ik moet eerst volgens een Admin erbij maken, en dan deze Admin veranderen in een Standard, dan hoef ik ook geen Easy Transfer te gebruiken. Ik heb wel ook via deze site aan EMET gekomen, wat ook weer beveiligt.

Ik weet niet wat er bij die vriend is misgegaan.
Misschien dat iemand anders die deze thread volgt een idee heeft?

N.B.
Uiteraard maak je na het herinrichten van je systeem zekerheidshalve nieuwe backups van je mappen en bestanden,
en gezien het herinrichten van je systeem maak je in ieder geval ook een nieuwe Windows Systeemkopie (Windows Image).

Ah, dat laatste is duidelijk.
Maar of je nu zowel een backup maakt van je bestanden, en daarnaast ook een Windows Systeemkopie (Windows Image), dat is me nog niet duidelijk.
Maar dat maakt ook niet uit, als je het zelf maar weet.
Ik ken in ieder geval geen reden waarom het gebruiken van Windows Backup een probleem zou kunnen zijn bij het gebruik van een combinatie van een Administrator-account en een Standaardgebruikersaccount.

Misschien ten overvloede:
Hier onder "Welke hulpprogramma's voor back-ups biedt Windows?" het verschil weergegeven tussen een backup van bestanden en het maken van een Windows Systeemkopie (Windows Image):
http://windows.microsoft.com/nl-nl/windows/back-up-restore-faq#1TC=windows-7,
en hier informatie specifiek over het maken van een backup van bestanden:
http://windows.microsoft.com/nl-nl/windows/back-up-files#1TC=windows-7,
en hier over het maken van een Windows Systeemkopie (Windows Image):
http://windows.microsoft.com/nl-nl/windows/back-up-programs-system-settings-files#1TC=windows-7.

Een Standaardgebruikersaccount heeft automatisch beperkte rechten en een Administrator-account uitgebreide rechten.
Je hoeft daar niets aan te veranderen, je hoeft voor een account alleen te kiezen of het een Administrator-account of Standaardgebruikersaccount moet zijn of worden.

Umm.. wat bedoel je met "deze"? Dat is namelijk voor meerdere uitleg ontvankelijk.
Bedoel je met "deze" je huidige/ oude Administrator-account, en bedoel je dus het na het aanmaken van een nieuw Administrator-account omzetten van je huidige/ oude Administrator-account naar een Standaardgebruikersaccount?
Ja, dat is inderdaad wat ik en Briolet bedoelden.
Maar zou je met "deze" het nieuw aangemaakte Administrator-account bedoelen, dat was dan niet wat ik bedoelde.

Ik zal het hem vragen, volgens mij zei hij dat die een naam in moest vullen. Later meer.
Ik maak een systeemkopie en aangevinkt de bibliotheken. Daarnaast maak ik handmatig een kopie van mijn documenten, video's en muziek. Misschien dubbel op maar ben bang dat bv de backup niet goed gaat en alles weg is.
Ja dat bedoel ik. Dus ik ben nu onzeker, of het aanmaken van een nieuwe Admin en dan de oude Admin omzetten naar
een Standard wel goed is, of heb ik het dan niet goed begrepen ?

Ja, hoor, je hebt het goed begrepen.
Maar door je eerdere formulering wist ik niet zeker of ik jou goed begreep, en daarom zaagde ik je daar met mijn reactie van 22:57 uur over door.
Mijn excuses dat ik je daarmee onzeker maakte, maar ik vond het belangrijk dat we elkaar goed begrijpen, voordat je aan de slag gaat met het herinrichten van je systeem.
Lees hoe dan ook alles nog eens goed en rustig na voordat je op een gegeven moment aan de slag gaat.

Wat mij betreft @ Spiff mag je zoveel zagen als je wilt, met zulke vakkundige en precieze antwoorden, juist mijn excuses zijn
wel op zijn plaats, dat ik het niet duidelijker neer heb gezet !
Ja moet alles nog eens goed lezen, ook wat betreft die Flash, die zit op mijn nieuwe pc, waarvan die niet goed is. Rare is op
mijn oude staat IE 11 wel goed met de Flash versie, en op de nieuwe 64 bits met W 7 juist niet maar miss juist wel door de
64 bits.
Ik laat je nog weten , hoe alles gegaan is. Genoeg te doen, voor mij dan.....voor jou is het een fluitje, vermoed ik zo !

Succes toegewenst, vanegmond.
Neem je tijd voor een goeie voorbereiding, en werk zorgvuldig, dan valt een en ander wel mee, denk ik.
Wie weet vind je het op een gegeven moment zelf een fluitje van een cent. Al doende leer je, immers.
Voor mijzelf, en voor ieder ander ook, was ook alles een keer nieuw en beslist niet gelijk een makkie.

En P.S. nog,
ik antwoordde je gisteravond in de Flash Player thread (https://www.security.nl/posting/379078#posting379313)
dat er jammer genoeg geen mogelijkheid bestaat om een notificatie-bericht te ontvangen wanneer iemand reageert.
Die optie bestond tot vorig jaar augustus, maar is toen weggehaald bij het vernieuwen van de website.
Ik mis die optie ook nog altijd.
Er zit niets anders op dan de threads waarin je actief bent in het oog te houden.
Tip: Eén mogelijkheid daartoe is om via je eigen Security.NL profiel (https://www.security.nl/profile?alias=vanegmond) je meest recente reactie in een thread aan te klikken en te bekijken of misschien iemand daarop heeft gereageerd.
Maar een fatsoenlijke notificatie-optie, zoals die er tot augustus 2013 was, dat zou handiger zijn.

Dat is weer een handige tip @ Spiff !
Vreemd dat deze site, die functie niet aanbied, nu is het vaak zoeken waar je iets geplaatst hebt. Is het wel de bedoeling van
Security.nl om vele vragen en antwoorden te krijgen, want dan zouden ze toch iets verzinnen dat Leden een ..... krijgen !
Wat niet wegneemt, dat deze site uitblinkt in Informatie wat er nu weer speelt op het Internet.

Dit heb ik ergens anders geplaats maar mischien heb je het niet gezien ?
Nu vroegen we ons af, want er zijn al discussies geweest. Is het niet beter of minder werk om Internet Exploxer 11 te verwijderen en e.v.t. opnieuw te downloaden of is dat al te simpel gedacht ?

Meerdere gebruikers hebben vorig jaar augustus aangegeven dat ze hoopten dat die notificatie-optie weer hersteld zou worden, maar sitebeheer heeft niet aan die wens voldaan. Het is niet anders.

Ja hoor, dat had ik al gezien, https://www.security.nl/posting/379078#posting379417, en ik houd die thread voorlopig nog in de gaten en reageer nog wanneer dat nodig is.
Maarre .. ik kan niet heksen, hè ;-)
Ik ga er nú mee aan de slag, en antwoord je straks in die thread.

Sorry @ Spiff ! Vaak totaal geen geduld met computers. Nu wil ik IE 11 goed hebben en als die goed is,
dan gebruik ik Chrome en voor Bankzaken nam ik wel IE 11 maar of dat zo slim was.
Denk je zo veilig mogelijk te gaan en dan zie je ineens zo'n Flash versie staan pffff

Jammer dat Sitebeheer niet aan meerdere verzoeken heeft voldaan, tenslotte gaan alle vragen
en antwoorden over Security en ik zie in Google vaak een link naar Security.nl , dus door alle
vragen en antwoorden........daar moet toch wat tegenover staan...........Sitebeheer ? Of Niet ?

https://www.security.nl/posting/378785/%27Verwijderen+adminrechten+verhelpt+60%25+Windowslekken%27

@ Spiff, Nu lees ik dit hier. Is het nu wel of niet beter om een Admin account te hebben met Wachtwoord en een Standard account met wachtwoord denk ik ?
Wat ik begrijp ga ik Internetten met dat Standard account, loop ik tegen Malware aan, dat is alleen mijn Standard account geinfecteerd ? Lijkt mij dat het dan toch op mijn systeem zit al ?

De volgorde is als ik het goed hebt deze ;

Hoe verlaag ik de rechten van mijn oude account ? Is het aanmaken van een nieuw Admin account wel mogelijk. als er nu al een Admin account aanwezig is ? Wat ik dan om zou zetten naar een Standard account met Naam en Wachtwoord ook of hoef dat alleen bij het Admin Account ?

Het "verwijderen van de adminrechten bij gebruikers", zoals genoemd in dat artikel, daarmee wordt bedoeld het laten werken van gebruikers in een Standaardgebruikersaccount.
Uiteraard heeft elk systeem daarnaast tevens een Administrator-account nodig, voor beheerswerkzaamheden. Zonder een Administrator-account zou je geen programma's meer kunnen installeren of deïnstalleren of enige andere taak kunnen uitvoeren waarvoor je Administrator-rechten nodig hebt.
Je verwijderd dus uiteraard niet het Administrator-account, maar je maakt tevens een Standaardgebruikersaccount en werkt voor standaardwerkzaamheden (die geen Administrator-rechten nodig hebben) in een Standaardgebruikersaccount.
Dat wordt bedoeld.

Bij het werken met een Standaardgebruikersaccount kan malware die Administrator-rechten nodig heeft zich in het geheel niet eens niet uitvoeren, dus zich niet installeren en niet actief zijn.
Dát is het belangrijkste aspect van waarom werken in een Standaardgebruikersaccount malware-infecties kan voorkomen.

inderdaad.

Ja hoor, je kunt (al dan niet tijdelijk) meerdere Administrator-account naast elkaar hebben
(net zoals je ook eventueel meerdere Standaardgebruikersaccounts kunt hebben).
Het aanmaken van een nieuw Administrator-account naast je al bestaande Administrator-account, en dan vervolgens het omzetten van je oude Administrator-account naar een Standaardgebruikersaccount dat is dus geen enkel probleem.

1. Ga via Configuratiescherm naar Gebruikersaccounts,
2. klik op het account dat je wilt wijzigen en klik op Het accounttype wijzigen,
3. selecteer het gewenste accounttype (Standaardgebruikersaccount) en klik op Accounttype wijzigen.

Je kiest inderdaad voor elk account een gebruikersnaam (de gebruikersnaam van je al bestaande account kun je laten zoals die al was, maar je kiest wel een gebruikersnaam voor je nieuwe account)
en het is het verstandigste om al je accounts te voorzien van een wachtwoord.

Heb je nog eventuele aanvullende vragen, die beantwoord ik dan na het weekend.
Alvast een goed weekend toegewenst.

Het belangrijkste voor een goede beveiliging is 'scheiding van priority/task'.

Dus niet zozeer een dubbele account (hoewel dat inderdaad vanwege procesrechten een belangrijke stap is op een enkel workstation en helemaal onoverkomelijk op een server natuurlijk).

Het is, hoezeer sommige idealisten ook anders willen doen geloven, niet alles op één desktop bereikbaar.

Dus je bankieren gescheiden van je overige email/internet verkeer via bijvoorbeeld opstart CD als Lightweight personal security (ja nou, de diensten kunnen tóch wel bij je bankgegevens, en ik blijf een fan van CD omdat je die werkelijk read only kunt maken, usb is te omzeilen via bios bijvoorbeeld).

Dat soort dingen. Zo moet je ook je backups inrichten. Plus je moet ten alle tijde je verkeer knooppunten mirroren op gebruikeijke patronen en al het anderen alarmbellen laten afrinkelen en automatische kraantjes dicht laten draaien (softwarematige stekker deruit, diensten overschakelen naar meer restrictief dmz systeem, suricata/snort/Intrusion Detection heet zoiets, zie google).

waarom? omdat nou eenmaal de basis van digitale techniek 'een open karakter is', dat maakt het zo moeilijk af te sluiten. correcte scheiding en gebruik van de techniek is de sleutel tot hoge veiligheid. dus eerst scheiding en dan op de desktop die je ingericht hebt voor je gebruikelijke taken submaatregeltjes als Virtual Machine, sandboxen, opstarten vanaf CD, dubbele accounts (2 is zat, alleen bij BSD met custom inrichting kunnen 3 accounts een werkelijke extra ring tussen user land en core tasks bieden, Bij liinux begint userland wat mij betreft al duidelijk in haar kern(el) en lijkt privilege wel op master file track bij ntfs).

Dit Anoniem is voor mij dus Chinees, ik ga nog even kijken als ik tijd heb, wat je hiermee allemaal bedoelt !