öffentlich
Redaktion Druckversion

Benutzerrechte einschränken unter Windows

Computersicherheit beginnt mit dem Verzicht - und zwar auf die Funktion als Administrator

Computersicherheit beginnt mit dem Verzicht - und zwar auf die Funktion als Administrator. Viele Windows-Nutzer ahnen gar nicht, dass sie - standardmäßig voreingestellt - als Administratoren agieren. Das birgt aber Gefahren. Denn wenn sich ein Virus administrativer Rechte bemächtigt, kann es auch alle weiteren Sicherheitssysteme (wie Virenscanner oder Firewall) aushebeln. Empfehlenswert ist daher die Einrichtung von Standardbenutzerkonten. Der Schaden einer Virenattacke hält sich dann nämlich in Grenzen. Wir erklären, wie es funktioniert.

Witze über die Anfälligkeit von Windows-Systemen sind inzwischen Legion. Speziell aus dem Linux-Lager hört man gelegentlich beißenden Spott über die Verwundbarkeit der Windows-Computer.

Bei einem zweiten, genaueren Blick auf die Sicherheitsarchitekturen der Systeme wird deutlich: Linux-Nutzer sind traditionell praktisch ohne Rechte in ihrem System unterwegs. Ohne Rechte heißt, Systemdaten können nicht geändert und Software darf nicht installiert werden. Kurz: Es kann kein Schaden angerichtet werden, denn das System verweigert jedem Otto-Normalnutzer schlicht den Zugriff auf die Systemheiligtümer.

Nur das spezielle Konto "Root"- das Linux-Wort für "Administrator" - darf an der Systemkonfiguration arbeiten und wird eben auch nur zu diesem Anlass verwendet.

Dieses Sicherheitsfeature ist aber kein Linux-Privileg: Auch Microsoft-Systeme kennen (spätestens) seit Windows 2000 eine sehr genaue Trennung zwischen einem allmächtigen "Administrator" und den so genannten "eingeschränkten (Standard-)Benutzern".

In größeren Unternehmensnetzen sind diese eingeschränkte Benutzer allgemein üblich und entsprechend robust arbeiten diese Netze.

Windows-XP: Benutzer als Administratoren

Für den Hausgebrauch verzichtet Microsoft bei Windows XP (zu Vista kommen wir später) aber großzügig auf diese Sicherheit und meldet normalerweise alle eingerichteten Benutzer als Administratoren an. Der Administrator ist im System allmächtig und kann problemlos jeden denkbaren Schaden anrichten.

Warum tut Microsoft das? Zum einen vor allem deshalb, um die (zahlende) Windows-Kundschaft nicht zu verprellen, die sich schließlich über Jahre daran gewöhnt hat, jederzeit "zwischendurch" Programme zu installieren oder Registry-Einträge zu tunen.

Der zweite Grund ist tückischer: Das Softwareangebot für Windows-Systeme ist geradezu überwältigend. (Das ist schließlich das Haupt-Argument für Windows!) Dabei gibt es nicht wenige Programme, die - sagen wir es offen - etwas schlampig programmiert sind und deshalb nur dann fehlerfrei arbeiten, wenn der Benutzer gleichzeitig Administrator ist.

Weil eine Sittenpolizei für Programme noch nicht erfunden ist, stand (und steht) Microsoft dadurch vor einem Dilemma:

Ist der Normalnutzer gleichzeitig Admin, funktioniert alles. Leider werden dann aber auch weiterhin fehlerhafte Programme produziert und verkauft. Gleichzeitig ist das Risiko hoch, dass ein Nutzer sein eigenes System zerstört.

Normalnutzer ohne Adminrechte leben sicherer, werden aber mit zahlreichen Programmen Probleme haben. "Probleme haben" bedeutet hier: verärgerte Kunden, teuere Supportanfragen und beißender Spott in der Presse. Genau das passiert gerade mit Vista: Obwohl die (Sicherheits-) Daumenschrauben nur mäßig angezogen wurden, braust ein Orkan durch das Wasserglas. Vista gilt vielen Programmen gegenüber als zickig.

Bei XP fiel die Entscheidung für maximale Kompatibilität und gegen Sicherheit.

Windows-Vista: Zwitterkonto und automatisches Umschalten

Vista versucht mit viel Technik (durch die manches auch unübersichtlicher wird), alles besser zu machen und bleibt doch in vielerlei Hinsicht ein Kompromiss.

Der "einfache" Benutzer ist formal immer noch vom Typ Administrator. De Facto ist dieses Adminkonto aber ein Zwittertyp und damit doppelt angemeldet. Im Normalfall hat dieses Benutzerkonto nämlich nur die niedrigen Rechte eines "eingeschränken Benutzers". Wenn jedoch höhere Rechte benötigt werden, wird automatisch auf "Admin" umgeschaltet, wobei dies vom Benutzer bestätigt werden muss. (Da diese Umschaltung nicht sehr zuverlässig ist, wird sie immerhin nicht zum Sicherheitsproblem. Die Anwendung funktioniert in diesem Fall einfach nicht.)

Hier schlägt die scheinbar allgegenwärtige Benutzerkontensteuerung zu (auch als UAC/"User Account Control" bekannt). Mit dem Spruch "Zur Fortsetzung des Vorgangs ist Ihre Zustimmung erforderlich", soll der Nutzer offenbar vor Taten geschützt werden, die er hinterher bereuen könnte. Leider bleibt dabei völlig im Dunkeln, wozu die Administrator-Rechte denn genau benötigt werden. Genau hier wird es aber brenzlig: Es genügt, ein einziges Mal versehentlich eine Zustimmung zu erteilen und eine gefährliche Software ist installiert.

Schwarzer Peter auf Vista-Art: Wer zustimmt ist schuld, wenn etwas passiert.

An einem selbst verwalteten Vista-System "zur Sicherheit" nur als eingeschränkter Benutzer zu arbeiten, erhöht die Hemmschwelle für unerlaubte Taten ein wenig. Auch hier greift die UAC und ermöglicht diesmal während der Sitzung ein Upgrade auf den Administrator-Kontext. Zu diesem Zweck muss dann das Administratorkennwort eingegeben werden.

Zunächst scheint es, als ob man auf die Benutzerkontensteuerung gut und gerne verzichten könnte. (Tatsächlich lässt sie sich ohne Schwierigkeiten über Systemsteuerung/Benutzerkonten/Benutzerkonten abschalten, dann zeigt Vista das XP-typische Verhalten.)

Es gibt jedoch ein weiteres interessantes Feature, auf das man dann auch verzichten müsste: Die Virtualisierung von Pfaden und Registry-Einstellungen. Einige ältere Anwendungen versuchen Schreibzugriffe auf Systembereiche, in die ein "normaler" Benutzer nicht schreiben darf. Erlaubt das System die Zugriffe nicht, stürzt die Anwendung normalerweise sang- und klanglos ab. Mit Hilfe der erwähnten Virtualisierung werden die Schreiboperationen auf harmlose Ersatzbereiche umgeleitet, ohne dass die Anwendung davon etwas bemerken würde. Das Ergebnis: Applikationen, die unter XP nicht mit einem eingeschränkten Benutzerkonto funktionierten, laufen unter Vista manchmal völlig problemlos.

In der Praxis...

... sollte man besser etwas konsequenter sein als der Software-Riese aus Redmont. Grundsätzlich gilt: Alle alltägliche Arbeit mit dem Computer lässt sich auch mit eingeschränkten Rechten erledigen. Und störrische Anwendungen benötigen eine pragmatische "Sonderbehandlung" - für Softwareinstallationen sowie Systemkonfigurationen meldet man sich als Administrator an.

Die folgende Schrittfolge soll dabei helfen, das System korrekt einzurichten:

Prüfen Sie zunächst, ob die Systemfestplatte mit NTFS formatiert ist.

NTFS (New Technology File System) ist das standardmäßig von allen Windows-Versionen seit Windows NT genutzte Dateisystem. Nur beim NTFS-Dateisystem können benutzerspezifische Berechtigungen hinterlegt werden, ohne die alle weiteren Sicherheitsüberlegungen hinfällig wären.

  1. Navigieren Sie zum Arbeitsplatz (z. B. Windows-Taste + E).

  2. Klicken Sie mit der rechten Maustaste auf c:

  3. Wählen Sie Eigenschaften.

  4. Unter Dateisystem muss NTFS stehen.

    Das Dateisystem muss NTFS sein!

  5. Ist das Dateisystem der Partition c: nicht NTFS, kann man mit einem Kommandozeilenbefehl eine Konvertierung vornehmen (Dieser Prozess erfordert administrative Rechte und mehrere Systemstarts!):

  6. Geben Sie nach Start/Programme/Zubehör/Eingabeaufforderung ein: convert c: /fs:ntfs. (s. a. Konvertieren eines FAT16- oder FAT32-Datenträgers nach NTFS unter Windows XP)

Sie benötigen ein "Arbeitskonto" mit eingeschränkten Rechten für den Alltag und ein "Verwalterkonto" für administrative Aufgaben. Verwenden Sie nicht das fest in Windows eingebaute (aber in manchen Versionen unsichtbare) Konto "Administrator". Legen Sie zunächst sowohl das Verwalterkonto als auch das Arbeitskonto mit Administrator-Rechten an. Später wird das "Arbeitskonto" zum eingeschränkten Benutzerkonto. Normalerweise existiert schon mindestens ein Benutzerkonto mit Admin-Rechten, so dass nur ein zusätzliches Konto angelegt werden muss.

Benutzerkonto anlegen unter XP:

Erstellen Sie nach Start/Einstellungen/Systemsteuerung/Benutzerkonten ein Benutzerkonto. Wählen Sie als Kontotyp: Computeradministrator. Legen Sie ein Passwort fest: Nach Start/Einstellungen/Systemsteuerung/Benutzerkonten/"Name des Benutzers"/ ändern Sie das Kennwort.

Benutzerkonto anlegen unter Vista:

Nach Start/Systemsteuerung/Benutzerkonten hinzufügen/entfernen/Neues Konto erstellen ändern Sie die Voreinstellung von Standardbenutzer auf Computeradministrator! Klicken Sie auf das neu erstellte Konto, wählen Sie "Kennwort erstellen" und legen Sie das Passwort fest.

Bild vergrößernWindows-Generationen und ihr Fachchinesisch: Aus "Eingeschränkt" wird "Standardbenutzer"

Melden Sie sich als "Arbeitskonto" an, installieren Sie alle Programme und nehmen Sie alle Einstellungen vor.

Melden Sie sich als "Verwalter" an und ändern Sie den Kontotyp Ihres Arbeitskontos auf "eingeschränkter Benutzer" (bei Vista "Standardbenutzer"): Ändern Sie nach Start/Einstellungen/Systemsteuerung/Benutzerkonten/ "Name des Benutzers" den Kontotyp.

Melden Sie sich als "Arbeitskonto" an und probieren Sie alle Anwendungen aus.

Im Idealfall funktioniert alles tadellos und Sie können ab sofort ohne Probleme als "Standardbenutzer" arbeiten und damit Ihr Computersystem schützen.

Wahrscheinlich machen aber einzelne Anwendungen Probleme. Diese Programme müssen auch zukünftig unter administrativen Berechtigungen gestartet werden. Bleiben Sie als "Arbeitskonto" angemeldet und gehen Sie für jeden Problemkandidaten folgende Schritte durch:

Windows XP: Verknüpfung für "kritische" Programme erstellen:

Am einfachsten legt man für die kritischen Programme jeweils eine Verknüpfung auf den Desktop. Diese Verknüpfung ruft das Programm unter dem Namen des "Verwalters" auf, der ja über administrative Berechtigungen verfügt.

Und so wird es gemacht:

  1. Klicken Sie nach Start/Programme mit der rechten Maustaste auf das gewünschte Programm und wählen Sie aus dem Kontextmenü Eigenschaften. Die Zeile "Ziel" ist markiert. Kopieren Sie mit Strg + C den markierten Inhalt in die Zwischenablage.

  2. Öffnen Sie den Editor über Start/Programme/Zubehör/Editor und fügen Sie mit Strg + V den Inhalt der Zwischenablage ein.

  3. Schreiben Sie vor den Text im Editor folgenden Befehl: %windir%\system32\runas.exe /user:Verwalter

  4. Beispiel: Für das Problemprogramm PicturePublisher sieht der Text im Editor so aus (ohne Umbruch fortlaufend in einer Zeile geschrieben!): %windir%\system32\runas.exe /user:Verwalter "c:\programme\Micrografx\Picture Publisher 8\pp80.exe"

  5. Markieren Sie jetzt den kompletten Text im Editor und kopieren Sie ihn mit Strg + C in die Zwischenablage, klicken Sie mit der rechten Maustaste auf den Desktop und wählen Sie aus dem Kontextmenü Neu/Verknüpfung.

  6. Fügen Sie mit Strg + V den kopierten Text in das Feld: Geben Sie den Speicherort des Elements an ein.

  7. Geben Sie im nächsten Schritt der Verknüpfung einen sinnvollen Namen und schließen Sie den Vorgang ab.

  8. Zeit für einen Test: Starten Sie die Verknüpfung. Jetzt erscheint eine schwarze Eingabeaufforderung mit der Frage nach dem Passwort des Verwalters. Geben Sie das Passwort ein. Achtung, das Passwort bleibt dabei unsichtbar! Jetzt sollte das Programm starten!

Vista: einzelne Programme als Administrator ausführen

Vista-Nutzer haben es einfacher: Nach Start/Programme/Rechtsklick auf das Problemprogramm/Eigenschaften/Kompatibilität zeigen Sie die Einstellungen für alle Benutzer an (Das Verwalter-Passwort wird erforderlich). Aktivieren Sie die Berechtigungsstufe: Das Programm als ein Administrator ausführen.

Bild vergrößernVista merkt sich, welche Programme als Admin gestartet werden müssen.

Alltag mit dem eingeschränkten Konto

Briefe schreiben, im Web surfen, Fotos bearbeiten... grundsätzlich funktioniert die tägliche Arbeit mit dem eingeschränkten Konto ("Arbeitskonto") genauso reibungslos wie als Admin. (Wäre das nicht so, hätten wohl schon Tausende von Berufsadministratoren ihren Job aus Frust an den Nagel gehängt.)

Problematische Software muss bei Windows XP über die im vorigen Abschnitt speziell präparierte Verknüpfung gestartet werden. Unter Vista erfolgt der Start wie immer unter Programme. In beiden Fällen wird anschließend das Verwalter-Passwort abgefragt. Dies würde zwar dem professionellen Firmenadmin graue Haare wachsen lassen, stellt aber im selbst gemanagten Computersystem kein Problem dar.

Sicherheitsabfrage in Windows-Vista

Wenn alle Stränge reißen, kann man notfalls komplett auf das Verwalter-Konto wechseln (also abmelden und als Verwalter anmelden), um besonders zickige Anwendungen auszuführen. Dies ist aber wirklich nur im absoluten Notfall angebracht, denn hier gibt es naturlich keine Sicherheit durch eingeschränkte Konten! Internetsitzungen sollten in diesem Modus auf jeden Fall tabu sein.

Bei der üblichen Anmeldung als "Arbeitskonto" wird man häufiger auf Beschränkungen stoßen, wenn Systemeinstellungen vorgenommen oder Komponenten installiert werden sollen. Vista wird (nicht immer erfolgreich) versuchen, einen Weg zu finden und dabei um das Passwort des Verwalters bitten, während XP klare Grenzen zieht.

Der Lösungsweg für dieses Problem ist umständlich aber zuverlässig:

Machen Sie Ihr Arbeitskonto zeitweise zum Administrator:

  1. Melden Sie sich als Verwalter an.

  2. Ändern Sie den Kontotyp des Arbeitskontos auf Computeradministrator.

  3. Melden Sie sich als Arbeitskonto an.

  4. Nehmen Sie die gewünschte Konfiguration vor.

  5. Melden Sie sich als Verwalter an.

  6. Ändern Sie den Kontotyp des Arbeitskontos zurück auf eingeschränkter Benutzer (Vista: Standardbenutzer).

Problemkandidat Brennprogramm

Grundsätzlich erweisen sich alle Brennprogramme (CD/DVD) als problematisch, das heißt sie benötigen zwingend administrative Berechtigungen. Mindestens für das verbreitete Nero gibt es Abhilfe:

Nero BurnRights ermöglicht auch Benutzern ohne Administratorrechte, CDs und DVDs zu brennen. Genauere Informationen bietet die Supportseite www.nero.com/deu/support.html nach Eingabe des Stichworts BurnRights.

Feinschliff

Perfektionisten können das Grundprinzip der eingeschränkten Benutzeranmeldung weiter optimieren.

Insbesondere der Wechsel vom eingeschränkten Konto zu administrativen Rechten (und zurück) ist - wie man gesehen hat - sehr umständlich. Einige Projekte haben sich damit befasst, diesen Weg zu vereinfachen.

Fazit

Der Verzicht auf administrative Privilegien ist im professionellen Umfeld der zentrale und tausendfach bewährte Hauptbaustein zur IT-Sicherheit.

Im Home Office werden aber, sei es aus Unwissenheit oder Bequemlichkeit, viele Windows-Systeme als Administrator betrieben. Die Umstellung auf Standardbenutzerkonten erweist sich gelegentlich als schwierig, ist aber als Grundsicherung unumgänglich, da mit administrativen Rechten auch alle weiteren Sicherheitssysteme (wie Virenscanner oder Firewall) ausgehebelt werden können.

Beitrag bewerten

Ihre Wertung:

 

Einschränkung der Rechte von Benutzerkonten

Meine Rede seit .... Der sicherste Computer ist der, der nicht eingeschaltet wird! ;-) Aber im ernst, mich nervt die Sicherheitspolitik von Macroschrott in ihren Windoofs Home-Produkten. Dort verhindern sue nämlich erfolgreich das Zuweisen von ausschließlich Gastberechtigungen für ein Standardkonto, indem sie einfach nicht auf die Gruppenrichtlinien zugreifen lassen. Mit dieser Vorgehensweise straft sich Macroschrott selbst Lügen, wenn sie behaupten, sie wollen ihre Systeme sicherer machen.

Vielen Dank!
Das war sehr informativ und hilfreich.

Gute Seite - gute Erklärung

Endlich mal kein Fach-Chinesisch........

weiter so. Danke

Mitglied werden, Vorteile nutzen!

  • Sie können alles lesen und herunterladen: Beiträge, PDF-Dateien und Zusatzdateien (Checklisten, Vorlagen, Musterbriefe, Excel-Rechner u.v.a.m.)
  • Unsere Autoren beantworten Ihre Fragen

Downloads zu diesem Beitrag

Über den Autor:

bild80560

Nils Zentner, Microsoft Certified Systems Engineer, Dipl. Kaufmann und seit den 1980er Jahren Computerenthusiast, arbeitet seit 2001 als IT-Trainer.

In seinen Seminaren, in denen der Spaß am Lernen ...

Newsletter abonnieren