Wie schütze ich meinen PC

[X1alpha]

In der Liste fehlt ein Punkt, der mir wichtig ist: Rechte einschränken.

Unter anderem Windows 2000, Windows XP und Windows Server 2003 unterscheiden zwischen mehreren Benutzergruppen. Jede der Benutzergruppen hat Rechte. Zum Beispiel das Recht, EXE-Dateien auszuführen. Und das Recht, die Registry zu verändern sowie Prozesse und Dienste zu starten und zu beenden. Viele Nutzer arbeiten als Mitglied der Benutzergruppe Administratoren - und verfügen somit über nahezu uneingeschränkte Rechte. Die Rechte, die sie nicht haben, können sie sich selbst einräumen.

Wer auf diese Rechte verzichtet, nutzt ein sichereres Windows als jeder, der mit ihnen arbeitet. "Der Grundgedanke des Sicherheitskonzepts: Jeder Anwender, der vor dem PC sitzt, darf alles, was er will oder muss, also beispielsweise seine Programme starten und mit seinen Dokumenten umgehen. Alles das, was er normalerweise nicht dürfen sollte, also beispielsweise die Festplatte formatieren oder einen Dialer installieren, darf er auch nicht."

Das Computermagazin c't hat in Ausgabe 15/2004 einen Artikel namens "Es geht auch ohne - Arbeiten ohne Admin-Rechte unter Windows" veröffentlicht. Der Autor Axel Vahldiek erklärt Schritt für Schritt, was ich an meinem Windows verändere, um am Ende praktisch ohne Komfortverlust als Mitglied der Gruppe Benutzer zu arbeiten anstatt als Admin. Der Heise Zeitschriftenverlag bietet den Artikel in seinem Archiv [1] zum kostenpflichtigen Download an, um genau zu sein hier [2]. Die vier Seiten umfassende PDF-Datei kostet -,60 EUR - meiner Meinung nach eine Investition, die sich lohnt. Die im Artikel beschriebenen Arbeitsschritte fasse ich als Stichworte zusammen. Die Stichworte sind aber kaum mehr als ein Vorgeschmack auf die Informationen, die der vollständige Text bietet.

1. Einen Nutzer mit Administratorrechten erstellen, z. B. "Admin".
2. Als Admin anmelden und das ursprüngliche Konto (z. B. "User") in die Gruppe Benutzer verschieben.
3. Als User anmelden und mit den Programmen Regmon [3] und Filemon [4] alle Zugriffe auf Dateien und die Registry überwachen.
4. Die Programme von Sysinternals melden alle Aktionen, die wegen mangelnder Rechte fehlschlagen - die Rechte entsprechend der Meldungen erweitern.
5. Verknüpfungen erstellen zu Programmen, die immer mit Administrator-Rechten starten sollen - dazu Kommandozeilenprogramm runas.exe verwenden, auch bekannt als der in Windows integrierte Dienst Sekundäre Anmeldung.
6. Für nachträgliche Installationen eine Batch-Datei verwenden: "Zuerst startet das Programm Runas im Sicherheitskontext des Administrators. Das ruft die Kommandozeile cmd auf und übergibt ihr zwei durch "&&" getrennte Befehle: Der eine entfernt das Konto User aus der Gruppe der Benutzer, der andere fügt den User in die Gruppe der Administratoren ein und das war es dann auch schon. Nun meldet die Batch-Datei mit dem Befehl "Logoff" den Nutzer ab, der sich sofort wieder anmelden kann und nun über die Admin-Rechte verfügt. Nach der Installation startet er die Batch-Datei erneut, meldet sich wieder an und ist die Admin-Rechte wieder los."

Code:

CLS

@ECHO OFF

TITLE Gruppenwechsel

SET Benutzerkonto=User
SET Administratorkonto=Admin

SET Benutzergruppe=Benutzer
SET Administratorengruppe=Administratoren

NET LOCALGROUP %Benutzergruppe% | FIND "%Benutzerkonto%" >NUL
IF NOT ERRORLEVEL 1 (
	SET rein=%Administratorengruppe%
	SET raus=%Benutzergruppe%
	GOTO weiter
	)

NET LOCALGROUP %Administratorengruppe% | FIND "%Benutzerkonto%" >NUL
IF NOT ERRORLEVEL 1 (
	SET rein=%Benutzergruppe%
	SET raus=%Administratorengruppe%
	GOTO weiter
	)

ECHO Angemeldeter Nutzer ist weder bei %Benutzergruppe% noch bei %Administratorengruppe% Mitglied.
ECHO Fortfahren nicht m”glich.
PAUSE
EXIT

:weiter
ECHO Nutzer %Benutzerkonto% ist Mitglied in der Gruppe %raus%. 
SET /P eingabe=In die Gruppe %rein% verschieben (J/N)?
IF /I NOT "%eingabe%"=="j" EXIT

RUNAS /USER:"%Administratorkonto%" /SAVECRED "CMD /C NET LOCALGROUP \"%rein%\" \"%Benutzerkonto%\" /ADD && NET LOCALGROUP \"%raus%\" \"%Benutzerkonto%\" /DELETE"
PING -N 2 127.0.0.1 >NUL

LOGOFF

"Normalerweise sitzt man nun vor einem System, welches auch ohne Admin-Rechte problemlos läuft, weitere Nacharbeit sollte kaum noch anfallen. Nötig kann sie sein, wenn man beispielsweise gewohnt ist, den bordeigenen Kalender durch einen Doppelklick auf die Uhr in der Taskleiste zu öffnen, denn ohne Admin-Rechte produziert das lediglich eine Fehlermeldung. Windows hindert normale Benutzer daran, denn man kann an dieser Stelle auch die Zeit ändern, und mit falscher Zeiteinstellung laufen manche Programme wie etwa das Windows-Update nicht korrekt. Hierbei handelt es sich um eine Gruppenrichtlinie, die unter XP Home nicht zu ändern ist. Unter XP Pro und 2000 konfiguriert man es im Gruppenrichtlinien- Editor Gpedit.msc unter „Richtlinien für lokaler Computer/ Computerkonfiguration/Windows- Einstellungen/Sicherheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten/ Ändern der Systemzeit“. Hier fügt man einfach die Gruppe der Benutzer hinzu."

Mit den Tipps und Tricks arbeite ich selbst seit Monaten als Benutzer anstatt wie vorher als Administrator. Die Änderungen verlangen nach Geduld, aber ich denke die die Mühe lohnt sich.

---

Abgesehen davon, was zum Thema Browser: wer beim Internet Explorer (IE) als Browser bleiben möchte, kommt dem sicheren Rechner folgendermaßen näher. In den Sicherheitseinstellungen der Webinhaltszone Internet nahezu alle Optionen deaktivieren. Nager hatte Active Scripting angesprochen, das ist der Anfang. Auch andere Rubriken wie Benutzerauthentifizierung, .NET Framework, Download usw. beinhalten Optionen, die deaktiviert werden können. Denkbare Ausnahmen sind zum Beispiel in der Kategorie Verschiedenes die Optionen Popupblocker verwenden und Unverschlüsselte Formulardaten übermitteln. Beide können aktiviert bleiben. Die Sicherheitseinstellungen im Überblick können am Beispiel eines Systems mit dem Internet Explorer 6 so aussehen:

• ActiveX-Steuerelemente und Plugins
  ActiveX-Steuerelemente ausführen, die für Scripting sicher sind
  
  • Deaktivieren
  
  ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind
  
  • Deaktivieren
  
  ActiveX-Steuerelemente und Plugins ausführen
  
  • Deaktivieren
  
  Automatische Eingabeaufforderung für ActiveX-Steuerelemente
  
  • Deaktivieren
  
  Binär- und Skriptverhalten
  
  • Deaktivieren
  
  Download von signierten ActiveX-Steuerelementen
  
  • Deaktivieren
  
  Download von unsignierten ActiveX-Steuerelementen
  
  • Deaktivieren
  
  
  
  
• Auf .NET Framework basierende Komponenten
  Ausführen von Komponenten, die mit Authenticode signiert sind
  
  • Deaktivieren
  
  Ausführen von Komponenten, die nicht mit Authenticode signiert sind
  
  • Deaktivieren
  
  
  
  
• Benutzerauthentifizierung
  Anmeldung
  
  • Automatisches Anmelden nur in der Intranetzone
  
  
  
  
• Download
  Automatische Eingabeaufforderung für Dateidownloads
  
  • Deaktivieren
  
  Dateidownload
  
  • Aktivieren
  
  Schriftartdownload
  
  • Deaktivieren
  
  
  
  
• Scripting
  Active Scripting
  
  • Deaktivieren
  
  Einfügeoperationen über ein Script zulassen
  
  • Eingabeaufforderung
  
  Scripting von Java-Applets
  
  • Deaktivieren
  
  
  
  
• Verschiedenes
  Auf Datenquellen über Domänengrenzen hinweg zugreifen
  
  • Deaktivieren
  
  Dateien basierend auf dem Inhalt und nicht der [...]
  
  • Aktivieren
  
  Dauerhaftigkeit der Benutzerdaten
  
  • Deaktivieren
  
  Gemischte Inhalte anzeigen
  
  • Deaktivieren
  
  Installation von Desktopobjekten
  
  • Deaktivieren
  
  Keine Aufforderung zur Clientzertifikatsauswahl, wenn [...]
  
  • Deaktivieren
  
  META REFRESH zulassen
  
  • Deaktivieren
  
  Popupblocker verwenden
  
  • Aktivieren
  
  Programme und Dateien in einem IFRAME starten
  
  • Deaktivieren
  
  Skript initiierte Fenster ohne Größen- bzw. [...]
  
  • Deaktivieren
  
  Skripting des Internet Explorer-Webbrowsersteuerelements [...]
  
  • Deaktivieren
  
  Subframes zwischen verschiedenen Domänen bewegen
  
  • Deaktiveren
  
  Unverschlüsselte Formulardaten übermitteln
  
  • Aktivieren
  
  Verwendung eingeschränkter Protokolle mit aktiven [...]
  
  • Eingabeaufforderung
  
  Websites, die sich Webinhaltszonen niedriger Berechtigung [...]
  
  • Deaktivieren
  
  Ziehen und Ablegen oder Kopieren und Einfügen [...]
  
  • Aktivieren
  
  Zugriffsrechte für Softwarechannel
  
  • Hohe Sicherheit

Das und mehr zum Thema IE ist ebenfalls in einem Artikel der c't zusammengefasst. Er heißt "Verrammelt - Internet Explorer sicher konfigurieren", Axel Vahldiek hat ihn geschrieben und er wurde in Ausgabe 13/2004 veröffentlicht. Im c't-Archiv [1] ist er für -,60 EUR käuflich zu erwerben.

---

[1] Heise c't-Archiv
>> http://www.heise.de/kiosk/archiv/ct/

[2] Axel Vahldieks Artikel zu Benutzerrechten
>> http://www.heise.de/kiosk/archiv/ct/2004/15/118

[3] Sysinternals Registry-Monitor Regmon
>> http://www.sysinternals.com/ntw2k/source/regmon.shtml

[4] Sysinternals Dateimonitor Filemon
>> http://www.sysinternals.com/ntw2k/source/filemon.shtml

[Centurio81]

Ich halt meinen Norton Virenscanner aktuell und hab alle überflüssigen Windows Dienste deaktiviert.
Seitdem keine Probleme mehr.