In der Liste fehlt ein Punkt, der mir wichtig ist: Rechte einschränken.
Unter anderem Windows 2000, Windows XP und Windows Server 2003 unterscheiden zwischen mehreren Benutzergruppen. Jede der Benutzergruppen hat Rechte. Zum Beispiel das Recht, EXE-Dateien auszuführen. Und das Recht, die Registry zu verändern sowie Prozesse und Dienste zu starten und zu beenden. Viele Nutzer arbeiten als Mitglied der Benutzergruppe Administratoren - und verfügen somit über nahezu uneingeschränkte Rechte. Die Rechte, die sie nicht haben, können sie sich selbst einräumen.
Wer auf diese Rechte verzichtet, nutzt ein sichereres Windows als jeder, der mit ihnen arbeitet. "Der Grundgedanke des Sicherheitskonzepts: Jeder Anwender, der vor dem PC sitzt, darf alles, was er will oder muss, also beispielsweise seine Programme starten und mit seinen Dokumenten umgehen. Alles das, was er normalerweise nicht dürfen sollte, also beispielsweise die Festplatte formatieren oder einen Dialer installieren, darf er auch nicht."
Das Computermagazin c't hat in Ausgabe 15/2004 einen Artikel namens "Es geht auch ohne - Arbeiten ohne Admin-Rechte unter Windows" veröffentlicht. Der Autor Axel Vahldiek erklärt Schritt für Schritt, was ich an meinem Windows verändere, um am Ende praktisch ohne Komfortverlust als Mitglied der Gruppe Benutzer zu arbeiten anstatt als Admin. Der Heise Zeitschriftenverlag bietet den Artikel in seinem Archiv [1] zum kostenpflichtigen Download an, um genau zu sein hier [2]. Die vier Seiten umfassende PDF-Datei kostet -,60 EUR - meiner Meinung nach eine Investition, die sich lohnt. Die im Artikel beschriebenen Arbeitsschritte fasse ich als Stichworte zusammen. Die Stichworte sind aber kaum mehr als ein Vorgeschmack auf die Informationen, die der vollständige Text bietet.- Einen Nutzer mit Administratorrechten erstellen, z. B. "Admin".
- Als Admin anmelden und das ursprüngliche Konto (z. B. "User") in die Gruppe Benutzer verschieben.
- Als User anmelden und mit den Programmen Regmon [3] und Filemon [4] alle Zugriffe auf Dateien und die Registry überwachen.
- Die Programme von Sysinternals melden alle Aktionen, die wegen mangelnder Rechte fehlschlagen - die Rechte entsprechend der Meldungen erweitern.
- Verknüpfungen erstellen zu Programmen, die immer mit Administrator-Rechten starten sollen - dazu Kommandozeilenprogramm runas.exe verwenden, auch bekannt als der in Windows integrierte Dienst Sekundäre Anmeldung.
- Für nachträgliche Installationen eine Batch-Datei verwenden: "Zuerst startet das Programm Runas im Sicherheitskontext des Administrators. Das ruft die Kommandozeile cmd auf und übergibt ihr zwei durch "&&" getrennte Befehle: Der eine entfernt das Konto User aus der Gruppe der Benutzer, der andere fügt den User in die Gruppe der Administratoren ein und das war es dann auch schon. Nun meldet die Batch-Datei mit dem Befehl "Logoff" den Nutzer ab, der sich sofort wieder anmelden kann und nun über die Admin-Rechte verfügt. Nach der Installation startet er die Batch-Datei erneut, meldet sich wieder an und ist die Admin-Rechte wieder los."
Code:
CLS
@ECHO OFF
TITLE Gruppenwechsel
SET Benutzerkonto=User
SET Administratorkonto=Admin
SET Benutzergruppe=Benutzer
SET Administratorengruppe=Administratoren
NET LOCALGROUP %Benutzergruppe% | FIND "%Benutzerkonto%" >NUL
IF NOT ERRORLEVEL 1 (
SET rein=%Administratorengruppe%
SET raus=%Benutzergruppe%
GOTO weiter
)
NET LOCALGROUP %Administratorengruppe% | FIND "%Benutzerkonto%" >NUL
IF NOT ERRORLEVEL 1 (
SET rein=%Benutzergruppe%
SET raus=%Administratorengruppe%
GOTO weiter
)
ECHO Angemeldeter Nutzer ist weder bei %Benutzergruppe% noch bei %Administratorengruppe% Mitglied.
ECHO Fortfahren nicht m”glich.
PAUSE
EXIT
:weiter
ECHO Nutzer %Benutzerkonto% ist Mitglied in der Gruppe %raus%.
SET /P eingabe=In die Gruppe %rein% verschieben (J/N)?
IF /I NOT "%eingabe%"=="j" EXIT
RUNAS /USER:"%Administratorkonto%" /SAVECRED "CMD /C NET LOCALGROUP \"%rein%\" \"%Benutzerkonto%\" /ADD && NET LOCALGROUP \"%raus%\" \"%Benutzerkonto%\" /DELETE"
PING -N 2 127.0.0.1 >NUL
LOGOFF
"Normalerweise sitzt man nun vor einem System, welches auch ohne Admin-Rechte problemlos läuft, weitere Nacharbeit sollte kaum noch anfallen. Nötig kann sie sein, wenn man beispielsweise gewohnt ist, den bordeigenen Kalender durch einen Doppelklick auf die Uhr in der Taskleiste zu öffnen, denn ohne Admin-Rechte produziert das lediglich eine Fehlermeldung. Windows hindert normale Benutzer daran, denn man kann an dieser Stelle auch die Zeit ändern, und mit falscher Zeiteinstellung laufen manche Programme wie etwa das Windows-Update nicht korrekt. Hierbei handelt es sich um eine Gruppenrichtlinie, die unter XP Home nicht zu ändern ist. Unter XP Pro und 2000 konfiguriert man es im Gruppenrichtlinien- Editor Gpedit.msc unter „Richtlinien für lokaler Computer/ Computerkonfiguration/Windows- Einstellungen/Sicherheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten/ Ändern der Systemzeit“. Hier fügt man einfach die Gruppe der Benutzer hinzu."
Mit den Tipps und Tricks arbeite ich selbst seit Monaten als Benutzer anstatt wie vorher als Administrator. Die Änderungen verlangen nach Geduld, aber ich denke die die Mühe lohnt sich.
---
Abgesehen davon, was zum Thema Browser: wer beim Internet Explorer (IE) als Browser bleiben möchte, kommt dem sicheren Rechner folgendermaßen näher. In den Sicherheitseinstellungen der Webinhaltszone Internet nahezu alle Optionen deaktivieren. Nager hatte Active Scripting angesprochen, das ist der Anfang. Auch andere Rubriken wie Benutzerauthentifizierung, .NET Framework, Download usw. beinhalten Optionen, die deaktiviert werden können. Denkbare Ausnahmen sind zum Beispiel in der Kategorie Verschiedenes die Optionen Popupblocker verwenden und Unverschlüsselte Formulardaten übermitteln. Beide können aktiviert bleiben. Die Sicherheitseinstellungen im Überblick können am Beispiel eines Systems mit dem Internet Explorer 6 so aussehen:
- ActiveX-Steuerelemente und Plugins
ActiveX-Steuerelemente ausführen, die für Scripting sicher sind
ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind
ActiveX-Steuerelemente und Plugins ausführen
Automatische Eingabeaufforderung für ActiveX-Steuerelemente
Binär- und Skriptverhalten
Download von signierten ActiveX-Steuerelementen
Download von unsignierten ActiveX-Steuerelementen
- Auf .NET Framework basierende Komponenten
Ausführen von Komponenten, die mit Authenticode signiert sind
Ausführen von Komponenten, die nicht mit Authenticode signiert sind
- Benutzerauthentifizierung
Anmeldung
- Automatisches Anmelden nur in der Intranetzone
- Download
Automatische Eingabeaufforderung für Dateidownloads
Dateidownload
Schriftartdownload
- Scripting
Active Scripting
Einfügeoperationen über ein Script zulassen
Scripting von Java-Applets
- Verschiedenes
Auf Datenquellen über Domänengrenzen hinweg zugreifen
Dateien basierend auf dem Inhalt und nicht der [...]
Dauerhaftigkeit der Benutzerdaten
Gemischte Inhalte anzeigen
Installation von Desktopobjekten
Keine Aufforderung zur Clientzertifikatsauswahl, wenn [...]
META REFRESH zulassen
Popupblocker verwenden
Programme und Dateien in einem IFRAME starten
Skript initiierte Fenster ohne Größen- bzw. [...]
Skripting des Internet Explorer-Webbrowsersteuerelements [...]
Subframes zwischen verschiedenen Domänen bewegen
Unverschlüsselte Formulardaten übermitteln
Verwendung eingeschränkter Protokolle mit aktiven [...]
Websites, die sich Webinhaltszonen niedriger Berechtigung [...]
Ziehen und Ablegen oder Kopieren und Einfügen [...]
Zugriffsrechte für Softwarechannel
Das und mehr zum Thema IE ist ebenfalls in einem Artikel der c't zusammengefasst. Er heißt "Verrammelt - Internet Explorer sicher konfigurieren", Axel Vahldiek hat ihn geschrieben und er wurde in Ausgabe 13/2004 veröffentlicht. Im c't-Archiv [1] ist er für -,60 EUR käuflich zu erwerben.
---
[1] Heise c't-Archiv
>> http://www.heise.de/kiosk/archiv/ct/
[2] Axel Vahldieks Artikel zu Benutzerrechten
>> http://www.heise.de/kiosk/archiv/ct/2004/15/118
[3] Sysinternals Registry-Monitor Regmon
>> http://www.sysinternals.com/ntw2k/source/regmon.shtml
[4] Sysinternals Dateimonitor Filemon
>> http://www.sysinternals.com/ntw2k/source/filemon.shtml
Als Lesezeichen weiterleiten