In der Liste fehlt ein Punkt, der mir wichtig ist: Rechte einschränken.

Unter anderem Windows 2000, Windows XP und Windows Server 2003 unterscheiden zwischen mehreren Benutzergruppen. Jede der Benutzergruppen hat Rechte. Zum Beispiel das Recht, EXE-Dateien auszuführen. Und das Recht, die Registry zu verändern sowie Prozesse und Dienste zu starten und zu beenden. Viele Nutzer arbeiten als Mitglied der Benutzergruppe Administratoren - und verfügen somit über nahezu uneingeschränkte Rechte. Die Rechte, die sie nicht haben, können sie sich selbst einräumen.

Wer auf diese Rechte verzichtet, nutzt ein sichereres Windows als jeder, der mit ihnen arbeitet. "Der Grundgedanke des Sicherheitskonzepts: Jeder Anwender, der vor dem PC sitzt, darf alles, was er will oder muss, also beispielsweise seine Programme starten und mit seinen Dokumenten umgehen. Alles das, was er normalerweise nicht dürfen sollte, also beispielsweise die Festplatte formatieren oder einen Dialer installieren, darf er auch nicht."

Das Computermagazin c't hat in Ausgabe 15/2004 einen Artikel namens "Es geht auch ohne - Arbeiten ohne Admin-Rechte unter Windows" veröffentlicht. Der Autor Axel Vahldiek erklärt Schritt für Schritt, was ich an meinem Windows verändere, um am Ende praktisch ohne Komfortverlust als Mitglied der Gruppe Benutzer zu arbeiten anstatt als Admin. Der Heise Zeitschriftenverlag bietet den Artikel in seinem Archiv [1] zum kostenpflichtigen Download an, um genau zu sein hier [2]. Die vier Seiten umfassende PDF-Datei kostet -,60 EUR - meiner Meinung nach eine Investition, die sich lohnt. Die im Artikel beschriebenen Arbeitsschritte fasse ich als Stichworte zusammen. Die Stichworte sind aber kaum mehr als ein Vorgeschmack auf die Informationen, die der vollständige Text bietet.
  1. Einen Nutzer mit Administratorrechten erstellen, z. B. "Admin".
  2. Als Admin anmelden und das ursprüngliche Konto (z. B. "User") in die Gruppe Benutzer verschieben.
  3. Als User anmelden und mit den Programmen Regmon [3] und Filemon [4] alle Zugriffe auf Dateien und die Registry überwachen.
  4. Die Programme von Sysinternals melden alle Aktionen, die wegen mangelnder Rechte fehlschlagen - die Rechte entsprechend der Meldungen erweitern.
  5. Verknüpfungen erstellen zu Programmen, die immer mit Administrator-Rechten starten sollen - dazu Kommandozeilenprogramm runas.exe verwenden, auch bekannt als der in Windows integrierte Dienst Sekundäre Anmeldung.
  6. Für nachträgliche Installationen eine Batch-Datei verwenden: "Zuerst startet das Programm Runas im Sicherheitskontext des Administrators. Das ruft die Kommandozeile cmd auf und übergibt ihr zwei durch "&&" getrennte Befehle: Der eine entfernt das Konto User aus der Gruppe der Benutzer, der andere fügt den User in die Gruppe der Administratoren ein und das war es dann auch schon. Nun meldet die Batch-Datei mit dem Befehl "Logoff" den Nutzer ab, der sich sofort wieder anmelden kann und nun über die Admin-Rechte verfügt. Nach der Installation startet er die Batch-Datei erneut, meldet sich wieder an und ist die Admin-Rechte wieder los."


Code:
CLS

@ECHO OFF

TITLE Gruppenwechsel

SET Benutzerkonto=User
SET Administratorkonto=Admin

SET Benutzergruppe=Benutzer
SET Administratorengruppe=Administratoren

NET LOCALGROUP %Benutzergruppe% | FIND "%Benutzerkonto%" >NUL
IF NOT ERRORLEVEL 1 (
	SET rein=%Administratorengruppe%
	SET raus=%Benutzergruppe%
	GOTO weiter
	)

NET LOCALGROUP %Administratorengruppe% | FIND "%Benutzerkonto%" >NUL
IF NOT ERRORLEVEL 1 (
	SET rein=%Benutzergruppe%
	SET raus=%Administratorengruppe%
	GOTO weiter
	)

ECHO Angemeldeter Nutzer ist weder bei %Benutzergruppe% noch bei %Administratorengruppe% Mitglied.
ECHO Fortfahren nicht m”glich.
PAUSE
EXIT

:weiter
ECHO Nutzer %Benutzerkonto% ist Mitglied in der Gruppe %raus%. 
SET /P eingabe=In die Gruppe %rein% verschieben (J/N)?
IF /I NOT "%eingabe%"=="j" EXIT

RUNAS /USER:"%Administratorkonto%" /SAVECRED "CMD /C NET LOCALGROUP \"%rein%\" \"%Benutzerkonto%\" /ADD && NET LOCALGROUP \"%raus%\" \"%Benutzerkonto%\" /DELETE"
PING -N 2 127.0.0.1 >NUL

LOGOFF
"Normalerweise sitzt man nun vor einem System, welches auch ohne Admin-Rechte problemlos läuft, weitere Nacharbeit sollte kaum noch anfallen. Nötig kann sie sein, wenn man beispielsweise gewohnt ist, den bordeigenen Kalender durch einen Doppelklick auf die Uhr in der Taskleiste zu öffnen, denn ohne Admin-Rechte produziert das lediglich eine Fehlermeldung. Windows hindert normale Benutzer daran, denn man kann an dieser Stelle auch die Zeit ändern, und mit falscher Zeiteinstellung laufen manche Programme wie etwa das Windows-Update nicht korrekt. Hierbei handelt es sich um eine Gruppenrichtlinie, die unter XP Home nicht zu ändern ist. Unter XP Pro und 2000 konfiguriert man es im Gruppenrichtlinien- Editor Gpedit.msc unter „Richtlinien für lokaler Computer/ Computerkonfiguration/Windows- Einstellungen/Sicherheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten/ Ändern der Systemzeit“. Hier fügt man einfach die Gruppe der Benutzer hinzu."

Mit den Tipps und Tricks arbeite ich selbst seit Monaten als Benutzer anstatt wie vorher als Administrator. Die Änderungen verlangen nach Geduld, aber ich denke die die Mühe lohnt sich.

---

Abgesehen davon, was zum Thema Browser: wer beim Internet Explorer (IE) als Browser bleiben möchte, kommt dem sicheren Rechner folgendermaßen näher. In den Sicherheitseinstellungen der Webinhaltszone Internet nahezu alle Optionen deaktivieren. Nager hatte Active Scripting angesprochen, das ist der Anfang. Auch andere Rubriken wie Benutzerauthentifizierung, .NET Framework, Download usw. beinhalten Optionen, die deaktiviert werden können. Denkbare Ausnahmen sind zum Beispiel in der Kategorie Verschiedenes die Optionen Popupblocker verwenden und Unverschlüsselte Formulardaten übermitteln. Beide können aktiviert bleiben. Die Sicherheitseinstellungen im Überblick können am Beispiel eines Systems mit dem Internet Explorer 6 so aussehen:


  • ActiveX-Steuerelemente und Plugins
    ActiveX-Steuerelemente ausführen, die für Scripting sicher sind
    • Deaktivieren

    ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind
    • Deaktivieren

    ActiveX-Steuerelemente und Plugins ausführen
    • Deaktivieren

    Automatische Eingabeaufforderung für ActiveX-Steuerelemente
    • Deaktivieren

    Binär- und Skriptverhalten
    • Deaktivieren

    Download von signierten ActiveX-Steuerelementen
    • Deaktivieren

    Download von unsignierten ActiveX-Steuerelementen
    • Deaktivieren



  • Auf .NET Framework basierende Komponenten
    Ausführen von Komponenten, die mit Authenticode signiert sind
    • Deaktivieren

    Ausführen von Komponenten, die nicht mit Authenticode signiert sind
    • Deaktivieren



  • Benutzerauthentifizierung
    Anmeldung
    • Automatisches Anmelden nur in der Intranetzone



  • Download
    Automatische Eingabeaufforderung für Dateidownloads
    • Deaktivieren

    Dateidownload
    • Aktivieren

    Schriftartdownload
    • Deaktivieren



  • Scripting
    Active Scripting
    • Deaktivieren

    Einfügeoperationen über ein Script zulassen
    • Eingabeaufforderung

    Scripting von Java-Applets
    • Deaktivieren



  • Verschiedenes
    Auf Datenquellen über Domänengrenzen hinweg zugreifen
    • Deaktivieren

    Dateien basierend auf dem Inhalt und nicht der [...]
    • Aktivieren

    Dauerhaftigkeit der Benutzerdaten
    • Deaktivieren

    Gemischte Inhalte anzeigen
    • Deaktivieren

    Installation von Desktopobjekten
    • Deaktivieren

    Keine Aufforderung zur Clientzertifikatsauswahl, wenn [...]
    • Deaktivieren

    META REFRESH zulassen
    • Deaktivieren

    Popupblocker verwenden
    • Aktivieren

    Programme und Dateien in einem IFRAME starten
    • Deaktivieren

    Skript initiierte Fenster ohne Größen- bzw. [...]
    • Deaktivieren

    Skripting des Internet Explorer-Webbrowsersteuerelements [...]
    • Deaktivieren

    Subframes zwischen verschiedenen Domänen bewegen
    • Deaktiveren

    Unverschlüsselte Formulardaten übermitteln
    • Aktivieren

    Verwendung eingeschränkter Protokolle mit aktiven [...]
    • Eingabeaufforderung

    Websites, die sich Webinhaltszonen niedriger Berechtigung [...]
    • Deaktivieren

    Ziehen und Ablegen oder Kopieren und Einfügen [...]
    • Aktivieren

    Zugriffsrechte für Softwarechannel
    • Hohe Sicherheit
Das und mehr zum Thema IE ist ebenfalls in einem Artikel der c't zusammengefasst. Er heißt "Verrammelt - Internet Explorer sicher konfigurieren", Axel Vahldiek hat ihn geschrieben und er wurde in Ausgabe 13/2004 veröffentlicht. Im c't-Archiv [1] ist er für -,60 EUR käuflich zu erwerben.

---

[1] Heise c't-Archiv
>> http://www.heise.de/kiosk/archiv/ct/

[2] Axel Vahldieks Artikel zu Benutzerrechten
>> http://www.heise.de/kiosk/archiv/ct/2004/15/118

[3] Sysinternals Registry-Monitor Regmon
>> http://www.sysinternals.com/ntw2k/source/regmon.shtml

[4] Sysinternals Dateimonitor Filemon
>> http://www.sysinternals.com/ntw2k/source/filemon.shtml