Von Gaby Salvisberg. Der Artikel stammt von unserer Schwesterpublikation PCtipp.
Sie nutzen noch Windows XP oder Vista? Dann sollten Sie diesen Artikel sorgfältig lesen. Aber auch Windows-7-User finden hier grundlegende Informationen und viel Hintergrundwissen zum Thema Administratorkonten und User-Konten unter Windows.
Die größte Sicherheitslücke auf Ihrem PC sind Sie selbst. Und wahrscheinlich stoßen Sie schon mit dem Start von Windows die erste Türe für Schädlinge auf. Der Grund liegt in der Organisation von Windows 2000 und XP: Schon wenn Sie sich einloggen, haben Sie je nach Status verschiedene Rechte, Sie können beispielsweise Programme installieren oder eben nur öffnen.
Der am häufigsten verwendete Anwenderstatus ist jener des Administrators, der von Microsoft für Windows XP und Vista voreingestellt ist. Fatalerweise hat der Administrator unbeschränkte Rechte – und ist damit auch am risikoreichsten. Selbstbeschränkung ist daher der beste Weg zur Sicherheit. Solange der Anwender selbst keine Software installieren darf, kann sich auch Spyware nicht heimlich installieren, über die er beim Surfen im Web stolpert. Blöd nur, dass fast jeder Benutzer auf seinem PC dauernd mit vollen Administratorrechten unterwegs ist. Dies vor allem, weil es von Microsoft so voreingestellt ist, wenn Sie Ihren PC oder ein neu installiertes Windows in Betrieb nehmen.
Doch Microsoft hat uns nicht nur Übles eingebrockt: Windows 2000 und XP sowie Vista sind mit einer ausgeklügelten Rechteverwaltung ausgestattet, um die Schreib- und Lesezugriffe auf dem System zu regeln. Dies wird – fast wie in einem Club – über Mitgliedschaften gesteuert. Wir zeigen Ihnen, wie Sie alle Benutzerrechter unter Windows optimal einstellen um maximale Sicherheit zu bekommen. Unsere Beispiele beziehen sich auf Windows XP, unter Vista und Windows 7 ist die Vorgehensweise aber ähnlich. Seit Windows Vista gibt es im Bereich Rechteverwaltung zudem Jugend-/Kinderschutz-Funktionen.
So funktionieren die Benutzer-Rechte unter Windows
Welchem Club Ihr Benutzerkonto angehört, entscheidet darüber, was Sie auf Ihrem PC tun dürfen. Als Mitglied der Gruppe Computeradministrator verfügen Sie über die goldene Clubkarte: Benutzer erfassen und ändern, Systemdateien überschreiben oder löschen, Programme installieren, Einstellungen anpassen – all dies ist Ihnen erlaubt und noch vieles mehr, das Einfluss aufs gesamte Windows hat.
Wer stattdessen mit einem eingeschränkten Konto arbeitet, darf nur die vorhandenen Programme nutzen, den eigenen Desktop anpassen, das Kennwort ändern und Dateien in den eigenen Ordnern ablegen. Unter Windows 2000 und XP Professional gibt es zusätzlich eine Gruppe namens Hauptbenutzer. Mitglieder dieses Clubs haben fast so viele Rechte wie die Administratoren; deshalb ist die tägliche Arbeit als Hauptbenutzer praktisch genauso unsicher.
Unser Rat: Verrichten Sie Ihre tägliche Arbeit stets als eingeschränkter Benutzer. Greifen Sie nur in Ausnahmefällen zu einem Konto mit Administratorrechten. Niemand ist in der Alltagsroutine vor gelegentlichen Konzentrationsschwächen gefeit. Irgendwann kommt der Tag, an dem Sie den falschen Klick tun oder eine Systemdatei löschen oder überschreiben. Passiert Ihnen dies mit einem eingeschränkten Konto, sind die Folgen meist zu verschmerzen.
Ohne volle Systemrechte finden auch Computerschädlinge eine viel kleinere Angriffsfläche vor, falls es einer auf Ihre Festplatte schafft. Eine vernünftige Trennung zwischen Anwender- und Administratorkonto sorgt nicht zuletzt dafür, dass Sie Ihre Dateien und Einstellungen nicht übers ganze System verstreuen, sondern in den dafür vorgesehenen Ordnern ablegen. Das erleichtert nicht nur das Wiederfinden, sondern auch das Sichern der Daten erheblich.
Perfektes Zusammenspiel
Windows legt während seiner Installation fest, wo welche Dateien liegen sollen. Das Betriebssystem selbst macht es sich meist im Ordner C:\Windows oder C:\WINNT bequem. Für die zusätzlich installierte Software ist C:\Programme vorgesehen. Die Einstellungen und persönlichen Dateien des Anwenders liegen dagegen in C:\Dokumente und Einstellungen\Benutzername. Benutzer mit einem eingeschränkten Konto dürfen ausschliesslich in diesem Ordner Dateien und Ordner erstellen, löschen oder verändern. Aus dem Windows- oder Programme-Ordner werden sie jedoch rigoros ausgesperrt.
Die meisten Programmierer sorgen heute dafür, dass ihre Produkte im Zusammenspiel mit Windows alles richtig machen: Beim Hinzufügen einer Software sind stets Administratorrechte notwendig. Im Laufe der Installation entsteht ein Ordner wie C:\Programme\Softwarename, in dem die meisten Programmdateien liegen. Zudem werden noch einige Registry-Einträge angelegt und vereinzelte Systemdateien innerhalb von C:\Windows platziert. Zuletzt erstellt das Installationsprogramm die erforderlichen Verknüpfungen im Startmenü und bereitet sich auf die Nutzung durch jedes auf dem PC vorhandene Benutzerkonto vor. Sobald sich beispielsweise der eingeschränkte Benutzer "Vreni" anmeldet und die Software zum ersten Mal startet, treten die Vorteile einer umsichtigen Programmierung zutage: Das Programm erstellt innerhalb von C:\Dokumente und Einstellungen\vreni\Anwendungsdaten einen neuen Ordner, in dem es fortan die von Vreni gewählten Einstellungen verwaltet.
Schritt für Schritt
Administratorrechte brauchen Sie heutzutage fast nur noch für administrative Computertätigkeiten. Wie Sie gelesen haben, folgen die meisten Programme demselben – von Windows vorgegebenen – Konzept. Darum dürfen Sie davon ausgehen, dass eine Arbeit mit fast jeder modernen Software auch im eingeschränkten Benutzerkonto problemlos funktioniert. Auf den nächsten Seiten zeigen wir Ihnen, wie das geht.
Voraussetzung: NTFS statt FAT
Eine Rechtetrennung funktioniert unter Windows nur auf Laufwerken, die mit dem Dateisystem NTFS formatiert sind. Klicken Sie ein Festplattenlaufwerk im Arbeitsplatz mit Rechts an und öffnen Sie die Eigenschaften. Hinter "Dateisystem" erkennen Sie das Format. Praktischerweise ist Windows imstande, das Format eines Datenträgers ganz ohne Datenverlust von FAT32 in NTFS umzuwandeln. Aber aufgepasst: Sie sollten dies nur mit internen (eingebauten eingebauten) Harddisks tun, auf die Sie nie mit einem anderen Betriebssystem (z.B. Windows 98/Me oder Linux) zugreifen müssen.
Soll sich nur Ihr Windows 2000 oder XP mit dem Laufwerk befassen, wandeln Sie es getrost um. NTFS ist nicht nur der Zugriffsrechte wegen sicherer als FAT32, auch die Daten bleiben mit NTFS zuverlässiger gespeichert. Verlorene Zeichenketten, wie sie früher gang und gäbe waren, sind Vergangenheit. Zudem kann NTFS auch Dateien über 4 GB Grösse verwalten, was z.B. beim Videoschnitt ein grosser Vorteil ist. Das Umwandeln selbst ist einfach: Drücken Sie Windowstaste+R (oder öffnen Sie Start/Ausführen), tippen Sie cmd ein und drücken Enter.
Wenn Sie help convert eingeben und mit Enter bestätigen, erscheint eine kurze Beschreibung des Konvertierbefehls. Um Laufwerk E: umzuwandeln, tippen Sie: convert e: /FS:NTFS B. Statt E: verwenden Sie selbstverständlich den Buchstaben Ihres Laufwerks. Danach erscheint eine Aufforderung wie "Geben Sie die aktuelle Volumebezeichnung für Laufwerk E: ein:" C. Den ge suchten Namen finden Sie im Eigenschaftenfenster, in unserem Beispiel lautet er "HD2". Geben Sie dies ein und bestätigen Sie mit Enter, dann erfolgt die Umwandlung sofort. Falls nicht, greifen möglicherweise im Moment noch Programme auf das Laufwerk zu. Die Konvertierung wird in diesem Fall auf den nächsten PC-Neustart verschoben. Beim Umwandeln von Laufwerk C: ist dies immer der Fall.
Administratorkonto unter Windows erstellen
Als Sie damals Ihr nagelneues Windows in Betrieb nahmen, wurden Sie bestimmt zum Anlegen eines Benutzerkontos aufgefordert. Dieses (in unserem Beispiel heisst das Konto "Vreni") hat leider automatisch die Rechte eines Computeradministrators erhalten. Das ist aus den eingangs geschilderten Gründen sehr unsicher, deshalb verzichten Sie mit Vorteil auf unnötige Administratorrechte. Nun haben Sie aber über die ganzen Monate oder Jahre hinweg unzählige persönliche Einstellungen festgelegt und sich Ihren Lieblings-Desktop zusammengeschustert. Klar, möchten Sie im neuen Benutzerkonto nicht auf all das verzichten. Also erstellen Sie zuerst ein neues zweites Konto, das ebenfalls über Administratorrechte verfügt. Zu diesem greifen Sie später nur für Verwaltungszwecke, sprich zum Erstellen oder Ändern von Benutzern, zur Installation von Anwendungen und dergleichen.
Öffnen Sie dazu in der Systemsteuerung die Benutzerkonten. Klicken Sie auf Neues Konto erstellen und tippen Sie im nächsten Fenster einen Namen dafür ein, z.B. "Vreniadmin". Mit Weiter gelangen Sie zur Auswahl des Kontotyps. Lassen Sie "Computeradministrator" ausgewählt und übernehmen Sie dies per Konto erstellen. Schon erscheint es in der Konten übersicht.
Den Anwender entmündigen
Sie haben natürlich nichts gegen Vreni! Aber Sie degradieren jetzt das "Vreni"-Konto trotzdem zum eingeschränkten Benutzer: Melden Sie sich erst via Start/Abmelden vom Konto "Vreni" ab und als "Vreniadmin" wieder neu an. Der erste Start mit dem neuen Konto dauert ein Weilchen, weil Windows dafür einige Einstellungen vorbereitet. Klicken Sie danach unter Systemsteuerung/Benutzerkonten das "Vreni"-Konto an und gehen darin zu Kontotyp ändern. Aktivieren Sie die Option "Eingeschränkt" und bestätigen Sie via Schaltfläche Kontotyp ändern. Fertig!
Weitere User einrichten
Will Fritz ebenfalls an diesem PC arbeiten, bekommt auch er sein eigenes Benutzerkonto. Bleiben Sie gleich als "Vreniadmin" angemeldet. Der Rest geht genau gleich, wie in "Administratorkonto erstellen" beschrieben – mit einem Unterschied: Sie wählen fürs "Fritz"-Konto beim Kontotyp nicht "Computeradministrator", sondern "Eingeschränkt". Am Schluss präsentiert sich die Sache wie im nebenstehenden Screenshot. Sie haben einen Administrator für die Verwaltung und zwei eingeschränkte Konten für die täglichen Arbeiten.
Tipps für den Admin-Desktop
Administrative Arbeiten wie z.B. Windows-Updates oder umfangreiche Software-Installationen ziehen sich oft ganz schön in die Länge. Kommen Sie während solcher Vorgänge trotz aufkeimender Langeweile nicht in Versuchung, mit dem Administratorkonto nebenher noch etwas herumzusurfen oder Mails zu lesen. Mit vollen Administratorrechten besuchen Sie am besten nur jene Webseiten, die Sie für die anfallenden Aufgaben unbedingt benötigen. Sie dürfen zu keinem Zeitpunkt vergessen, dass Sie mit dem verwundbaren Administratorkonto unterwegs sind.
Mit einem kleinen Trick rufen Sie sich die Gefahren in Erinnerung: Ändern Sie in Ihrem Administratorkonto einfach den Desktop-Hintergrund: Rechtsklick auf den Desktop, Menü Eigenschaften, Register Desktop. Als Hintergrundbild wählen Sie "Kein" und weisen ihm dafür via "Farbe" z.B. Signalrot oder -orange zu. Für Ihren Administrator-Desktop haben wir noch einige andere Tipps auf Lager: Navigieren Sie per Windows-Explorer zum Ordner C:\Windows\System32. Öffnen Sie Extras/Ordneroptionen/ Ansicht. Die Häkchen müssen weg bei den Optionen "Geschützte Systemdateien ausblenden" und "Erweiterungen bei bekannten Dateitypen ausblenden". Aktivieren Sie stattdessen "Inhalte von Systemordnern anzeigen" und unterhalb von "Versteckte Dateien und Ordner" die Option "Alle Dateien und Ordner anzeigen".
Ziehen Sie jetzt mit der rechten Maustaste Verknüpfungen der folgenden Dateien in dem Ordner auf den Desktop oder in die Schnellstartleiste: lusrmgr.msc gibt Direktzugriff auf die Benutzerverwaltung, mit devmgmt.msc wird auf Wunsch direkt der Gerätemanager geöffnet, bei eventvwr. msc handelt es sich um die Ereignisanzeige, diskmgmt.msc startet die Datenträgerverwaltung und services.msc die Verwaltung der Dienste.
Dies sind wichtige Systemverwaltungswerkzeuge, die Sie jetzt einfach durch Doppelklick auf die Verknüpfungen starten können. Sind Ihnen das zu viele Icons, ziehen Sie lediglich eine Verknüpfung zu compmgmt.msc auf den Desktop. So haben Sie Zugriff auf Datenträgerverwaltung, Ereignisanzeige, Dienstverwaltung und Gerätemanager. Freunde der Kommandozeile ("DOS-Fenster") verknüpfen zudem noch cmd.exe. Und auch diese beiden nützlichen Systemsteuerungselemente verlinken Sie am besten auf den Desktop: appwiz.cpl für Software-Installationen und timedate.cpl zum Anpassen von Datum und Zeit.
Passwörter erstellen
Im Moment haben die verschiedenen Konten ("Vreniadmin", "Vreni" und "Fritz") noch keine Passwörter. So bräuchte z.B. Vreni auf dem Windows-Startbildschirm bloss Fritz’ Benutzer-Icon anzuklicken, um die privaten Dokumente und E-Mails des Wohngenossen zu lesen. Falls Sie das nicht möchten, schützen Sie die Konten mit Passwörtern. Melden Sie sich mit Ihrem Benutzerkonto an und öffnen Sie in der Systemsteuerung die Benutzerkonten. Nach einem Klick auf Kennwort erstellen geben Sie Ihr Passwort in den zwei Kennwortfeldern ein, das vermeidet Vertipper Übernehmen Sie mit einem Klick auf die Schaltfläche Kennwort erstellen. Wenn Vreni sich nun als "Fritz" anmelden will, kommt sie ohne Kennwort nicht weiter. Und von ihrem Konto aus hat sie keine Chance, auf Fritz’ "Eigene Dateien"-Ordner zuzugreifen.
User-Kennwort vergessen?
Das kann schon mal vorkommen. Melden Sie sich mit dem Administratorkonto an. Klicken Sie unter Systemsteuerung/Benutzerkonten das Konto des zerstreuten Anwenders an. Klicken Sie auf Kennwort entfernen. So kann sich anschliessend der Nutzer wieder ohne Kennwort anmelden und gegebenenfalls ein neues Passwort setzen.
Oder gar Ihr Admin-Kennwort?
Haben Sie sogar das Passwort von "Vreniadmin" vergessen? In diesem Fall ist ein Ausflug in den abgesicherten Modus von Windows fällig. Drücken Sie beim Aufstarten des PCs die Taste F8, erscheint ein schwarzes Boot-Menü mit weisser Schrift. Drücken Sie erneut F8, können Sie "Abgesicherter Modus" auswählen und Windows aufstarten.
Nachdem Windows diesen Modus gestartet hat, erkennen Sie auf dem Startschirm nicht die gewohnten Benutzerkonten "Vreniadmin", "Vreni" und "Fritz". Stattdessen haben Sie nur noch jene mit Administratorrechten zur Auswahl, in unserem Beispiel "Vreniadmin" und – das ist neu – ein weiteres Konto, das nicht nur Administrator ist, sondern auch so heisst. Dieses Konto ist unter Windows XP Home Edition ausschliesslich im abgesicherten Modus und ganz ohne Passwort zugänglich. Dieses "geheime" Administratorkonto verwenden Sie im Notfall dazu, das Kennwort von "Vreniadmin" über Systemsteuerung/Benutzerkonten wieder zurückzusetzen.
Der sichere Büro-Computer
Sicherheitsexperten streiten sich gelegentlich darüber, ob man unter Windows XP Home Edition diesem geheimen Administratorkonto ebenfalls ein Kennwort zuweisen soll. Wir sagen: Beim heimischen PC ist dies meist überflüssig. Auf diesem gibt es keinen Weg, das passwortlose Administratorkonto anders als im abgesicherten Modus zu nutzen. Tricks wie "Ausführen als" (siehe rechts) oder Eindringen via Netzwerk sind nicht möglich. Ein Angreifer oder Datendieb müsste sich direkt an Ihren PC setzen und ihn im abgesicherten Modus aufstarten. Ausserdem vergisst man oft genug jene Kennwörter, die man sehr selten braucht; eine Gefahr, die diesem Konto am ehesten droht.
Etwas anders sieht es z.B. in einem Großraum-Büro aus, an einem Ort also, wo sich viele verschiedene Leute bewegen. Wer mit üblen Streichen der Kollegen rechnen muss, für den empfiehlt es sich, auch für dieses Konto ein Kennwort zu erstellen. Das funktioniert im abgesicherten Modus nach der Anmeldung als "Administrator" genau gleich wie bei den anderen Konten.
Steigern Sie die Sicherheit des PCs im Büro noch weiter. Melden Sie sich mit dem selbst erstellten "Computeradministrator" an (z.B. "Vreniadmin"). Bei den in der Systemsteuerung zugänglichen Benutzerkonten lässt sich die Art der Benutzeranmeldung ändern. Entfernen Sie das Häkchen bei "Willkommenseite verwenden", dann muss künftig jeder Benutzer bei jeder Anmeldung seinen Benutzernamen eingeben, gefolgt vom Kennwort. Wer sich an die Daten heranmachen will, muss so nicht nur das Kennwort erraten, sondern zuerst einmal den Benutzernamen.
Störrische Software?
Eigentlich weiß heutzutage jeder Programmierer, wie der Hase läuft: Der Anwender soll die Software mit Administratorrechten installieren, um sie später im eingeschränkten Konto nutzen zu können. Leider halten sich noch nicht alle Entwickler daran. Deshalb hier einige Strategien, wie Sie widerwillige Programme trotzdem zum Laufen bringen.
* Vorübergehende Sonderrechte: Machen Sie den ansonsten eingeschränkten Benutzer vorübergehend zum Administrator und installieren Sie dann die betroffene Software. Starten Sie sie einmal und legen Sie auf Wunsch noch Programmeinstellungen fest. Nehmen Sie dem Konto anschließend die Sonderrechte wieder weg und stufen Sie es zum eingeschränkten Benutzerkonto zurück. Oft reicht der vorübergehende Administratorschub bereits, um das Programm zufriedenzustellen. Versuchen Sie, die Software wieder zu starten. Prüfen Sie, ob Sie Einstellungen ändern oder (wenn es ein Game ist) Spielstände speichern können.
* Ausführen als: Es gibt noch eine weitere Kurzmitgliedschaft im Club der Administratoren. Dies setzt aber voraus, dass Sie Benutzernamen und Kennwort eines mit Administratorrechten versehenen Kontos kennen. Klicken Sie mal mit Rechts auf eine Programmdatei oder auf eine beliebige Programmverknüpfung. Sie entdecken im Kontextmenü den Punkt Ausführen als. Aktivieren Sie "folgender Benutzer" und tippen Sie die zum besagten Administratorkonto gehörenden Zugangsdaten ein.
Vorsicht: Wenn Sie das Programm z.B. als "Vreniadmin" ausführen, dann wird es in der Regel auch seine Daten und Einstellungen innerhalb des "Vreniadmin"-Kontos ablegen. Damit Sie nicht vergessen, welche Programme Sie nur als Administrator starten wollen, kopieren Sie die betroffenen Programmverknüpfungen z.B. auf Ihren Desktop oder in Ihre Schnellstartleiste. Klicken Sie mit Rechts darauf und wählen Sie Eigenschaften. Im Register Verknüpfung öffnen Sie Erweitert und aktivieren die Option "Unter anderen Anmeldeinformationen ausführen". Dann werden Sie bei jedem Doppelklick auf die Verknüpfung dazu aufgefordert, Benutzername und Kennwort des Administrators einzugeben. Ist dies erledigt, startet fast jedes Programm ohne Macken.
Fachchinesisch
Registry
Die Registry ist seit Windows 95 das Herz des Betriebssystems. Sie ist eine spezielle Datenbank, die von Windows verwaltet wird. Aufgrund der Registry weiß Windows, wie gewisse Dateitypen (Dokumente, Kalkulationstabellen etc.) bearbeitet werden müssen oder wie das Einbetten von Objekten (OLE) in Dokumente abgehandelt werden soll.
Dateisystem
Beschreibt die Art, wie das Betriebssystem Dateien auf einem Datenträger (z.B. auf der Festplatte) verwaltet.
(PCtipp/ph)