Es ist aus Sicherheitsgründen dringend davon abzuraten, für die tägliche Arbeit ein Administratorkonto zu benutzen. Da hier uneingeschränkte Schreibrechte im gesamten System bestehen, ist es für schädliche Software (Viren und Würmer) ein Leichtes, Änderungen an System-Dateien vorzunehmen. Nachfolgend sind einige Beispiele dazu aufgeführt, welche Rechte, bzw. Einschränkungen für die Standardbenutzergruppen von Windows gelten:
Die höchste Sicherheitsstufe bietet also das Arbeiten als Benutzer. Leider gibt es Anwendungen, die Daten in ihren Installationsordner oder in den Registry-Bereich HKEY_Local_Machine schreiben, so dass sie unter einem solchen Konto nicht ausgeführt werden können. Der einfachste Weg ist es deshalb, ein Konto mit den Berechtigungen eines Hauptbenutzers zu verwenden. Zu bedenken ist dabei, dass sich unter diesen Berechtigungen durchaus schädliche Software unbemerkt installieren kann. Ein stets aktueller Virenscanner muss daher auf dem PC installiert sein.
Bei vielen Programmen (z. B. Autodesk Inventor) können die Rechte zum Ausführen unter normalen Benutzerrechten aber auch individuell vom Administrator angepasst werden. Helfen können dabei die Freeware-Programme RegMon und FileMon der Firma SysInternals helfen. Mit ihnen kann im Betrieb überwacht werden, welche Zugriffe auf Registry und Dateisystem von den Anwenderprogrammen fehlgeschlagen sind.
Wenn man sich an einem Arbeitsplatz über sein Domänenkonto (z. B.UK-SPH) anmeldet, ist man auf dem lokalen PC immer normaler Benutzer. Wie oben beschrieben, hat dies Probleme bei einigen Anwenderprogrammen zur Folge. Wenn man nicht lokal die Berechtigungen anpassen will, kann ein Domänen-Administrator einem ausgewählten Kreis von Domänenbenutzern auch die lokalen Rechte von Hauptbenutzern zuweisen:
Viele Anwender meinen, sie werden bei der täglichen Arbeit behindert, wenn sie keine Administratorrechte haben. Diese Aussage ist falsch. Bereits unter Windows 2000 gab es die Möglichkeit über die Konsole und den Befehl Runas, Programme unter einem anderen Konto (z. B. als Administrator) zu starten. Unter Windows XP ist dies noch weiter vereinfacht worden, da alle Programme im Kontext-Menü (Klick mit rechter Maustaste) über die Funktion Ausführen als .. gestartet werden können.
Eine Einschränkung scheint es allerdings zu geben, wenn man Funktionen aus der Systemsteuerung ausführen möchte. Hier fehlt im Kontext-Menü der o. g. Eintrag. Dies lässt sich aber leicht umgehen. Da die Funktionen der Systemsteuerung keine direkt ausführbaren Programm sind, müssen sie über einen kleinen Umweg gestartet werden. Man findet diese Funktionen als cpl-Dateien im Windows-Systemverzeichnis, z. B.:
Man legt sich jetzt im Startmenü oder auf dem Desktop einen neuen leeren Ordner an und nennt ihn z. B. Administration. In diesem Ordner werden Verknüpfungen folgender Art angelegt:
%windir%\system32\rundll32.exe shell32.dll, Control_RunDLL xxxx.cpl
Dabei ist xxxx.cpl eine der o. g. Dateien. Wenn man will, kann man diesen Verknüpfungen auch noch das richtige Symbol zuordnen. Man findet diese in
%SystemRoot%\system32\Shell32.dll (Basis) und %SystemRoot%\system32\xpsp2res.dll (auch SP2)
Klickt man jetzt auf eine dieser neuen Verknüpfungen mit der rechten Maustaste, so gibt es wieder das vollständige Kontext-Menü mit der Ausführen als ..-Funktion. Auf diese Weise kann also ohne Ummelden eine Systemfunktion mit Administratorberechtigung aufgerufen werden, natürlich nur, sofern die erforderlichen Anmeldeinformationen bekannt sind. Ein Beispiel für derartige Verknüpfungen steht zum Download bereit.
Bei der Neuinstallation von Windows XP (prof.) führt die von Microsoft gewählte Vorgehensweise zu einem extrem unsicheren System. Es wird zwar während der Installation ein Passwort für den Standard-Administrator abgefragt, für den weniger kundigen Benutzer bleibt dieses Konto jedoch verborgen. Bevor die Installation abgeschlossen wird, müssen nämlich weitere Benutzerkonten (mindestens eines) angelegt werden, ohne dass diese an dieser Stelle mit Passworten ausgestattet werden. Außerdem haben alle diese Konten automatisch die Rechte eines Administrators..
An einem solchen neu installierten System meldet man sich also ohne Passwort als Administrator an, was alles andere als sicher ist. Der Standard-Systemadministrator wird zudem im Anmeldebildschirm nicht anzeigt, solange ein anderer Benutzer Administratorrechte hat. Es wird deshalb dringend empfohlen, als erstes den zusätzlichen Benutzern diese Rechte zu nehmen, und sie höchstens als Hauptbenutzer einzustufen. Dies geschieht in der Systemsteuerung > Verwaltung unter Computerverwaltung > Lokale Benutzer und Gruppen > Benutzer.
Wer ganz auf Nummer-Sicher gehen will, zieht vor der Installation von Windows XP das Netzwerkkabel ab und steckt dies erst wieder ein, nachdem die oben genannten Änderungen an den Benutzerkonten vorgenommem wurden und alle aktuellen Service-Packs und Patches installiert sind. Für dieses Offline-Update stellt das Rechenzentrum der Uni-Kiel eine laufend aktualisierte Patchsammlung auf einer CD als ISO-Image zur Verfügung. Eine Übersicht über alle Sicherheitsaspekte findet man ebenfalls auf den Seiten des Rechenzentrums.
| zur Übersicht | J. Rathlev, September 2005 |