Eingeschränkten Benutzer einrichten
Hallo!
Mal eine doofe Frage:
Ist es wirklich so wichtig, dass man mit eingeschränkten
Rechten online ist oder ist das nur ein Mythos?
In meinen Augen ist es absolut notwendig.
Ein eingeschränkter Benutzer hat keine Schreibrecht auf das Systemverzeichnis. Und da fast alle Viren und Würmer darein wollen, um sich systemweit in den Autostart einzutragen, klatschen die vor die Wand. Sie können sich nur im Autostart des Benutzers eintragen. Selbst bei einer Infektion werden sie dann aber nicht gestartet, wenn man in den Admin-Account wechselt - können also relativ einfach wieder entsorgt werden.
Lass es mich so formulieren: in meinen Augen sollte man alle Leute, die als Admin arbeiten, wegen grober Fahrlässigkeit für alle Schäden, die deren Spam- und Virenschleudern verursachen, haftbar machen können. Genauso wie jemanden, der mit abgefahrenen Reifen einen Unfall baut.
Aber wie kann ich Windows so einstellen, dass Windows
automatisch nach dem Booten mit diesen User anmeldet? Ich
möchte nicht immer manuell den Benutzer wechseln und auch
nicht beim Start erst den Benutzer auswählen.
Welches Windows?
Unter 2k ist das völlig simpel:
Sytemsteuerung - Benutzer und Kennwörter - oben das Häckchen bei „Benutzer müssen für diesen Computer Benutzernamen und Kannwort eingeben“ wegmachen. Dann fragt Windows, welcher Benutzer mit welchem Passwort auotmatisch angemeldet werden soll.
Unter XP muss man in der Registry rumpfuschen:
[hkey_local_machine/software/microsoft/windowsnt/currentversion/winlogon]
Hier muß man - so noch nicht vorhanden - drei Schlüssel (alle als Zeichenfolge) definieren:
defaultusername => Name des Users
defaultpassword => das Paßwort
autoadminlogon => 1
Noch eine Frage: Sollte ich dem „Administrator“ eigentlich ein
Passwort geben oder ist das egal, da ich den PC sowieso
alleine Verwende?
Unbedingt!
Und dem normalen Benutzer auch!
Solltest du mit mehreren Rechnern arbeiten, würde ich auch auf allen genau die gleichen Benutzer anlegen und überall die gleichen Passwörter verwenden. Freigabe für’s Netzwerk dann nie für Jeden, sondern nur für den Benutzer - klappt immer und ohne lästige Anfragen, gibt aber zusätzliche Sicherheit.
Bei mir heisst der eingeschränkte Benutzer auf allen Rechnern einfach nur „User“ . . .
Können Hacker/ Cracker/ Schadprogramme ohne Passwort selber
den User wechseln und dann Schaden anrichten?
Ja - solange der Dienst „sekundäre Anmeldung“ gestartet ist.
Und der ist ungemein praktisch, weil man dann mit Rechtsklick (unter 2k bei gedrückter Shift-Taste) und „Ausführen als…“ ein Programm auch ohne An- und Abmeldung als Admin laufen lassen kann. Beispielsweise ein Explorerfenster, in der man mal eben Einstellungen oder Freigaben vornehmen kann.
Wie sieht es eigentlich mit den dritten Benutzeraccount aus?
Neben dem Administrator muss man bei der Windowsinstallation
einen weiteren Benutzer einrichten, der dann standardmäßig
auch aktiv ist. Aber dieser Benutzer hat auch Adminrechte, die
man ihn auch nicht nehmen kann.
Kannste löschen.
Noch’n paar kleine Tipps:
Windows installieren, User einrichten, dem User Adminrechte geben. Die ganze Software im User-Account installieren, dann dem User erst auf eingeschränkter Benutzer umstellen. Erspart einen Haufen Arbeit und Ärger.
Bei Software, die im eingeschränkten Account rumzickt, gibt es drei Möglichkeiten:
-
Die Software sagt klipp und klar, das sie nur im Administrator-Kontext läuft. Am Besten deinstalliern und nach Ersatz umsehen. Wenn die Software wirklich absolut unverzichtbar ist, dann kann man nur über eine spezielle Start-Software gehen, um sie wirklich im Administratorkontext zu starten, oder sie als Systemdienst einrichten.
Die Sache mit dem Systemdienst ist ein ziemlich wüster Hack, da hilft dir Googel weiter. Als Startsoftware kann ich dor für solche Fälle RunAsSPC (http://robotronic.de/runasspc/) empfehlen, das tut’s bei mir perfekt.
-
Die Software mault rum, das sie irgendetwas nicht abspeichern kann. Eine Datei (beispielsweise einen Index über die zu verteilenden Dateien, DC++, oder Benutzeraccounts des FTP-Servers), idealerweise sagt sie gleich den kompletten Pfad. Da kann man einfach (als Administrator, also über Shift+Rechtsklick auf den Explorer, anmelden als) in den Sicherheitseinstellungen der Datei (Rechtsklick drauf, Eigenschaften, Sicherheit) der Gruppe „Benutzer“ Vollzugriff einräumen. Der Einfachheit halber kann man auch gleich den ganzen Ordner des bockigen Programmes zum schreiben freigeben. Software, die noch nicht an die moderne Benutzerverwaltung angepasst wurde, will da bestimmt noch mehr machen.
-
Die Software mault rum, das sie irgendwelche Einstellungen nicht abspeichern kann. Oder sie sagt es sogar gleich im Klartext: Registry kann nicht aktualisiert werden. Bedeutet, sie will irgendwas in der Registry abspeichern, aber nicht im Benutzerteil, auf den sie Schreibrechte hätte, sondern im Systemteil, wo sie nicht darf. Auch dort kann man Bereiche für andere Benutzer freigeben. Dazu muss man ein Programm namens „Regedt32“ starten (auch wieder als Admin, logisch), den Zweig markieren und im Menü Sicherheit die Berechtigungen setzen. Das Problem ist, den richtigen Zweig der Registry zu finden. Da hilft nur Ausprobieren (wenn Google nichts hergibt, versteht sich). Der Programm-Zweig unter HKEY_LOCAL_MACHINE\SOFTWARE ist meist ein recht guter Start.
WARNUNG: bei allen Spielereien an der Registry unbedingt vorher mit Acronis oder so ein Systemimage ziehen. Ich hab’s schon erlebt, das nach einer simplen Rechte-Freigabe kein Benutzer mehr in den Desktop kam, sondern nur seinen Bidschirmhintergrund bewundern durfte, ohne Icons, Taskleiste oder Startmenü. Da kommt man nur mit einem funktionierenden Image wieder raus.
Hoffe, das hilft dir weiter.
Ich selber arbeite schon seit Ewigkeiten so - und kann mich ehrlich gesagt nicht errinern, wann ich mich zum letzten Mal als Admin auf meinen rechnern angemeldet hab.