Individuelle Benutzerrechte
Rechtevergabe unter Windows
Das Mehrbenutzersystem
Individuelle Benutzerrechte
Das Einrichten mehrerer Benutzer-konten und Gruppen unter Windows XP bringt viele Vorteile mit sich: Wer etwa einen Account nur mit den nötigsten Rechten konfiguriert, surft sicherer im Web. Denn Malware nutzt lediglich die Systemfunktionen, die dem angemeldeten Benutzer zur Verfügung stehen.
Auf dem Heim-PC lassen sich die Rechte zum Ausführen von Programmen einschränken. So haben Kinder keinen Zugriff auf Gewaltspiele, und der Ehefrau bleibt das monatliche Haushaltsdefizit in Excel verborgen. Anwender können aber auch ihre persönlichen Daten vor unliebsamen Kontrollen durch den Administrator im Unternehmen schützen. Und wer seinen Bürokollegen misstraut, aktiviert die automatische Überwachung von Zugriffsversuchen auf Dateien, Ordner und Systemkonfigurationen.
Windows XP ist dafür von Haus aus als Mehrbenutzersystem ausgelegt. Das gilt uneingeschränkt allerdings nur für Windows XP Professional, das etwa mit den Gruppenrichtlinien ein leistungsstarkes Verwaltungswerkzeug besitzt, das Windows XP Home fehlt.
Zum echten Überwachungssystem wird Windows XP durch die erweiterten Kontrollrechte des Administrators. Dieser hat ? im Gegensatz zu den anderen Anwendern ? die Eigenen Dateien und persönlichen Ordner aller angemeldeten User im Zugriff, kontrolliert die Systemeinstellungen und erteilt Zugangsverbote zu Anwendungen, Ordnern und Dateien.
Benutzer in der Registry
Alle Benutzer-bezogenen Einstellungen sind in der Windows-Registry unter Hkey_Current_User und Hkey_ Users abgelegt. Aus Sicherheitsgründen verschlüsselt Hkey_Users die Anwendereinstellungen teilweise. Benutzer in der Registry Alle Benutzer-bezogenen Einstellungen sind in der Windows-Registry unter Hkey_Current_User und Hkey_ Users abgelegt. Aus Sicherheitsgründen verschlüsselt Hkey_Users die Anwendereinstellungen teilweise.
Eigene Benutzer verwalten
Individuelle Benutzerrechte
Schon während der Installation richtet Windows XP insgesamt drei Benutzer ein: den Administrator, den Standardbenutzer und den so genannten Gast. Der Standardbenutzer hat ebenfalls Administratorenrechte.
Detaillierte Einblicke in die Benutzerverwaltung erhält der Anwender über Systemsteuerung/Verwaltung und Computerverwaltung. Unter Lokale Benutzer und Gruppen/Benutzer zeigt Windows alle Anwender und deren Rechte. Über das Menü Aktion lassen sich User hinzufügen, umbenennen oder löschen.
Tipp: Will der Administrator einen angemeldeten User dauerhaft aus dem System bannen, bietet Windows zwei Möglichkeiten: das Löschen eines Anwenders und das Deaktivieren. Im ersten Fall werden die persönlichen Einstellungen samt der Eigenen Dateien gelöscht, im zweiten Fall bleiben alle Daten auf der Festplatte, der Betroffene hat aber keinen Zugriff mehr darauf.
Der Erstbenutzer eines Systems wird standardmäßig den Administratoren zugeordnet und hat somit alle Rechte auf dem System. Nach der Installation ist auch ein Gast-Konto vorhanden. Ist dieses aktiv, haben andere User oft auch ohne Kennwort vollen Zugriff auf den PC. Empfehlung: Dieses Konto deaktivieren, auch wenn Gäste ohnehin nur wenige Systemrechte besitzen. Ein Sicherheitsrisiko stellt dieses meist unnütze Konto immer dar.
Kontostatus prüfen
Individuelle Benutzerrechte
Der Kommandozeilenbefehl net user gast informiert über den Status des Gast-Kontos sowie aller anderen Konten und nennt den letzten Systemzugriff. Das lässt bereits Rückschlüsse über Missbrauchsversuche zu. Ebenfalls nach der Installation ist der Remotedesktopbenutzer (Hilfeassistent) vorhanden, der eine Fernwartung des PCs gestattet. Auch hierbei handelt es sich aufgrund möglichen Missbrauchs aus der Ferne um ein Sicherheitsrisiko. Es gibt kaum Gründe, dieses Konto nicht zu deaktivieren.
Sollen weitere Anwender eingebunden werden, die das System sinnvoll nutzen können, entscheidet sich der Administrator zwischen den Kategorien Benutzer und Hauptbenutzer.
Der Unterschied: Hauptbenutzer haben fast alle Rechte auf dem lokalen System, dürfen jedoch keine Änderungen an der Gruppe der Administratoren vornehmen und keine Treiber installieren. Benutzer können demgegenüber keine Änderungen am System vornehmen, keine weiter reichenden Freigaben erteilen und nur solche Anwendungen ausführen, die nicht auf die Registry zugreifen.
Grundsätzlich dürfen alle lokal angemeldeten Benutzer die installierten Programme benutzen. Für Windows XP geschriebene 32-Bit-Anwendungen fragen jedoch bereits bei der Installation ab, ob die Applikation nur dem Administrator oder allen Usern zur Verfügung stehen soll. So lässt sich die Software-Nutzung schon bei der Installation einschränken.
Daten vor Usern schützen
Individuelle Benutzerrechte
Auch sämtliche lokal gespeicherten Daten stehen der Administratorengruppe offen ? allerdings gelten hier Einschränkungen.
Durchaus kann jeder Benutzer in einem bestimmten Rahmen private Daten auch vor dem Administrator verbergen. Dateien, die im eigenen Profil abgelegt werden, bleiben immer anderen Usern verborgen.
Selbst der Administrator hat keinen Zugang, wenn der Benutzer dies explizit im Ordner definiert. Dazu klickt er beispielsweise den Ordner Eigene Dateien mit der rechten Maustaste an und wählt Eigenschaften. Im Register Freigabe ist unter Diesen Ordner nicht freigeben lediglich ein Häkchen zu setzen. Fortan kann niemand mehr diese Daten einsehen, abrufen oder ändern. Das gilt aber nur für die Ordner im eigenen Profil.
Der Cacls-Trick
Individuelle Benutzerrechte
Es gibt einen weiteren Trick, den Zugriff auf Dateien zu verbieten ? selbst wenn diese nicht im eigenen Profil gespeichert sind. Allerdings funktioniert dies nur auf NTFS-Partitionen. Das dafür benötigte Tool heißt cacls.exe und konfiguriert die Zugriffssteuerungslisten (Access Control Lists, ACL).
Gestartet wird cacls.exe immer auf Kommandozeilenebene. Der Vorteil der versteckten und kaum dokumentierten Anwendung: Selbst in freigegebenen Ordnern (Shared Folders) lassen sich Zugriffsbeschränkungen für Dateien aussprechen ? und zwar selektiv auf Benutzerebene.
Dazu sind nicht einmal Administratorenrechte nötig. So kann etwa ein Benutzer allen Administratoren und anderen Usern der gleichen Gruppe den Zugang zu einem JPG-File verbieten.
Löschen lässt sich ein solches File aber immer noch. Über den Befehl cacls.exe bild.jpg /D Ischta werden der Person »Ischta« alle Zugangsrechte auf die Datei bild.jpg entzogen. Über cacls.exe lassen sich aber nicht nur generelle Verbote aussprechen, sondern auch sehr exakt spezifizieren ? etwa nur Leserechte vergeben. Über Start/Alle Programme/Zubehör/Eingabeaufforderung und cacls /? erhalten Anwender eine Übersicht über die Parameter und Optionen des Befehls.
Kontrolle durch Admins
Individuelle Benutzerrechte
Ein wesentlich komfortableres Tool finden Administratoren aber in den Sicherheitseinstellungen der Dateieigenschaften. In dem übersichtlichen Dialog lassen sich die gleichen Restriktionen umsetzen.
Voraussetzung: Die Einfache Dateifreigabe des Datei-Explorers unter Extras/Ordneroptionen/Ansicht ist deaktiviert. Der Administrator wählt die Eigenschaften einer Datei oder eines Ordners aus dem Kontextmenü und dann die Registerkarte Sicherheit. Dort sind die Benutzergruppen aufgeführt, die standardmäßig Zugriff auf dieses Objekt haben. Der Administrator kann nun zusätzliche individuelle Rechte und Beschränkungen wie Ändern, Lesen, Ausführen, Schreiben oder Spezielle Berechtigungen definieren, indem er den entsprechenden Benutzer hinzufügt und die erforderlichen Berechtigungen oder Verbote über die Optionskästchen vergibt.
Allerdings fasst Windows XP die Rechte immer in Blöcken zusammen: Zum einen gelten diese Richtlinien (Policies) standardmäßig nicht für einzelne User, sondern für Benutzergruppen und damit für alle Mitglieder dieses User-Typs. Und zweitens wird der vorhandene Satz an Rechten auf die gesamte Ordnerhierarchie vererbt. Sperrt der Administrator also ein Verzeichnis für eine Benutzergruppe, sind auch alle darunter liegenden Ordner für diesen Benutzer-Typus tabu.
Diese Vererbungen der Rechte-Blöcke kann der Administrator mit selektiven Richtlinien unterbrechen. Dazu muss er allerdings auf der höchsten Ebene ansetzen. Beispielsweise ist es nicht möglich, für den Ordner D:\Texte einzelne User-Verbote auszusprechen, wenn das Laufwerk D:\ von der Gruppe Jeder und damit von allen angemeldeten Personen vollständig genutzt werden darf. Zunächst müsste der Administrator für das Volume D: neue Sicherheits-Policies über das Eigenschaftsfenster definieren. Bei der Auswahl der Gruppen und Benutzer hilft Windows XP im Register Sicherheit über die Kommandos Hinzufügen/Erweitert/Jetzt suchen. Windows listet dann alle vorhandenen Benutzer und Gruppen übersichtlich auf.
Alternativ kann der Admin aber auch die Vererbung aufheben. Im Register Sicherheit des Dialogs Eigenschaften klickt er dazu auf Erweitert und wählt Berechtigungen. Dort sind die entsprechenden Optionen aufgeführt. Dieses Vorgehen bietet sich an, wenn für mehrere Benutzer gegensätzliche Rechte ausgesprochen werden sollen. Hinweis: Ist ein Benutzer Mitglied in mehreren Gruppen, haben die ausgesprochenen Restriktionen immer Vorrang vor den Erlaubnissen. Insofern ist unbedingt darauf zu achten, sich nicht selbst auszusperren.
Das dargestellte Verfahren ist hervorragend geeignet, um Daten-Ordner oder einzelne Dateien zu sperren. Auf die gleiche Weise kann der Administrator ausgewählten Usern aber auch den Programmstart bestimmter Anwendungen verwehren. Das gilt für Applikationen aller Art.
Programme selektiv sperren
Individuelle Benutzerrechte
Der Administrator klickt dazu das EXE-File der jeweiligen Anwendung mit der rechten Maustaste an und wählt im Kontextmenü den Eintrag Eigenschaften.
Im Register Sicherheit führt Windows XP die Benutzergruppen auf, die standardmäßig Zugriff auf dieses Programm haben. In der Regel ist das die Gruppe Jeder.
Der Administrator muss nun den oder die User verankern, denen der Zugang zu dem Tool verwehrt werden soll. Das funktioniert am schnellsten über die Suche nach Benutzern und Gruppen: Der Administrator klickt auf den Button Hinzufügen. Im Dialog Benutzer oder Gruppen wählen startet die Recherche auf die Befehle Erweitert und Jetzt suchen. Windows katalogisiert nun vorhandene Gruppen und angemeldete Benutzer. Der Administrator markiert den gewünschten Eintrag und übernimmt diesen mit einem Klick auf OK.
Um mehrere Benutzer auszuwählen, ist der Suchvorgang zu wiederholen. Mehrfachmarkierungen sieht Windows XP in diesem Fall nicht vor. Der entsprechende Eintrag wird automatisch in das Feld Gruppen- oder Benutzernamen des Karteireiters Sicherheit übernommen. Markiert der Administrator jetzt diesen Eintrag, lassen sich im Bereich Berechtigungen für? detaillierte Restriktionen aussprechen.
Um ein Programm zu verbieten, sollten alle Optionen aktiviert werden. Nur so ist sichergestellt, dass der Anwender die Datei nicht verschiebt, umbenennt oder manipuliert. Die neuen Berechtigungen und Verbote sind sofort gültig. Da immer Restriktionen vor Erlaubnissen gelten, ergibt sich aus der universellen Berechtigung der Gruppe Jeder und dem Verbot für den gewählten User kein Widerspruch.
Tipp: Gehören mehrere EXE-Dateien zu einer Anwendung, müsste der Administrator sicherheitshalber alle ausführbaren Programme auf diese Art und Weise abriegeln. Wesentlich komfortabler ist es, den kompletten Ordner zu sperren. Allerdings sind dann für diesen User oder die jeweilige Gruppe fortan sämtliche darin enthalten Dateien tabu.
Anwender überwachen
Individuelle Benutzerrechte
In den erweiterten Sicherheitseinstellungen findet sich auch eine Überwachungsfunktion, die die Policies für einen oder alle User protokolliert.
Administratoren klicken dazu im Eigenschaften-Dialog auf Erweitert und dann auf die Registerkarte Überwachung. Mit einem Klick auf Hinzufügen lassen sich diejenigen Gruppen und Benutzer einbinden, deren Aktivitäten aufgezeichnet werden sollen.
Grundsätzlich sollte der Anwender mit Restriktionen sehr vorsichtig sein. Die Menüs sind unübersichtlich, die Hilfe-Funktion verdient ihren Namen nicht. Ein falscher Klick kann das System lahm legen oder den Anwender selbst aussperren. Für die Überwachungsprotokolle in diesem Beispiel bestehen solche Gefahren nicht.
Der Administrator startet die Gruppenrichtlinien über den Befehl gpedit.msc /a in der Ausführen-Box. Der Parameter /a gewährleistet, dass die Gruppenrichtlinien im Administratorenmodus gestartet werden, so dass alle Funktionen verfügbar sind. In den Gruppenrichtlinien unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien werden die zu protokollierenden Ereignisse aufgelistet. Mit einem Doppelklick auf die Einträge lässt sich jede Option aktivieren. Von besonderem Interesse sind die Einträge Objektzugriffsversuche überwachen und Rechteverwendung überwachen.
Über die Ereignisanzeige lassen sich dann die Ergebnisse aufrufen. Das Tool findet man über Systemsteuerung/Verwaltung/Ereignisanzeige. Mit einem Klick auf den Eintrag Sicherheit im linken Verzeichnisfenster werden die zuletzt protokollierten Ereignisse dargestellt ? darunter auch die erfolgreichen und erfolglosen Zugriffsversuche auf die Dateien.
Systemänderungen verhindern
Individuelle Benutzerrechte
Über die Gruppenrichtlinien ist zudem festzulegen, dass Systemänderungen nur berechtigte User vornehmen können. Allerdings lassen sich Gruppenrichtlinien nicht benutzerabhängig, sondern nur nach Gruppen konfigurieren.
Auch deswegen ist es ratsam, neue User von vornherein automatisch dem richtigen Typus zuzuordnen, statt Rechte und Restriktionen später individuell zu vergeben. Die entsprechenden Optionen finden sich unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten.
Bei wichtigen Systemeinstellungen ist darauf zu achten, dass nur Administratoren Zugriff haben. Diese Kontrolle ist nicht nur wichtig, um ungewollte Manipulationen seitens anderer Benutzer zu verhindern. Damit lässt sich auch der Wirkungskreis versehentlich eingeschleuster Viren oder Trojaner eindämmen.
Zu den wichtigsten Sicherheits-Einstellungen zählt die Option Auf diesen Computer vom Netzwerk aus zugreifen. Dieses Recht sollte nur Administratoren vorbehalten sein. Windows räumt standardmäßig aber einem halben Dutzend Gruppen dieses Privileg ein. Um das zu ändern, klicken Sie doppelt auf den Eintrag und entziehen über den Entfernen-Button zumindest den Benutzern und Hauptbenutzern den Zugriff. Gleiches gilt für die Einstellungen Erstellen von dauerhaft freigegebenen Objekten und Übernehmen des Besitzes von Dateien und Objekten.
Auch in den Sicherheitsoptionen unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen sind Korrekturen wichtig, um das System gegen Missbrauch abzuschotten. Dort beinhalten die Gruppenrichtlinien keine Zuordnung autorisierter Benutzertypen, sondern grundsätzliche Freigaben oder Verbote für bestimmte Systemprozesse. Mit einem Doppelklick auf einen beliebigen Eintrag öffnet Windows einen Dialog, der dem Anwender erlaubt, die Voreinstellung zu korrigieren.
Aktivieren sollten Sie die Option Überwachung: System sofort herunterfahren, wenn Sicherheitsprüfungen nicht protokolliert werden können, da es sich um eine Manipulation handeln könnte. Das ist aber nur dann sinnvoll, wenn überhaupt Sicherheits-Policies aufgezeichnet werden. In der gleichen Hinsicht ist dann auch die Überwachung: Zugriff auf globale Systemobjekte prüfen empfehlenswert.
Last but not least kann der Administrator auch eine Warnung im Login platzieren. Das funktioniert einfach über die Befehle Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen und Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen Das senkt zwar nicht das Risiko von unautorisierten Systemzugriffen, zeigt aber die Systemkenntnisse des Administrators und hat durchaus einschüchternde Wirkung.