Ohne Administratorrechte surfen




 

Kapitel 04




 

(Ein Beispiel im übertragenen Sinn)
Mit diesem Schritt werden alle Autoteile unveränderlich so fixiert, dass nichts mehr daran geändert werden kann.


 

Da ein Administrator "alles" darf, auch wichtige Systemdateien verändern - geht es einem Virus oder Spyware genauso: Wenn ein Schädling mit Administrator Rechten auf einen PC gelangt, kann er sich ungehindert ausbreiten oder Windows-System-Dateien manipulieren um zum Beispiel Hintertüren zu öffnen.


Wenn Ihr hingegen mit eingeschränkten Rechten surft, hat auch ein eventueller Schädling nur eingeschränkte Rechte. Das bedeutet er kann nichts auf C:, also nichts an dem Windows-Betriebssystem verändern. Er kann im schlimmsten Fall lediglich das Benutzerkonto infizieren. Durch Löschen des Kontos wäre auch der Virus wieder gelöscht. Bei einem Virus hingegen der Windows verändert hat, muss meistens die Festplatte formatiert, und anschließend Windows neu installiert werden.

Viele Viren lassen sich ohne Administrator-Rechte erst gar nicht installieren. Daher bringt dieser Schritt mit den eingeschränkten Rechten eine sehr gut erhöhte PC-Sicherheit.






Ich empfehle unter Windows 7, 8 und 10 die Nutzung des Schutzes der UAC,
innerhalb eines Administrator-Konto:


Seit Windows Vista/7/8/10 wurde die neue Funktion der Benutzerkontensteuerung UAC (User Account Control) eingeführt. Wenn diese eingeschaltet ist, wird der PC gut geschützt ohne dass der Nutzer auf den Komfort des Administrator-Modus verzichten muss.

Durch die UAC ist man standardmäßig auch in einem Administrator Konto zunächst mit eingeschränkten Rechten unterwegs. Die UAC bleibt im Hintergrund immer aktiv und kontrolliert welche Dinge der Benutzer macht und welche Aktionen die Programme vornehmen. Solange der Benutzer und die Programme nichts an Windows verändern, meldet sich die UAC auch nicht. Aber sobald "jemand" an Windows etwas verändern möchte, fragt die UAC den Benutzer:
 

Möchten Sie zulassen, dass durch das folgende Programm Änderungen an diesem Computer vorgenommen werden?


Diese Frage solltet Ihr Euch gut merken, denn wenn Ihr jetzt auf Ja klickt, arbeitet das Programm als Administrator weiter, und kann beliebig Änderungen an Windows vornehmen. Wenn es nun ein Virus wäre, könnte dieser jetzt den ganzen Computer lahm legen.

Wenn Ihr bei dieser Frage hingegen auf
Nein klickt, verweigert Windows den weiteren Zugriff und das Programm kann keine Änderungen an Windows vornehmen. Ein Virus könnte damit keinen Schaden anrichten. (Genauso wie der Zugriff auch in einem klassischen eingeschränkten Benutzerkonto verweigert worden wäre)


Daher klickt, wenn Ihr im Internet am Surfen seid oder wenn Ihr Emails lest, bei eventuellen UAC Nachfragen stets auf
Nein. Nur wenn Ihr Euch ganz sicher seid dass es sich um eine seriöse Nachfrage handelt, (zum Beispiel weil Ihr gerade ein Programm installiert oder ein Update von Java, etc.) klickt bei UAC Nachfragen auf: Ja



 

Solange Ihr bei UAC Nachfragen auf „Nein“ klickt, seid Ihr auch im Administrator-Konto genauso gut geschützt vor Viren, wie in einem "echten" eingeschränkten Benutzerkonto!






Bei manchen Aktionen unter Windows erscheint durch die UAC auch ein etwas anderes Fenster. Statt "Möchten Sie dass dieses Programm Änderungen an Ihrem Computer vornimmt" erscheint folgende UAC-Meldung, hier müsst Ihr dann auf "Fortsetzen" klicken, um die Aktion als Administrator zu beenden:
 

"Zugriff verweigert" - "Sie müssen Administratorberechtigungen angeben".


Seit Windows Vista & 7 / 8 / 10 ist es also nicht mehr erforderlich, ein separates Benutzerkonto mit eingeschränkten Benutzerrechten zu erstellen, um sicher surfen zu können. Ihr könnt selbstverständlich trotzdem ein eingeschränktes Konto erstellen, aber Ihr habt dadurch keine Sicherheitsvorteile sondern nur Nachteile in der Bedienung. Denn für alle Aktionen die Administrator-Rechte benötigen müsstet Ihr dann Benutzername und Passwort eingeben.





 

Die Genauigkeit der UAC einstellen:

Für manche Installationen von Programmen, die "nicht ordentlich" programmiert wurden ist es notwendig, die UAC auszuschalten. Nach der Installation sollte die UAC dann aber dringend wieder eingeschaltet werden! Ihr könnt bei Windows 7 / 8 / 10 in diesem folgenden Menü die Stufe einstellen, wie aktiv die UAC sein soll:

 

  • Drückt die Tastenkombination "Win + R" und gebt in dem Fenster Ausführen den Befehl "msconfig" ein. Unter dem Reiter "Tools" findet Ihr dann den Eintrag: „UAC-Einstellungen ändern“ – markiert dieses und klickt dann auf "Starten".
    Nun könnt Ihr per Regler einstellen, wie aktiv die UAC sein soll:

    Ganz unten: UAC ist deaktiviert
    Zweite von unten: UAC fragt nur bei Änderungen an Windows von Programmen. (ohne den Monitor abzublenden)
    Zweite von oben: UAC fragt nur bei Änderungen an Windows von Programmen. (Standard-Einstellung von Windows)
    Ganz oben: UAC fragt bei allen Änderungen an Windows + bei Änderungen von Windows-Einstellungen nach.


    Meine Empfehlung ist hier die höchste Stufe zu wählen, also den Regler nach ganz oben zu schieben. Damit können Viren weder Änderungen an Windows-Dateien noch Änderungen an Windows-Einstellungen vornehmen. Weiterhin könnt Ihr Euch in diesem Modus immer sicher sein, wann Ihr Euch im Administrator-Modus befindet, da jeglicher Administrator-Vorgang vorher eine UAC Frage anzeigt.


     
  • Unter Windows Vista/7 in der Home "Basic“ Version, kann die UAC leider nur per Registrie ein/ausgestellt werden: Start - Alle Programme – Zubehör - Ausführen – Regedit:
    Dann zu diesem Pfad wechseln:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Dort doppelklickt den Eintrag „ConsentPromptBehaviorAdmin“ und gebt den Wert 0 ein, um die UAC abzustellen. Der Wert 1 aktiviert die UAC wieder.


     
  • Falls Euch die Meldungen der UAC stören - zum Beispiel beim Einrichten des PCs - findet Ihr unten auf dieser Seite Tipps wie man die Menge der Nachfragen reduzieren kann, ohne auf die Sicherheit verzichten zu müssen.
     

 






Ein zusätzliches Benutzerkonto als "Backup" erstellen:

Es ist immer empfehlenswert mehrere Konten zu erstellen, auch wenn diese nicht direkt benötigt werden. Denn wenn es Probleme am PC gibt, kann es sein dass nur das aktive Benutzerprofil diesen Defekt hat. Wie zum Beispiel wenn ein Virus das "normale" Benutzerkonto von Windows infiziert hat. In solchen Fällen braucht man dann lediglich ein anderes Konto laden, die wichtigen Dateien aus dem defekten Konto sichern, und anschließend das defekte Konto löschen. Auch das Scannen des Computers mit einem Antivirus funktioniert zuverlässiger, wenn dieses mit einem anderen Benutzerkonto durchgeführt wird.







Allen Benutzerkonten ein Passwort vergeben:

Vergebt außerdem für alle Benutzerkonten sichere Passwörter. Wenn ein Konto ohne Passwort existiert, können Viren diese Schwachstelle ausnutzen um sich unbemerkt als Administrator zu installieren. Daher ist es aus Sicherheitsgründen notwendig, auch wenn es manchen lästig sein mag, sich beim Start des PCs mit einem Passwort einzuloggen. Höhere Sicherheit bedeutet leider auch manchmal, auf gewissen Komfort zu verzichten.






 

Anleitung um ein neues Benutzerkonto unter Windows XP, Vista & 7/8/10 einzurichten:

  • Windows Vista und 7: Klickt auf Start - Systemsteuerung – Benutzerkonten und Jugendschutz – Benutzerkonten - Anderes Konto Verwalten – Neues Konto erstellen.
    Nun könnt Ihr wählen: "Standardbenutzer" bedeutet hier: Eingeschränktes Benutzerkonto
    Oder "Administrator" (mit Schutz durch die UAC - dies ist meine Empfehlung)

    Dann gebt einen Namen des Kontos ein und klickt auf Konto erstellen. Ein Passwort solltet Ihr diesem neuen Konto auch noch unbedingt geben, dies könnt Ihr tun indem ihr dieses neue Konto nun anklickt und dann auf "Kennwort erstellen" klickt.

     
  • Windows 8 und 10: Klickt mit der rechten Maustaste unten links in der Ecke auf den Startbutton – Systemsteuerung – Benutzerkonten – Benutzerkonten – Anderes Konto Verwalten – "Neuen Benutzer in den PC Einstellungen hinzufügen" bzw. "Neues Benutzerkonto hinzufügen" – Neues Konto hinzufügen.

    Nun könnt Ihr wählen zwischen einem Online-Konto und einem lokalen Konto. Wenn es lediglich ein "Backup-Konto" sein soll, empfehle ich ein lokales Konto, klickt dann unten auf "ohne Microsoft Konto fortfahren" - Lokales Konto, und gebt einen Namen + Passwort ein – Fertig stellen.

    Dieses neue Konto wird zunächst automatisch als ein Standardnutzer angelegt mit eingeschränkten Benutzerrechten. Ihr könnt aber nachträglich auf "Kontotyp ändern" klicken und dann auf "Administrator" umstellen.

     







 

Tipps für Windows 7/8/10: Arbeiten welche Administratorrechte benötigen:

  • Man kann fast jede Anwendung auch direkt schon mit Administrator-Rechten starten. Einmal so gestartet, könnt Ihr mit diesem Programm alle Aufgaben erledigen ohne weitere Male von der UAC gestört zu werden: Statt mit Doppelklick, klickt das Programm rechter Maustaste an, und dann auf: „Starte als Administrator“. Dann erscheint einmalig ein Fenster von der UAC in welchem Ihr auf "Ja" klickt.

     
  • Auch den Windows-Explorer kann man so direkt als Admin starten: Klickt dazu mit rechter Maustaste auf den Windows Explorer - es erscheint die Liste - und darin klickt noch mal mit rechter Maustaste auf den Windows Explorer - Als Administrator starten. Innerhalb dieses Windows Explorer kann man alle weiteren Installationen von Programmen ohne UAC Nachfragen durchführen.

    Weiterhin kann man innerhalb dieses Windows Explorer auch die Systemsteuerung öffnen, klickt dazu einfach oben in der Adressleiste links neben "Computer" auf das kleine Dreieck und dann auf die Systemsteuerung. Bei allen Einstellungen welche Ihr nun vornehmt werdet Ihr nicht mehr von der UAC "belästigt".


     
  • Wenn Ihr ein bestimmtes Programm immer automatisch als Administrator starten möchtet, geht das ebenfalls: Klickt das entsprechende Programm mit rechter Maustaste an – Eigenschaften – Kompatibilität und setzt dort den Haken bei „Programm als Administrator ausführen“. Dadurch werdet Ihr bei jedem Start des Programms von der UAC gefragt, könnt danach aber anschließend alle Aufgaben ohne weitere Nachfragen erledigen.




     
  • Schreib-Zugriff auf gesperrte Ordner:
    Wenn Ihr ein eingeschränktes Benutzerkonto verwendet, und auf bestimmte Ordner zugreifen möchtet welche standardmäßig erst mal "gesperrt" sind, könnt Ihr diese mit folgenden Schritten freigeben: (Dadurch braucht Ihr in Zukunft keine Administratorrechte mehr, um Dateien in diesen Ordner zu verändern.)

    Klickt im Windows Explorer den entsprechenden Ordner der freigegeben werden soll mit rechter Maustaste an - Eigenschaften und dort auf den Reiter „Sicherheit“ und hier auf Bearbeiten. Dann klickt auf die Zeile „Benutzer“ und setzt bei Vollzugriff einen Haken – Übernehmen – OK – OK

    Diese Vorgehensweise kann auch angewendet werden, wenn ein bestimmtes Programm (welches nicht richtig für Windows 7/8/10 programmiert wurde) im eingeschränkten Konto Probleme bereitet: Dem Ordner in welchem dieses Programm installiert könnt Ihr dann Schreibrechte vergeben.



 

  • Zugriff auf gesperrte Registrie:
    Wenn ein Programm trotz der Schreibrechte im eingeschränkten Benutzerkonto nicht richtig funktioniert, kann es noch daran liegen dass auch der Registrie-Schlüssel nur Lese-Rechte hat. In einem solchen Fall könnt Ihr den betreffenden Schlüssel in der Registrie rechtsklicken - Eigenschaften, und unter Berechtigung (ähnlich wie im Windows Explorer) bei „Jeder“ auf Vollzugriff umstellen. Damit Ihr in der Registrie eine solche Einstellung vornehmen könnt, müsst Ihr diese per Rechtsklick – „Starte als Administrator“ öffnen.

     

 





Eine Seite vor oder zurück blättern:

- Ein Kapitel zurück -
Vorsichtig und Achtsam surfen

- Zum nächsten Kapitel -
Sichere und aktuelle Programme





 

Einen Kommentar hinterlassen
(z.B. Feedback, Ergänzungsvorschläge, Erfahrungsberichte, etc.)


Letzte Änderung: 09.08.2015 18:12:34



 



Juni 2017:


Rene & Angela - I'll Be Good


nach oben