Sicher durch Verzicht
Arbeitet man unnötigerweise als Administrator mit vollen Zugriffsrechten auf dem PC, ist nicht nur die Gefahr groß, ungewollt etwas kaputtzumachen. Auch Würmer, Trojaner und Hacker haben es beim Angriff auf den PC viel zu leicht. Mit weniger Rechten arbeitet es sich aber genauso bequem - und zudem erheblich sicherer.
- Daniel Bachfeld
Die meisten Windows-Anwender arbeiten ständig, oftmals ohne es zu wissen, auf ihrem PC als Administrator und haben damit volle Zugriffsrechte auf das gesamte System und die Hardware. So dürfen sie Software und Geräte installieren und deinstallieren, die Registry manipulieren und in Systemverzeichnissen lesen, schreiben und löschen - Windows hindert den Administrator nicht daran. Doch so lässt sich durch unbedachte Handlungen das gesamte System unbrauchbar machen, wenn man etwa aus Versehen ein paar wichtige Windows-Dateien löscht oder die Festplatte formatiert oder partitioniert.
Und auch Viren, Würmer, Trojaner und Hacker profitieren davon, wenn der Anwender als Administrator arbeitet. Klickt der Benutzer auf einen Schädling in einer E-Mail, so erbt das Gewürm beim Start dessen Rechte und kann fortan all das tun, was der Admin darf - zum Beispiel das System unbrauchbar machen oder den PC zu einem Spam-Roboter umfunktionieren. Doch Abhilfe ist in Windows 2000 und XP bereits fest eingebaut: Neben dem Administrator lassen sich beliebig viele weitere Nutzer mit niedrigeren Zugriffsrechten auf Verzeichnisse und die Hardware anlegen.
|
Alle aktuellen E-Mail-Würmer benötigen volle Zugriffsrechte, um sich auf dem System festzusetzen. Quelle: Messaglabs |
So wie Personal Firewalls auch ohne Windows-Sicherheitsupdates erfolgreich Sasser und Lovsan abwehren, bietet das Konzept der eingeschränkten Rechte ebenfalls einen Grundschutz. Ist die Latte für Angriffe erst einmal höher gelegt, darf der Anwender beim Gang ins Internet und beim Lesen von E-Mail weitaus entspannter sein. Hat er sich dann noch die Artikel in [1|#literatur] und [2|#literatur] zu Herzen genommen, sollte eigentlich kein Gewürm den Weg in seinen Rechner finden.
Kein Eingang
Arbeitet der Anwender unter einem nicht-privilegierten Konto, hat er nur noch Zugriff auf seine Verzeichnisse unter „Dokumente und Einstellungen“, etwa „Eigene Dateien“, sowie seinen eigenen Registry-Zweig unter HKEY_CURRENT_USER. Damit ist es für aktuell kursierende digitale Schädlinge nicht möglich auf dem Windows-PC Fuß zu fassen, da sie sich nicht ins Windows- oder System-Verzeichnis installieren können: Zugriff verweigert. Auch die Manipulation des Autostart-Schlüssels im Registrierungszweig HKEY_LOCAL_MACHINE schlägt fehl.
So hätte beispielsweise MyDoom.B die für die Netzwerkkommunikation wichtige hosts-Datei nicht durch falsche Einträge unbrauchbar machen können, um Antivirenprogramme vom Aktualisieren ihrer Signaturen über das Internet abzuhalten. Ohne aktuelle Signaturen sind Scanner nämlich quasi blind. Der kürzlich aufgetauchte Wurm Zafi.B versucht sogar Virenscanner und Personal Firewalls zu beenden - ohne Rechte natürlich vergeblich. Auch die Angriffe der immer noch aktiven Bagle- und Netsky-Würmer gingen so ins Leere und die vergangenen Übeltäter Sobig.F und Sober.C hätten nicht weltweit Hunderttausende, wenn nicht gar Millionen von PCs befallen können.
Einige kaum verbreitete Würmer können zwar im Kontext eines eingeschränkten Benutzers ihr Unwesen treiben und Spam-Mails versenden, indem sie sich im Ordner „Eigene Dateien“ festsetzen und statt in HKEY_LOCAL_MACHINE in die Autostart-Schlüssel nach HKEY_CURRENT_USER schreiben. Es ist aber nicht das gesamte System kompromittiert. Bei der Desinfektion eines Rechners hat der Heim-Administrator gar leichtes Spiel, da der Wurm unter seinem Konto nicht startet. Und mit kleinen Änderungen beim Anlegen eines Benutzerkontos lässt sich auch der Zugriff auf die Registry einschränken (siehe Kasten S. 113).
Löcher
Neben Würmern gibt es noch andere Bedrohungen aus dem Internet. Insbesondere Schwachstellen im Internet Explorer sind in den vergangenen Monaten verstärkt Angriffspunkte. Dabei genügt allein der Besuch einer manipulierten Webseite, um einen Trojaner oder Dialer untergeschoben zu bekommen. Mitunter funktioniert derlei Malware den PC sogar zur Plattform für weitere Attacken auf andere Anwender um oder für groß angelegte Versuche, die Webserver von Unternehmen zum Zusammenbruch zu bringen. Bei solchen fiesen Tricks vertrauen aber auch Hacker, Cracker und Spammer darauf, dass der Surfer mit allen Rechten arbeitet.
Sogar die Folgen von Buffer Overflows in Applikationen, etwa im RealPlayer von Real Networks, sind weit weniger kritisch, wenn sie nur im Kontext eines nicht privilegierten Accounts auftreten. So kann ein Angreifer über spezielle Angriffsprogramme zwar beliebigen Code auf den Rechner schleusen und starten, aber nur mit den Rechten des gerade arbeitenden Nutzers.
Voraussetzung ist allerdings, dass das heimische Windows auf dem Dateisystem NTFS installiert wurde, wie es Windows NT, 2000 und XP anbieten. Nur damit kann Windows mittels Access Control Lists die Zugriffsrechte der Nutzer auf das Dateisystem reglementieren. Sonst lassen sich zwar viele verschiedene Nutzer anlegen, aber jeder darf so gut wie überall hin schreiben. Damit hält man natürlich auch keinen Wurm in Schach. Zwar dürfte der größte Teil der Windows-Installationen auf dem ungeeigneten FAT32 laufen, glücklicherweise ist in Windows XP aber schon ein Tool zur nachträglichen Konvertierung von FAT32 nach NTFS enthalten. Vor dem Anlegen der Konten muss man damit das Dateisystem umwandeln.
Wehrlos
Leider schützen niedrige Zugriffsrechte nicht immer: Bei Würmern wie Blaster und Sasser ist es völlig egal, als welcher Anwender man angemeldet ist, da sie von außen über das Netzwerk durch Sicherheitslöcher in Systemdienste eindringen. Viele dieser Dienste arbeiten mit den Rechten des fest in Windows eingebauten Kontos SYSTEM. Das hat oft sogar mehr Rechte als der Administrator. Da der Wurm die Rechte beim Einbruch erbt, ist er anschließend der Herrscher über den PC.
Auch Cross-Site-Scripting-Attacken gegen Webbrowser zum Stehlen von Authentifizierungscookies von Online-Diensten wie eBay funktionieren weiterhin. Hier hilft eigentlich nur das Deaktivieren von JavaScript im verwendeten Browser. Beim inzwischen weit verbreiteten Phishing versuchen Betrüger mit täuschend echt nachgemachten E-Mails und Webseiten an Kreditkartennummern, Bankverbindungsdaten sowie eBay- und PayPal-Konten leichtfertiger Internet-Nutzer zu gelangen [3|#literatur]. Zwar nutzen die Gauner oft Schwachstellen in Browsern aus, letzlich ist es aber der leichtgläubige Anwender, der seine Daten eingibt. Selbst das ausgeklügeltste Sicherheitskonzept und die beste Sicherheitssoftware können nicht die Fehler der Benutzer ausbügeln.
Ebenso gibt es keinen Schutz davor, die unter „Dokumente und Einstellungen“ gespeicherten Dateien des gerade arbeitenden Benutzers zu löschen oder zu verändern. Deshalb ist es weiterhin wichtig, regelmäßige Backups durchzuführen, einen Virenscanner mitlaufen zu lassen und mit einer Personal Firewall Angriffe aus dem Internet abzuwehren [4, 5|#literatur]. Diese sind nun aber nicht mehr die tragenden Säulen der Sicherheit des Systems, von denen alles abhängt, sondern nur zusätzliche Maßnahmen.
Hase und Igel
Es ist abzusehen, dass die Programmierer ihre Würmer und Trojaner an die neuen Bedingungen anpassen werden, falls ein größerer Teil der Anwender auf dem heimischen PC beginnt, mit eingeschränkten Nutzerrechten zu arbeiten. Sobald ein Schädling solch einen Account infiziert hat, wird er mit Tricks und durch das Ausnutzen weiterer Sicherheitslöcher versuchen, an höhere Zugriffsrechte zu gelangen. Allerdings will solch ein Loch erstmal gefunden werden - die Virenautoren müssen mehr Aufwand treiben. Von Skript-Kiddies mit Baukästen erstellte Schädlinge dürften zunächst gänzlich daran scheitern. Bis die Schädlinge die nächste Evolutionsstufe erklimmen, vergeht noch einige Zeit. Solange sind jedenfalls Anwender, die dieses Konzept auf ihrem PC realisiert haben, immer einen Schritt voraus.
Gespaltene Persönlichkeit
Ob nun als Vorsichtsmaßnahme vor Angriffen aus dem Internet oder als Schutz des Wohnzimmer-PC vor dem experimentierfreudigen Nachwuchs: Es ist immer eine gute Idee, sich mehrere Benutzerkonten auf dem PC anzulegen und für verschiedene Tätigkeiten zu nutzen. So ist es sinnvoll, ein Konto zum Spielen anzulegen, eines zum Arbeiten - etwa mit Office - und einen Internet-Nutzer zum Surfen und Mailen. Das Administrator-Konto ist nur zur Installation und zur Pflege und Wartung des Systems notwendig, beispielsweise wenn die aktuellen Updates von Microsoft eingespielt werden müssen [6|#literatur]. Wird dann etwa der Internet-Nutzer mit einem Mail-Wurm oder einem Trojaner infiziert, so sind die anderen Accounts nicht betroffen. Auch der unter dem Office-Nutzer erstellte Lebenslauf oder die Lohnsteuererklärung können nun nicht mehr von anderen Nutzern gelöscht werden, beispielsweise um mal eben Platz für ein neues Spiel zu schaffen.
Gewusst wie
Arbeitet der Anwender mit eingeschränkten Rechten, kommt es vor, dass er zwischendurch ein Programm mit höheren Zugriffsrechten ausführen möchte. Da es lästig ist, sich zum Starten einer Software jedes Mal abzumelden und als Administrator anzumelden, darf auch ein nicht-privilegierter Benutzer Programme im Admin-Kontext ausführen - vorausgesetzt, er kennt das Passwort. Im Windows Explorer kann man dazu mit „Ausführen als ...“ Programme starten. In Anlehnung an das Kommando „sudo“ unter Linux bietet die Eingabeaufforderung unter Windows den Befehl „runas“.
Einen Wermutstropfen gibt es trotz allem: Zwar sind Windows NT, 2000 und XP seit mehreren Jahren mehrbenutzerfähig, aber noch immer schaffen es einige Software-Hersteller nicht, ihre Installationsroutinen darauf anzupassen. So kann der Administrator zwar Programme für andere Benutzer installieren, allerdings stehen dann manchmal zum Start erforderliche Registry-Schlüssel im falschen Zweig HKEY_LOCAL_MACHINE oder etwa im HKEY_CURRENT_USER-Zweig des Admins. Unter Umständen versagt ein Programm dann den Dienst, wenn es von einem Anwender aufgerufen wird.
Sogar einige Virenscanner weigerten sich in der Vergangenheit, die Signaturen automatisch zu aktualisieren, wenn der angemeldete Nutzer nicht über Administratorrechte verfügte. Einige wenige Applikationen funktionieren ohnehin nur mit uneingeschränkten Zugriffsrechten fehlerfrei, da hilft nur das Starten mit „Ausführen als ...“. Um solche Probleme zu vermeiden, sollte sich der Käufer vergewissern, dass die gewünschte Applikation auch ohne volle Systemrechte arbeitet.
Wer auf den Geschmack gekommen ist und immer neuen Angriffen aus dem Internet besser vorbeugen möchte, erfährt auf den folgenden Seiten, wie er sein System mit der Konfiguration unterschiedlicher Zugriffsrechte wasserdicht macht. Zudem gibt es Tipps, wie man mögliche Klippen beim täglichen Arbeiten locker umschifft. (dab)
Literatur
[1] Axel Vahldiek, Verrammelt, Internet Explorer sicher konfigurieren, c't 13/04, S. 196
[2] Jo Bager, Aktion sauberes Postfach, Sicher mailen unter Windows, c't 08/04, S. 164
[3] Die Accountdaten-Phisher, c't 10/04, S. 40
[4] Andreas Marx, Axel Vahldiek, Wachhunde, 13 Virenscanner für Windows, c't 03/04, S. 122
[5] Patrick Brauch, Kostenloser Brandschutz, Fünf Personal Firewalls für Windows, c't 13/04, S. 142
[6] Karsten Violka, Selbstverteidigung, Die wichtigsten Sicherheitsmaßnahmen für Windows c't 21/03, S. 100
| "Windows wasserdicht" | |
| Weitere Artikel zu diesem Thema finden Sie in der c't 15/2004: | |
| Die Administrator-Falle | S. 106 |
| Das Sicherheitskonzept von Windows | S. 110 |
| Stressfrei ohne Admin-Rechte | S. 118 |
(ole)
