Verriegelt
Es gibt viele Gründe, Windows-Anwender an die Leine zu legen: Kinder sollen nicht die Schattenseiten des Internet sehen, Angestellte eher arbeiten als chatten und die Partygäste nicht in der E-Mail stöbern, sondern nur die MP3-Sammlung zu sehen bekommen. All das lässt sich mit eher versteckten Funktionen oder anderen kostenlos erhältlichen Programmen umsetzen. Die folgenden Artikel verraten, wie es geht.
Schon aus Sicherheitsgründen sollte man tagtäglich unter Windows XP nur ein Konto mit eingeschränkten Rechten benutzen. Microsoft hat dafür die vorkonfigurierte Gruppe der „Benutzer“ vorgesehen: Einfach das Konto des Anwenders in diese Gruppe packen, anstatt ihn zum Administrator zu machen, und schon ist das System besser geschützt. Auf Anhieb klappt das meist nicht perfekt: An manchen Stellen genießt ein solcher „Benutzer“ zu wenig Rechte, an anderen zu viel. Wie man fehlende Rechte nachrüstet, zeigten wir zuletzt am Beispiel störrischer Programme [1], hier geht es nun um das Entziehen weiterer Rechte.
Wenn es um „zu viele Rechte“ geht, tun sich gleich drei Problembereiche auf. Erstens das Starten von Programmen: So darf ein Benutzer zwar keine neuen Programme installieren, die bereits vorhandenen jedoch alle starten. Er kann sogar neue Programme auf den Rechner bringen, sofern die ohne Installation auskommen. Der zweite Problembereich betrifft das Herumkonfigurieren an den diversen benutzerspezifischen Einstellungen: Ein Benutzer kann zwar keine systemweiten Einstellungen ändern, wohl aber seine Zeit damit verbringen, die diversen nur für ihn gültigen zu konfigurieren, etwa Startmenü, Taskleiste, Desktop, Explorer oder Bildschirmschoner. Der dritte Bereich ist das Surfen im Internet: Wenn ein Benutzer Zugang zum Internet hat, kann er jede beliebige Website besuchen, Mails lesen, Programme herunterladen oder vertrauliche Daten verschicken.
Das Nachfolgende beschreibt verschiedene Ansätze, um diese Probleme zu lösen - und zwar auch ohne eine übergeordnete Verwaltungsinstanz im Netz, wie zum Beispiel einen Domänen-Controller auf einem Server. Dieser Artikel richtet sich vor allem an Nutzer von Windows XP, die einzelne Konten einschränken wollen, etwa die ihrer Kinder. Für Administratoren, die nicht nur einzelne, sondern alle Konten verriegeln wollen, beschreibt der nachfolgende Artikel einen anderen, mächtigeren Ansatz. Er erhöht gleichzeitig auch die Systemsicherheit, funktioniert allerdings nicht mit der Home Edition von Windows XP. Ein dritter Artikel schließlich zeigt, wie Sie Benutzern beim Surfen von Gefahrenstellen fernhalten können.
Start-Stopp
Ob ein Nutzer auf eine Datei oder einen Registry-Schlüssel zugreifen darf, regelt Windows mit speziellen Zugriffsrechten [2]. Für jede Datei, jeden Ordner und jeden Registry-Schlüssel gelten individuelle Rechte, Gleiches gilt übrigens auch für lokale Drucker oder geplante Tasks. In der Standardkonfiguration dürfen beispielsweise Benutzer weder in das Windows-Verzeichnis noch in den Ordner „Programme“ schreiben, wohl aber darin lesen. Zudem dürfen sie die in diesen Ordnern enthaltenen Programme starten. Dagegen hilft auch nicht, beim Einrichten der Programme die Option „Nur für mich installieren“ auszuwählen, denn damit ist üblicherweise nicht das Setzen entsprechender Zugriffsrechte gemeint, sondern nur, ob die Verknüpfung zur Anwendung später in jedem oder nur im eigenen Startmenü auftauchen soll.
Nun könnte man ein Mitglied der Gruppe „Benutzer“ (im Folgenden „Darfnix“ genannt) am Starten eines bestimmten Programms hindern, indem man ihm die Leserechte für den Ordner entzieht, in dem es installiert wurde, beispielsweise den Lesezugriff auf C:\Programme\Doom. Doch hat dieses Verfahren einen entscheidenden Nachteil: Es verhindert nur das Ausführen dieses einen Programms, während alle anderen weiter ausführbar bleiben. Die müsste man folglich ebenfalls versperren, was aber nicht vollständig möglich ist: Programme, die beispielsweise per USB-Stick oder via Download auf den Rechner gelangen und keine Installation benötigen, könnte Darfnix immer noch in seinem Arbeitsverzeichnis „Eigene Dateien“ ablegen und von dort aus starten. Diesen Ordner ebenfalls für Schreibzugriffe zu sperren verbietet sich in den meisten Fällen, denn irgendwo muss Darfnix die Ergebnisse seiner Arbeit ja speichern können.
Richtlinien
Was ein Benutzer unter Windows XP darf, regeln nicht nur die Zugriffsrechte, sondern zusätzlich so genannte Richtlinien (Policies). Dahinter stecken simple Registry-Einträge. Ein typisches Beispiel: Legt man unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer einen DWORD-Eintrag namens „NoRun“ an und weist ihm den Wert „1“ zu, fehlt nach der nächsten Neuanmeldung der Menüpunkt „Ausführen“ im Startmenü. Versucht man, ihn mit der Tastenkombination „Windows“+„R“ aufzurufen, weigert sich XP mit dem Hinweis „Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen, die für Ihren Computer gelten. Wenden Sie sich an den Systemadministrator.“
XP ignoriert neu eingerichtete Richtlinien zunächst einmal. Sie gelten erst nach einem erneuten Anmelden, wenn die Registry-Einträge unter HKEY_CURRENT_USER stehen und damit nur für den gerade angemeldeten Benutzer gelten. Manche werden gar erst nach einem Neustart wirksam, wenn die Registry-Einträge unter HKEY_LOCAL_MACHINE liegen; sie gelten dann für alle Konten beziehungsweise das System selbst.
Helferlein
Dass die relevanten Registry-Einträge üblicherweise nicht vorhanden sind, erschwert ihren Einsatz, denn man muss ja erst mal rauskriegen, wie sie überhaupt heißen. Doch statt sich jetzt durch die Knowledge-Base zu wühlen oder sich mit einem Tool wie Regmon auf die Lauer zu legen, ist es viel bequemer, die Arbeit einem Programm zu überlassen, das bereits über die nötigen Kenntnisse verfügt. Windows XP Professional und die Media Center Edition (MCE) bringen dazu den Gruppenrichtlinieneditor mit, der nach Eingabe von gpedit.msc im Startmenü unter Ausführen startet. Der ist zwar ausgesprochen mächtig (siehe nachfolgenden Artikel), hat allerdings einige Nachteile: Alle Richtlinien, die sich damit erstellen lassen, gelten üblicherweise für alle Konten - auch für Administratoren; Ausnahmen für Letztere lassen sich allenfalls über ein Leseverbot der vom Editor erzeugten Dateien in \windows\system32\grouppolicy einrichten.
Außerdem bleiben Nutzer der XP Home Edition außen vor, denn hier fehlt der Gruppenrichtlinieneditor, und er lässt sich unseres Wissens auch nicht nachrüsten - selbst die verschiedenen Methoden zum Umwandeln von XP Home in XP Professional helfen nicht [3, 4].
Als Alternative bietet sich Microsofts kostenloses englischsprachiges Programm „Shared Computer Toolkit“ (SCT) an (siehe Soft-Link). Das ist zwar eigentlich dafür gedacht, Windows XP in einen Kiosk-Modus zu versetzen [5], in dem ein Benutzer überhaupt keine Änderungen mehr vornehmen kann (und folglich nicht mal die eigene Arbeit sichern kann) - praktisch etwa für öffentliche Rechner in Schulen oder Bibliotheken. Im Rahmen dessen vermag das SCT jedoch auch diverse Richtlinien einzurichten, und zwar ohne die anderen für den Kiosk-Modus nötigen Einstellungen.
Um das SCT nutzen zu können, müssen Sie zuerst ebenfalls von Microsoft den kostenlosen „User Profile Hive Cleanup Service“ herunterladen und installieren - der ist für das eigentliche Vorhaben zwar nicht erforderlich, doch das SCT verweigert sonst die Installation. Anschließend können Sie das Installationsprogramm des SCT aufrufen, das zuerst überprüft, ob der CD-Key Ihrer XP-Installation gültig ist.
Nach der Installation öffnet sich ein Fenster namens „Getting Started“, das Sie in diesem Fall aber nicht brauchen - entfernen Sie ganz oben das Häkchen vor „Show Getting Started at Startup“ und öffnen Sie dann durch die Tastenkombination Alt+R den Menüpunkt „User Restrictions“, den Sie später auch im Startmenü unter „Programme/Microsoft Shared Computer Toolkit“ wiederfinden.
Einschränken
Um Darfnix mit dem SCT in die Schranken zu weisen, muss man sich mit diesem Konto mindestens einmal angemeldet haben, darf aber während der Konfiguration nicht damit angemeldet sein. Das Programm versieht übrigens auch Konten mit Administratorrechten mit Richtlinien, was aber nichts bringt, denn dank ihrer sonstigen Rechte können sie das wieder rückgängig machen.
Als erstes müssen Sie das Konto ausdrücklich auswählen. Nach der Auswahl schlägt das SCT vor, die Option „Lock this profile“ zu aktivieren, was Sie aber nicht tun sollten. Denn dann würden beim Abmelden alle Änderungen von Darfnix verworfen, und damit sind nicht nur Änderungen an der Konfiguration der Tabellenkalkulation gemeint, die er für seine Arbeit braucht, sondern auch alle selbst erstellten Dokumente - sämtliche Arbeit wäre verloren.
Um stattdessen nur die Benutzung von Programmen einzuschränken, setzen Sie unter „Recommended Restrictions for Shared Accounts“ ein Häkchen vor „Software Restrictions“ und klicken anschließend auf „Apply“. Daraufhin erstellt das SCT in den Tiefen der Registry einige Einträge, die nicht nur diverse Systemprogramme sperren, sondern vor allem zur Folge haben, dass Darfnix nur noch Programme starten kann, die in den Ordnern „Windows“ oder „Programme“ liegen. Und da er in beiden Verzeichnissen nicht schreiben darf, hat er keine Möglichkeit mehr, Programme einzuschleusen. Zwar könnte er sie via Download in seine eigenen Dateien speichern, doch den Start hier liegender Programme verhindert XP. Alle anderen Anwender können hingegen problemlos wie gewohnt weiterarbeiten.
Der Vorteil dieses Verfahrens ist, dass der Administrator nicht gezwungen ist, bei der Installation weiterer Programme eine Positivliste weiterzupflegen. Stattdessen entscheidet er einfach durch die Wahl des Installationsverzeichnisses, ob der eingeschränkte Nutzer die Software starten darf oder nicht. So könnte er etwa neben dem Ordner „Programme“ ein weiteres Verzeichnis namens „Adminprogs“ anlegen und dort alles ablegen, was Darfnix nicht starten können soll.
Literatur
[1] Dirk Knop, Recht sicher, Windows-Zugriffsrechte für störrische Programme, c't 23/05, S. 116
[2] Karsten Violka, Du darfst, du nicht, Zugriffsrechte unter Windows gezielt vergeben, c't 13/06, S. 220
[3] Stefan Tietze, Axel Vahldiek, Wunderheilung, Aus XP Home wird XP Professional, c't 12/05, S. 148
[4] Stefan Tietze, Axel Vahldiek, Wechselbalg, Windows XP Home in Pro umwandeln - und zurĂĽck, c't 15/05, S. 50
[5] Andreas Beier, Windows-Protektor, Windows XP mit dem Shared Computer Toolkit absichern, c't 25/05, S. 216
[6] Schutz vor nicht autorisierter Software mit Richtlinien für Softwareeinschränkung
[7] Axel Vahldiek, Blitzkonfiguration, Windows-Tipps per Mausklick umsetzen, c't 8/02, S. 106
| "Windows narrensicher" | |
| Weitere Artikel zum Thema "Windows narrensicher" finden Sie in der c't 20/2006: | |
| Anwender-Rechte reduzieren | S. 138 |
| Nur ausgewählte Programme zulassen | S. 144 |
| Sichere Surf-Umgebung fĂĽr Kinder | S. 148 |
(axv)
