Mehr Sicherheit durch weniger Rechte

Benutzer ohne Admin-Rechte

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Durch weniger Benutzerrechte erreichen Unternehmen eine höhere Sicherheit im eigenen Netzwerk, ohne die Produktivität negativ zu beeinflussen.
Durch weniger Benutzerrechte erreichen Unternehmen eine höhere Sicherheit im eigenen Netzwerk, ohne die Produktivität negativ zu beeinflussen. (© flashmovie - stock.adobe.com)

Häufig erhalten Benutzer Admin-Rechte auf einem Computer, weil einzelne Programme ansonsten nicht funktionieren. Das ist seit Jahren üblich, bringt aber viele Probleme, wie zum Beispiel ein erhöhtes Malware-Risiko mit sich. Dabei sind die erweiterten Rechte in den meisten Fällen gar nicht notwendig. Windows bietet genug Möglichkeiten, damit Benutzer auch ohne Admin-Rechte mit dem System arbeiten können.

In den meisten Fällen ist es nicht notwendig und auch nicht sinnvoll Benutzern Administrator-Rechte zu geben. Zunächst sollte analysiert werden, warum die Admin-Rechte notwendig sind. Anschließend sollten exakt die Rechte zugewiesen werden, die der Zugriff auf ein bestimmtes Programm erfordern.

Admin-Rechte für einzelne Programme

In Windows steht dazu die Registerkarte „Kompatibilität“ in den Eigenschaften von Verknüp­fungen für Programme zur Verfügung. Durch Aktivieren der Option „Programm als Ad­mi­nis­trator ausführen“ kann festgelegt werden, dass dieses einzelne Programm mit Administrator-Rechten ausgeführt wird. Auf diesem Weg lassen sich also einzelne Programme mit erhöhten Rechten starten, ohne dass ein Benutzer gleich Administratorrechte erhalten muss.

Erhöhte Rechte durch Gruppenmitgliedschaften

Auch in Windows 10 gibt es noch eine lokale Benutzerkontensteuerung und eine lokale Benutzerverwaltung. Die lokale Benutzerverwaltung wird über „lusrmgr.msc“ im Suchfeld des Startmenüs gestartet. Hier stehen neben der Administratoren-Gruppe auch andere Gruppen zur Verfügung. Diese können auch noch in Windows 10 genutzt werden. Die Gruppe „Hauptbenutzer“ sollte zwar in Windows 10 nicht mehr verwendet werden, bieten aber dennoch erhöhte Reche, ohne gleich komplette Admin-Rechte zu vergeben.

Netzwerk­konfigurations-Operatoren“ dienen zur Delegation von Verwaltungsaufgaben, welche die Netzwerk­konfiguration betreffen. Mitglieder dieser Gruppe haben eingeschränkte administrative Rechte zur Konfiguration des Netzwerks, aber keine umfassenden Rechte für den ganzen PC.

Mitgliedern der Gruppe „Remotedesktopbenutzer“ ist es erlaubt, eine Remotedesktopverbindung zu diesem Computer aufzubauen. Wer in der Gruppe „Replikations-Operator“ Mitglied ist, verfügt über die nötigen Rechte, um den Verzeichnisreplikationsdienst zu starten.

Sicherungs-Operatoren“ können Dateien sichern und wiederherstellen. Die Mitglieder dieser Gruppe besitzen alle Berechtigungen, die für Datensicherungen und die Wiederherstellung von gesicherten Informationen erforderlich sind.

Rechte eines Administrators im Vergleich zu Hauptbenutzern

Die lokale Gruppe „Hauptbenutzer“ auf Arbeitsstationen und Servern hat nahezu ähnlich Rechte zu den lokalen Administratoren. Folgende Rechte bleiben allerdings den Administratoren eines Rechners oder Servers vorbehalten:

  • Ändern von Benutzerrechten
  • Sperrung eines Computers aufheben
  • Erhöhen von Prozess-Prioritäten im Taskmanager
  • Herunterfahren eines Systems über das Netzwerk
  • Übernahme des Besitzes von Objekten
  • Installieren und Konfigurieren von Hardware und Treibern (Hauptbenutzer dürfen allerdings Drucker installieren)
  • Ändern der Systemdateien
  • Ändern der Kennwortrichtlinien
  • Ändern der Überwachungsrichtlinien
  • Konfigurieren der lokalen Ereignisprotokolle
  • Installieren von lokalen System Diensten
  • Installieren von Service-Packs und Patches auf lokalen Maschinen
  • Aktualisierung des Betriebssystems auf eine neue Version
  • Erstellen von Administrativen Freigaben
  • Erstellen von weiteren Administratorkonten
  • Verändern von Gruppen und Benutzern, die nicht selbst erstellt wurden
  • Remotezugriff auf die Registry
  • Stoppen und Starten von Diensten die automatisch gestartet werden
  • Verwalten von Datenträgerkontingenten
  • Datenträger formatieren
  • Systembezogene Umgebungsvariablen anpassen
  • Auf andere Profile zugreifen
  • Sichern und Wiederherstellen von Dateien

Rechte eines Hauptbenutzers im Vergleich zu Benutzern

Hauptbenutzer haben zwar weniger Rechte als Administratoren, aber deutlich mehr Rechte als normale Benutzer auf einem lokalen System. Hauptbenutzer dürfen folgende Aufgaben durchführen, was normalen Benutzern verwehrt ist:

  • Erstellen von lokalen Gruppen und Benutzern
  • Ändern selbst erstellter Gruppen
  • Erstellen und Löschen von Freigaben (keine administrativen)
  • Erstellen, verwalten, löschen und freigeben von lokalen Druckern
  • Veränderung der Systemzeit
  • Stoppen und starten von Diensten, die nicht automatisch gestartet werden
  • Berechtigung Ändern auf den Ordner Programme
  • Ändern verschiedener Registryschlüssel unter HKEY_LOCAL_MACHINE\Software
  • Schreibzugriff auf die meisten Systemverzeichnisse
  • Installation von Programmen
  • Ändern von Systemeinstellungen wie IP-Adresse und andere systemseitigen Komponenten

Rechte für Verzeichnisse reichen oft aus

Wenn ein Anwender ein bestimmtes Programm nicht öffnen kann, liegt es oft an fehlenden Schreib- oder Leserechten für verschiedene Verzeichnisse. In den meisten Fällen liegt das Problem an Schreibrechten für das Verzeichnis, in dem die Anwendung selbst installiert ist. Dabei handelt es sich meistens um ein Unterverzeichnis in „C:\Programme“, beziehungsweise „C:\Program Files“ Dazu kommt der dazu gehörige Registry-Schlüssel unter HKLM\Software.

Werden hier über das Kontextmenü die Rechte für den entsprechenden Benutzer angepasst, und erhält er Schreibrechte, stellt das Arbeiten mit bestimmten Anwendungen und Verzeichnissen meistens kein Problem mehr dar. Erhalten Benutzer das Rechte „Ändern“ für ein Programmverzeichnis und teilweise noch für das lokale Temp-Verzeichnis, sollte sich das Problem lösen lassen.

Rechte über Gruppenrichtlinien delegieren

Sie können Rechte auch über Gruppenrichtlinien delegieren. Das ist dann sinnvoll, wenn Benutzer für bestimmte Verzeichnisse auf einem Computer Zugriff erhalten sollen. Die entsprechenden Einstellungen sind in der Gruppenrichtlinienverwaltung über „Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen“ zu finden. Hier stehen auch über „Lokale Richtlinien“ zahlreiche Einstellungen zur Verfügung, die dabei helfen Benutzerrechte in Windows zu steuern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45400855 / Endpoint)