1954697

Windows mit Pro- und Ultimate-Funktionen aufrüsten

11.06.2014 | 11:03 Uhr |

Mit den Funktionen von Windows Pro und Ultimate sorgen Sie für mehr Sicherheit. Vor allem auf gemeinsam genutzten PCs. Wir zeigen Ihnen, wie es funktioniert.

Es soll nicht jeder alles dürfen. Wer einen PC mit anderen zusammen nutzt oder gar öffentlich verfügbar macht, muss für mehr Sicherheit sorgen. Es gibt viele Gründe, einen Windows-PC besser absichern zu wollen. In diesem Artikel geht es jedoch nicht um den Schutz vor Hacker-Angriffen, sondern um Einschränkungen für Personen, die direkt vor dem PC sitzen. Sinnvoll ist das beispielsweise, wenn Ihr PC häufig von Gästen genutzt wird, frei zugänglich in einer öffentlichen Einrichtung steht oder bei Schulungen zum Einsatz kommt. Windows 7 und 8 bieten mit der Unterscheidung zwischen „Standardnutzer“ und „Administrator“ bereits einen Basisschutz. Der Standardnutzer kann grundlegende Systemeinstellungen nicht ändern und daher nicht das komplette System unbrauchbar machen. Allerdings kann er beispielsweise beliebige Programme starten und damit Schad-Software einschleusen. Mit ein paar Tricks gelingt es jedoch, die Zugriffsmöglichkeiten für einen bestimmten Benutzer nahezu beliebig einzuschränken.

Sicherheitshinweis: Wenn Sie versehentlich Einschränkungen für Ihr Administratorkonto definieren, können Sie sich aus Ihrem System aussperren. Es ist deshalb ratsam, wenigstens eine Sicherungskopie der Registry oder besser noch des gesamten Systems bereitzuhalten. Legen Sie außerdem ein zweites Benutzerkonto mit administrativen Rechten an, das Sie bei Problemen verwenden können.

1. Benutzerrechte und Gruppenrichtlinien verwenden

Unter Windows stehen hauptsächlich zwei Mechanismen für die Einschränkung von Benutzerrechten zur Verfügung: Auf Dateisystemebene können Sie den Zugang zu bestimmten Ordnern verbieten, und über Gruppenrichtlinien unterbinden Sie den Zugang zu einzelnen Systemkomponenten, etwa der Systemsteuerung. Die erste Möglichkeit steht unter allen Varianten von Windows 7 und 8 zur Verfügung. Benutzer von Windows 7 Home Premium und der Sparvariante von Windows 8 („Core“ ohne den Zusatz „Pro“) dürfen jedoch standardmäßig keine Gruppenrichtlinien verwenden.

Das ist auch nicht weiter verwunderlich, denn Gruppenrichtlinien sind vor allem für den Unternehmenseinsatz gedacht. Letztlich verbergen sich hinter den Richtlinien jedoch lediglich Registry-Einträge – und die funktionieren bei Pro oder Home gleich. Es fehlt jedoch der „Editor für lokale Gruppenrichtlinien“ (gpedit.msc), ein Werkzeug, mit dem sich die Richtlinien erstellen lassen. Den Editor können Sie aber nachrüsten und mit kleineren Einschränkungen auch sinnvoll nutzen. Mehr dazu lesen Sie unter Punkt 2. Wer Windows 7 Professional/Ultimate oder Windows 8 Pro verwendet, kann daher gleich zu Punkt 3 springen.

So steuern Sie die Benutzerkonten von Windows 7

PC-WELT-Gpedit-Tools: Das Programm stellt die für den Gruppenrichtlinien-Editor erforderlichen Dateien aus dem Ordner „\Windows\WinSxS“ zusammen. Dann kopiert es die Dateien nach „\Windows\System32“.
Vergrößern PC-WELT-Gpedit-Tools: Das Programm stellt die für den Gruppenrichtlinien-Editor erforderlichen Dateien aus dem Ordner „\Windows\WinSxS“ zusammen. Dann kopiert es die Dateien nach „\Windows\System32“.

2. Gruppenrichtlinien-Editor bei der Home/Core-Version

Bei den Windows-Varianten für Heimanwender liegt der Gruppenrichtlinien-Editor zwar auf der Festplatte, er ist aber nicht so installiert, dass er sich auch verwenden lässt. Die erforderlichen Dateien befinden sich unter „\Win dows\WinSxS“. Es ist jedoch mühsam, die notwendigen Dateien zusammenzusuchen. Daher können Sie unser Programm PC-WELT-GpeditTools dafür nutzen. Installieren Sie es in ein Verzeichnis mit einem kurzen Namen, beispielsweise „C: \Tools“. Verwenden Sie kein Verzeichnis in Ihrem Benutzerprofil, etwa unter „Dokumente“ oder „Downloads“, weil Leerzeichen und Sonderzeichen im Pfad unter Umständen zu Fehlfunktionen führen.

Das Tool ist unter Windows 7 Home Premium (SP1, Build 7601) und Windows 8.1 (Core, Build 9600) getestet. Es funktioniert wahrscheinlich auch mit anderen Systemen, wie Windows 8 (Build 9200). Allerdings lohnt es sich nicht, Software für dieses System zu entwickeln, weil wegen des kostenlosen Upgrades auf 8.1 wohl kaum jemand mehr diese Windows-Version einsetzt. Bleibt noch zu erwähnen, dass der verwendete Trick von den Dateien abhängt, die auf der Festplatte liegen. Wenn Microsoft hier durch Updates etwas ändert, funktioniert das Verfahren vielleicht nicht mehr.

Nach dem Start von PC-WELT-Gpedit-Tools klicken Sie auf „1. Dateien zusammenstellen“. Danach liegen die erforderlichen Dateien im Unterverzeichnis „Gpedit“. Bei Windows 8.1 gibt es noch eine Besonderheit: Um Platz in „\Windows\WinSxS“ zu sparen, sind hier die (bisher) unbenutzten Dateien komprimiert. Die unkomprimierten Dateien liegen im Ordner „Gpedit_decompressed“. Da nicht auszuschließen ist, dass Microsoft die Komprimierung bei Windows 7 nachrüstet, testet unser Tool auch hier auf eine Komprimierung und kopiert oder dekomprimiert die Dateien daher in jedem Fall in den Ordner „Gpedit_decompressed“. Das braucht Sie aber nicht weiter zu kümmern, denn mit „2. Dateien kopieren“ kopieren Sie die Dateien in das Windows-Verzeichnis.

Wiederherstellungssystem starten: Unter Windows 8 klicken Sie bei „Erweiterte Optionen“ auf „Eingabeaufforderung“. Im Rettungssystem importieren Sie dann die für den Gruppenrichtlinien-Editor nötigen Registry-Einträge.
Vergrößern Wiederherstellungssystem starten: Unter Windows 8 klicken Sie bei „Erweiterte Optionen“ auf „Eingabeaufforderung“. Im Rettungssystem importieren Sie dann die für den Gruppenrichtlinien-Editor nötigen Registry-Einträge.

Wiederherstellungssystem starten: Damit ist der Vorgang allerdings noch nicht abgeschlossen. Denn es fehlen noch etliche Registry-Schlüssel, die sich aber in einem laufenden System nicht erstellen lassen. Starten Sie Windows im Reparatur-Modus. Windows 7 fahren Sie zuerst herunter und drücken dann kurz nach dem Einschalten des PCs mehrfach die F8-Taste. Wählen Sie im Menü „Computer reparieren“ und folgen Sie den Anweisungen auf dem Bildschirm. Anschließend klicken Sie auf „Eingabeaufforderung“. Bei Windows 8.1 drücken Sie Win-C, klicken in der Charms-Bar auf „Einstellungen ➞ PC-Einstellungen ändern“ und danach auf „Update/Wiederherstellung ➞ Wiederherstellung“. Klicken Sie nun unter „Erweiterter Start“ auf „Jetzt neu starten“. Als Nächstes gehen Sie auf „Problembehandlung“, „Erweiterte Optionen“ und „Eingabeaufforderung“. Der PC startet neu und Sie melden sich beim administrativen Konto an.

Registry anpassen: Der weitere Ablauf ist bei Windows 7 und 8 identisch. In die Eingabeaufforderung tippen Sie regedit ein und bestätigen mit der Enter-Taste. Im Registrierungs-Editor gehen Sie auf „Hkey_Local_Machine“ und danach im Menü auf „Datei ➞ Struktur laden“. Wählen Sie die Datei „\Windows\System32\Config\Software“ mit dem Typ „Datei“ (nicht „Textdokument“) aus. Diese liegt wahrscheinlich auf Laufwerk D:, da im Reparatur-System C: in der Regel die Wiederherstellungs-partition und D: dann die Systempartition ist. Klicken Sie auf „Öffnen“, geben Sie im Dialog „Struktur laden“ den Buchstaben Z ein und klicken Sie auf „OK“. Unter „Hkey_Local_Machine\Z“ ist jetzt der Schlüssel „Hkey_Local_Machine\Software“ Ihrer Windows-Installation eingebunden.

Der richtige Pfad („Z“) ist wichtig, weil sonst der Import nicht funktioniert. Gehen Sie im Registrierungs-Editor auf „Datei ➞ importieren“. Navigieren Sie dann zum Ordner, aus dem Sie zuvor PC-WELT-Gpedit-Tools gestartet haben, beispielsweise nach „D:\Tools“. Wählen Sie bei Windows 7 die Datei „gpedit_win_7“, bei Windows 8.1 „gpedit_win_8“ aus dem Unterordner „Tools“ und klicken Sie auf „Öffnen“. Bestätigen Sie mit „OK“. Hängen Sie den Registry-Zweig über „Datei ➞ Struktur entfernen“ aus. Schließen Sie den Registrierungs-Editor. Bei Windows 8.1 klicken Sie auf „Fortsetzen“, bei 7 auf „Neu starten“.

Einschränkungen: Ein auf diese Weise nachgerüsteter Gruppenrichtlinien-Editor bietet die gleichen Funktionen wie unter den Pro-Versionen. Er speichert die definierten Richtlinien unter „\Windows\System32\GroupPolicy“ und „\Windows\System32\GroupPolicyUsers“ jeweils in der Datei Registry.pol. Bei einem Pro-System wendet Windows die Einstellungen sofort an oder sie werden spätestens bei der nächsten Anmeldung wirksam. Unter einem Home-System funktioniert das nicht. Hier müssen Sie die Definitionen aus der POL-Datei extrahieren und selbst in die Registry importieren. Mehr dazu lesen Sie unter Punkt 6.

3. Benutzerkonto mit Gruppenrichtlinien konfigurieren

Über Win-R, die Eingabe von gpedit.msc , gefolgt von „OK“ starten Sie den Gruppenrichtlinien-Editor. Er zeigt auf der linken Seite die Hauptrubriken „Computerkonfiguration“ und „Benutzerkonfiguration.“ Die Erste enthält Regeln, die das System unabhängig vom jeweiligen Benutzer betreffen, die Zweite bezieht sich auf Einstellungen für alle Nutzer inklusive Administrator. Sie werden hier also in der Regel keine Änderungen vornehmen wollen. Das Ziel ist ja, nur ein Benutzerkonto einzuschränken.

Benutzerrichtlinien erstellen: In der Management Console definieren Sie Richtlinien für einzelne Benutzer. Diese gelten bei Windows Professional und höher schon nach der nächsten Anmeldung.
Vergrößern Benutzerrichtlinien erstellen: In der Management Console definieren Sie Richtlinien für einzelne Benutzer. Diese gelten bei Windows Professional und höher schon nach der nächsten Anmeldung.

Wenn noch nicht geschehen, legen Sie jetzt ein weiteres Benutzerkonto an – zunächst mit administrativen Rechten, beispielsweise mit dem Namen „Gastkonto“. Bei Windows 7 finden Sie die Funktion, wenn Sie in der Systemsteuerung nach Konto suchen und auf „Konto erstellen“ klicken. Windows-8.1-Nutzer drücken Win-Q, tippen Konto ein und klicken auf „Weitere Benutzerkonten hinzufügen, löschen und verwalten. Nachdem Sie alle Einstellungen vorgenommen haben, stufen Sie das Konto später auf „Standardbenutzer“ zurück.

Starten Sie über Win-R und mmc eine leere Management Console. Gehen Sie auf „Datei ➞ Snap-In hinzufügen entfernen“. Suchen Sie unter „Verfügbare Snap-Ins“ nach „Gruppenlinienobjekt-Editor“ und klicken Sie auf „Hinzufügen“. Es öffnet sich ein Dialog, in dem Sie auf „Durchsuchen“ klicken. Gehen Sie auf die Registerkarte „Benutzer“, wählen Sie den Benutzer „Gastkonto“ aus, klicken Sie auf „OK“, dann auf „Fertig stellen und noch einmal auf „OK“. Unter „Konsolenstamm“ erscheint jetzt „Richtlinien für Lokaler Computer/Gastkonto“. Speichern Sie die neu konfigurierte Management Console über „Datei ➞ Speichern“. Die Einstellungen unter „Benutzerkonfiguration“ gelten nur für den Benutzer „Gastkonto“. Sie werden unterhalb von „\Windows\System32\GroupPolicyUsers“ in einem Ordner mit der Benutzer-ID gespeichert.

So funktioniert Windows unter der Haube

4. Spezialordner für den Datenaustausch mit dem Gastkonto

Damit der Gast ausgewählte Dateien öffnen kann, sollten Sie einen eigenen Ordner für den Datenaustausch erstellen, beispielsweise „C:\GastDaten“. Da der Gastbenutzer später jedoch möglichst wenig vom System sehen soll, können Sie ihm im nächsten Schritt über Gruppenrichtlinien den Zugriff auf das Laufwerk C: beziehungsweise dessen Anzeige im Explorer verweigern. Dann ist aber auch „C:\GastDaten“ nicht mehr sichtbar. Das Problem lässt sich mithilfe von Virtual Subst lösen. Installieren Sie das Programm über PC-WELT-Gpedit-Tools auf der Registerkarte „Tools“ und „VSubst installieren“. Rufen Sie nun VSubst als Benutzer „Gastkonto“ auf und weisen Sie dem Pfad „C:\GastDaten“ einen Laufwerksbuchstaben zu. Setzen Sie ein Häkchen vor „Apply virtual drives on Windows startup“, damit der Laufwerksbuchstabe automatisch zugewiesen wird.

Rechte im Dateisystem beschränken: Auf der Registerkarte „Sicherheit“ verweigern Sie dem Gastbenutzer den Zugriff auf Ordner wie etwa „Startmenü“.
Vergrößern Rechte im Dateisystem beschränken: Auf der Registerkarte „Sicherheit“ verweigern Sie dem Gastbenutzer den Zugriff auf Ordner wie etwa „Startmenü“.

5. Rechte und Richtlinien für einen einzelnen Benutzer

Bevor Sie die Richtlinien ändern, melden Sie sich als Benutzer „Gastkonto“ an und entfernen alles, was der Gast nicht sehen oder starten soll. Bei Windows 8.1 entfernen Sie beispielsweise alle unerwünschten Kacheln über das Kontextmenü „Deinstallieren“. Verwehren Sie dem Gastbenutzer außerdem sowohl unter Windows 7 als auch unter Windows 8.1 den Zugriff auf das Startmenü für alle Benutzer. Dieser wird im Windows-Explorer standardmäßig nicht angezeigt. Um das zu ändern, gehen Sie in PC-WELT-Gpedit-Tools auf die Registerkarte „Tools“ und klicken auf „Explorer-Optionen-Setzen starten“. Setzen Sie alle Häkchen und klicken Sie auf „Speichern“.

Gehen Sie zum Verzeichnis „C:\ProgrammDa ta\Microsoft\Windows\Startmenü“, klicken Sie mit der rechten Maustaste auf „Startmenü“ und wählen Sie „Eigenschaften“. Gehen Sie auf die Registerkarte „Sicherheit“ und klicken Sie auf „Bearbeiten“. Klicken Sie auf „Hinzufügen“, tippen Sie die Bezeichnung des einzuschränkenden Kontos ein, etwa Gastkonto, und klicken Sie auf „OK“. Markieren Sie unter „Gruppen- und Benutzerrechte“ den Eintrag „Gastkonto“ und setzen Sie bei „Berechtigungen für Gastkonto“ bei „Vollzugriff“ ein Häkchen unter „Verweigern“. Schließen Sie den Dialog mit „OK“. Wiederholen Sie den Vorgang für andere Ordner, zum Beispiel „C:\Benutzer\Öffentlich“.

Richtlinien festlegen: Öffnen Sie dafür die unter Punkt 3 erstellte Konsole. Klicken Sie sich durch den Baum und bearbeiten Sie unter „Administrative Vorlagen“ die gewünschten Richtlinien. Bei „Systemsteuerung“ öffnen Sie beispielsweise die Richtlinie „Zugriff auf die Systemsteuerung und PC-Einstellungen nicht zulassen“. Setzen Sie die Option auf „Aktiviert“ und bestätigen Sie mit „OK“. Entsprechend verfahren Sie auch mit anderen Richtlinien, bis Sie das gewünschte Ergebnis erreicht haben. Lohnend sind alle Richtlinien, die „entfernen“, „nicht anzeigen“ oder „deaktivieren“ im Namen tragen.

Wenige Rechte: Der Gastbenutzer sieht nach erfolgreicher Anwendung der Richtlinien im Windows-Explorer nur Laufwerk M.
Vergrößern Wenige Rechte: Der Gastbenutzer sieht nach erfolgreicher Anwendung der Richtlinien im Windows-Explorer nur Laufwerk M.

Es gibt auch Richtlinien, die nur für Windows XP oder Vista gelten. Damit diese nicht angezeigt werden, gehen Sie auf „Aktion ➞ Filteroptionen“, setzen ein Häkchen vor „Anforderungsfilter aktivieren“ und danach ein Häkchen beim gewünschten Betriebssystem. Damit der Gastbenutzer nur noch das unter Punkt 4 erstellte Laufwerk sieht, aktivieren Sie die Richtlinie „Diese angegebenen Datenträger im Fenster ‚Arbeitsplatz’ ausblenden“. Unter „Optionen“ stellen Sie „Nur Laufwerke A, B, C und D beschränken“ ein. Die gleiche Einstellung nehmen Sie auch bei „Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen“ vor.

6. Richtlinien bei Windows 7 und 8.1 (Home/Core) anwenden

Wenn Sie Gpedit wie unter Punkt 2 beschrieben nachgerüstet haben, gelten die Richtlinien nicht automatisch. Um sie in die Registry einzutragen, benutzen Sie PC-WELT-Gpedit-Tools. Gehen Sie auf „Richtlinien ex- und importieren“ und klicken Sie auf „Als Reg-Datei exportieren“. Im Installationsverzeichnis liegen danach – je nachdem, was Sie konfiguriert haben – die Dateien „Policies_machine.reg“ und „Policies_user.reg“ für alle Benutzer und REG-Dateien für das Gastkonto. Von Letzteren werden zwei erstellt. Die Bezeichnung der einen beginnt mit „S-1-5“. In ihr sind Werte für Schlüssel unter „HKEY_USERS“ mit der ID des Gastkontos enthalten. Diese REG-Datei lässt sich per Doppelklick in die Registry importieren, wenn Sie mit dem „Gastkonto“ angemeldet sind. Das funktioniert jedoch nur, solange dieses Konto noch Admin-Rechte besitzt und der Zugriff auf Reg edit.exe nicht verboten ist. Später verwenden Sie die Datei, die mit „Z_S-1-5 beginnt. Sie enthält Werte für den Schlüssel „HKEY_USERS\Z“.

Um diese zu importieren, gehen Sie ähnlich vor, wie unter Punkt 2 hinter „Registry anpassen“ beschrieben, allerdings benötigen Sie dazu kein Notfallsystem. Starten Sie Regedit.exe über Win-R von Ihrem normalerweise verwendeten Konto mit administrativen Rechten aus. Über „Datei ➞ Struktur laden“ binden Sie die Datei Ntuser.dat aus dem Ordner „C:\Users\GastKonto“ unter „Hkey_Users\Z“ ein. Im Anschluss daran importieren Sie die REG-Datei per Doppelklick. Bei Bedarf können Sie auf diesem Weg auch Richtlinien für ein anderes Benutzerkonto manuell ändern. Navigieren Sie beispielsweise zu „Software\Microsoft\Windows\CurrentVersion\Policies“ oder zu „Software\Policies\Microsoft“ und ändern oder löschen Sie die Werte, die Sie zuvor importiert haben.

0 Kommentare zu diesem Artikel
1954697