66418

XP Prome: Fast ein Pro mit zwei Klicks

15.02.2009 | 09:33 Uhr | Hermann Apfelböck, Thorsten Eggeling, David Wolski, Christian Löbering

Problem: Stellen Sie sich vor, ein Kfz-Hersteller bringt in einem Auto einen Klotz hinter Gas- und Bremspedal an. Der Wagen fährt zwar noch, verfügt aber nur über die halbe Beschleunigungs- und Bremskraft – dafür ist er günstiger. Bei der Home-Version von Windows XP ist es ähnlich. Viele Funktionen aus der Pro-Fassung sind hier standardmäßig deaktiviert, beispielsweise die Registerkarte „Sicherheit“, die Dateiverschlüsselung (EFS – Encrypting File System) oder der Einsatz von Benutzerrechten in Freigaben. Alle bisher veröffentlichten Möglichkeiten, diese freizuschalten, sind entweder Teillösungen oder erfordern erhebliches Know-how.

Lösung: Windows speichert seine Identität im Registry-Schlüssel „Hkey_Local_Machine\ System\ CurrentControlSet\ Control\ ProductOptions“. Steht dort in der mehrteiligen Zeichenfolge „ProductSuite“ der Wert „Personal“, dann handelt es sich um eine Home-Version: Ist hier nichts eingetragen, ist es XP Pro. Um einem XP Home klarzumachen, es sei ein Pro, müsste es also genügen, den Wert „Personal“ aus dem genannten Eintrag zu löschen. Da es sich dabei aber um eine Veränderung der Lizenz handelt, überwacht das System diesen Schlüssel und sperrt jede Änderung. Mit unserem Tool pcwXPProme.EXE aus dem gleichnamigen Archiv können Sie den Wert trotzdem löschen – und zwar im laufenden Betrieb. Dazu entpacken Sie das Tool und die ebenfalls im Archiv enthaltene Datei „Hilfe – Bitte ausdrucken.TXT“ in ein beliebiges leeres Verzeichnis, in dem sie auch bleiben sollen.

Achtung: Wenn Sie den genannten Registry-Schlüssel anpassen, ändert sich die Lizenz. Deshalb dürfen Sie die folgenden Schritte nur ausführen, wenn Sie über eine entsprechende XP-Pro-Lizenz verfügen. Das Tool greift tief in das System ein. Lesen Sie vor dem ersten Aufruf unbedingt die Hilfe-Datei, und schaffen Sie eine der darin beschriebenen Voraussetzungen, um im unwahrscheinlichen Fall eines GAUs Ihr System wiederherstellen zu können.

Nach dem ersten Aufruf legt das Tool zunächst eine Sicherung des genannten Schlüssels an. In einer weiteren Kopie entfernt es den Eintrag „Personal“ und liest den geänderten Schlüssel wieder in die Registry ein. Ferner wird im Schlüssel „Hkey_Local_Machine\ System\ CurrentControlSet\ Control\ Lsa“ der DWORD-Eintrag „ForceGuest“ auf „0“ gesetzt, damit Sie die NTFS-Rechte nutzen und setzen können. Stimmen Sie dann dem Neustart zu – fertig ist XP Prome. Klicken Sie nun mit der rechten Maustaste auf eine Datei, die auf einer NTFS-Partition liegt, und wählen Sie „Eigenschaften“. Ihnen wird die neue Registerkarte „Sicherheit“ auffallen, auf der Sie Zugriffsrechte setzen können. Über die Eigenschaften von Ordnern vergeben Sie Freigabe-Berechtigungen. Um Dateien zu verschlüsseln, klicken Sie in deren „Eigenschaften“-Dialog auf „Erweitert“ und aktivieren die Klickbox vor „Inhalt verschlüsseln, um Daten zu schützen“. Schwierigkeiten kann ein umgewandeltes Home beim Update machen. Deshalb sollten Sie am Patch Day jeden zweiten Dienstag im Monat den schizophrenen Zustand temporär zurücksetzen. Führen Sie das Tool einfach noch einmal aus. Dadurch wird das zuvor angelegte Backup eingelesen, Neustart, fertig. Nun können Sie updaten und danach wieder auf Prome umschalten.

Ausführ-Sperre: Alle Programme bis auf eine Auswahl verbieten

Problem: Sie sind Administrator eines Mehrbenutzersystems. Aus Sicherheitsgründen möchten Sie einigen Anwendern das Ausführen von Programmen verbieten – bis auf wenige, explizit freigegebene.

Lösung: Mit unserem Script 00491:/:pcwRestrictRun.HTA können Sie von Ihrem Administratorkonto aus die erlaubten Anwendungen für alle anderen auf dem System vorhandenen Benutzerkonten steuern. Dabei geht es um alle Anwendungen, die aus dem Explorer heraus aufgerufen werden. Programme, die das System selbst startet, bleiben unangetastet.

Um neue Berechtigungen zu vergeben, rufen Sie das Script auf. Der Dialog listet alle Benutzerkonten inklusive Ihres eigenen auf. Markieren Sie alle Konten, für die neue Einschränkungen gelten sollen, und klicken Sie dann auf „Verbieten“. Ein Ausrufezeichen neben dem Kontonamen kennzeichnet dann, dass Restriktionen vorliegen. Im nächsten Schritt legen Sie für jedes Konto eine eigene „Whitelist“ an. Darin stehen die Anwendungen, die weiterhin ausgeführt werden dürfen. Geben Sie also in der Befehlszeile den Namen der ausführbaren Datei an, die erlaubt werden soll, beispielsweise „iexplore.exe“ für den Internet Explorer oder „winword.exe“ für Word.

Danach markieren Sie die Konten welche diese Programme ausführen dürfen, und klicken auf „Anwendung erlauben“. Wiederholen Sie diesen Vorgang so oft, bis jedem eingeschränkten Konto die erlaubten Anwendungen zugewiesen sind. Profile, denen Sie bereits mindestens eine erlaubte Anwendung zugeordnet haben, werden beim Markieren ausgeklappt damit Sie deren „Whitelist“ einsehen können. Wenn Sie mehreren Konten dieselben Anwendungen zuweisen möchten, aktivieren Sie am besten die Klickbox „Zu Hinzufügen von Anwendungen in der Profil-Ansicht bleiben“ – das verhindert das Ausklappen. Beenden Sie das Script immer mit „Quit“, da sonst die Registry-Dateien der anderen Benutzerprofile nicht richtig entladen werden und die Benutzer sich nicht mehr anmelden können. Natürlich können Sie erlaubte Anwendungen auch wieder verbieten. Dazu markieren Sie zunächst das gewünschte Konto, dann die zu verbietenden Anwendungen und klicken auf „Löschen“. Um die Einschränkungen komplett aufzuheben markieren Sie wieder die einzelnen Konten und klicken auf „Erlauben“. Achtung: Sie können in der oben beschriebenen Weise auch Einschränkungen für Ihr eigenes Konto treffen. Dabei besteht die Gefahr, dass Ihr System unbrauchbar wird. Schränken Sie Ihr Konto, wenn überhaupt, nur mit größter Vorsicht ein.

PC-WELT Marktplatz

66418