Als Admin unter Windows: Mythen und Fakten

Früher hat man immer gelernt: Arbeite stets als Benutzer mit eingeschränkten Rechten und nutze einen Benutzer mit Administrationsrechten nur, wenn es erforderlich ist. Da sich mittlerweile viel in der Welt von Windows getan hat, wollte ich wissen, ob dieses Wissen nach wie vor aktuell ist oder ob es eines Updates bedarf. Daher habe ich dieses Thema "Admin unter Windows" mit einigen ITlern aus meinem Freundeskreis diskutiert und selbst Nachforschungen angestellt. Was dabei heraus gekommen ist, möchte ich in in diesem Artikel mit euch teilen.

Hinweis:
Der Artikel bezieht sich auf alle Windows Versionen seit Windows Vista und Windows Server 2008.

Wie war es denn früher?

Wie bereits in der Einleitung erwähnt, hat man immer gelernt und gehört, dass man stets mit eingeschränkten Rechten arbeiten soll. Doch warum eigentlich? Die Antwort ist eigentlich ganz einfach: Wenn man mit einem Benutzer arbeitete, der administrative Berechtigungen hatte, wurde auch jedes Programm mit diesen Rechten ausgeführt. So konnten auch Viren ungehindert mit administrativen Rechten Schaden anrichten. Wer jetzt aufmerksam gelesen hat, hat vielleicht gemerkt, dass ich in der Vergangenheitsform geschrieben habe. Denn dieses Sicherheitsrisiko ist auch Microsoft aufgefallen und so hat Microsoft mit Windows Visa eine neue Technik eingeführt, die sich UAC (User Account Control bzw. Benutzerkonstensteuerung) tauft.

Die UAC

Microsoft hat also die UAC (Benutzerkontensteuerung) mit Windows Vista ins Leben gerufen. Ganz grob beschrieben arbeitet durch die UAC ein Benutzer, der Mitglied in der lokalen Gruppe "Administratoren" ist, und somit über lokale Administartionsberechtigungen verfügt, immer nur mit eingeschränkten Rechten. Also so, als wäre es nur ein Standardbenutzer. Möchte dieser Benutzer jetzt administrative Aufgaben ausführen, beispielsweise eine Software installieren, erscheint das UAC-Prompt. Wenn der Benutzer jetzt Mitglied der lokalen Administratorengruppe ist, genügt es auf "Ja" zu klicken:

UAC unter Windows 10

Wenn der Benutzer nicht Mitglied der lokalen Administratorengruppe ist, gibt das UAC-Prompt die Möglichkeit Anmeldedaten für einen lokalen Administrator einzugeben:

UAC unter Windows 10

Man kann also zusammenfassend sagen, dass ein administrativer Benutzer immer nur mit eingeschränkten Rechten arbeitet, sich aber bei Bedarf ohne viel Aufwand die höheren Rechte "besorgen" kann. Das geschieht entweder, weil ein UAC-Prompt automatisch erscheint, oder indem man ein Programm expliziet als Administrator startet (Kontextmenü -> Als Administrator starten). Bei einem Standardbenutzer erscheint die UAC zwar auch, dort ist aber immer explizit ein administrativer Account (Benutzername und Kennwort) anzugeben.

Der Benutzer "Administrator"

In Windows gibt es vorangelegt einen Benutzer der "Administrator" heißt. Dieser Benutzer hat einige Sonderheiten. Er ist aus Sicherheitsgründen auch seit Windows Visat deaktiviert und muss erst manuell aktiviert werden. Wer unter diesem Benutzer arbeitet, arbeitet auch wirklich permanent mit Administratorrechten, wie wir es noch von Windows XP kennen. Es erscheint also auch keine UAC. Die UAC ist für diesen Benutzer standardmäßig deaktiviert.

Netzlaufwerke als Admin

Jeder hat es sicherlich schon gemerkt. Wer ein Programm mit erhöhten Rechten von einem Netzlaufwerk starten möchte, erhält nur eine Fehlermeldung, die behauptet, dass der Pfad nicht vorhanden sei. Dies liegt daran, dass das Netzlaufwerk unter dem bereits angemeldetet Benutzer verbunden ist. Durch die UAC gibt es aber jetzt eine zweite Anmeldung mit erweiterten Rechten. Diese zweite Anmeldung weiß nichts von dem Netzlaufwerk. Um das Verhalten zu ändern, reicht es einen Eintrag in der Registry zu erstellen. Dafür einfach im Registrierungs-Editor unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen DWORD (32 Bit) Eintrag mit dem Namen EnableLinkedConnections und den Wert 1 erstellen. Nach einem Neustart von Windows tritt der Fehler nicht mehr auf.

Fazit

Ist es nun ein Risiko als Benutzer mit Adminrechten zu arbeiten? Ich denke nicht, sofern die UAC eingeschaltet ist. Schließlich läuft die UAC in einem sog. secure desktop Modus. Dieser Modus verhindert, dass Schadsoftware auf den UAC-Dialog zugreifen könnte um selbst auf "Ja" zu klicken. Auch hat sich die Arbeitsweise von Viren in den letzten Jahren stark verändert. Während Viren früher noch primär Schaden anrichten wollten, versuchen Viren heute versteckt zu arbeiten und versenden beispielsweise Spammails. Die meisten modernen Viren arbeiten daher ohnehin nur mit eingeschränkten Rechten.

Da dieser Artikel meine Sichtweise zu diesem Thema wiederspiegelt, bin ich gespannt was ihr denkt. Lasst mich doch eure Meinung zu diesem spannenden Thema in den Kommentaren wissen.

Über Rafael Nockmann

Seit mehreren Jahren begeistere ich mich privat und beruflich für die IT. Das habe ich dann auch zum Anlass genommen, diesen Blog ins Leben zu rufen, um dort praxisnahe Tutorials über verschiedene IT-Themen zu schreiben und meine selbst geschriebene Software zu veröffentlichen.

Beitrag kommentieren

Bitte verfasse einen Kommentar.

Dein Kommentar wird vor der Freischaltung von einem Admin moderiert.