Windows fordert immer die Anmeldung an einem eingerichteten Konto. Ob Sie diese Anmeldung mit einem Online-Konto verbinden (Windows 8), ob Sie das Konto ungeschützt durch automatische Anmeldung betreten, ob Sie ein Konto mit Administratorrechten oder eingeschränkten Rechten nutzen – das ist sekundär. Entscheidend ist, dass Sie mit der Konto-Anmeldung immer eine definierte Rolle mit definierten Rechten einnehmen. Ein zweites Konto startet übrigens immer mit – das System selbst.
Davor schützen Benutzerkonten:Das sind die wichtigsten Schutzfunktionen und ihre Grenzen:
• Zugangsschutz:Personen ohne Konto und Kennwort können sich nicht anmelden und somit Windows nicht benutzen. Der Zugriff auf Festplatte und Dateien ist aber durch Zweitsysteme möglich.
• Datenschutz: Die Benutzerdaten der Konten sind automatisch durch NTFS-Rechte gegeneinander abgeschirmt. Dadurch können mehrere Personen mit einem System arbeiten, ohne Zugriff auf die Dateien der anderen Konten zu haben. Das gilt aber nur für „Standardbenutzer“. Der zweite Kontotyp „Administrator“ hat zwar zunächst auch keine Rechte auf Fremddateien, kann sich die Zugriffsrechte aber jederzeit verschaffen.
• Systemschutz: Die Benutzerrolle und der Kontotyp („Administrator“ oder „Standard“) schützen das System vor digitalen Schädlingen und vor Fehlbedienung. Selbst ein Administratorkonto hat unter Windows 7 und 8 aufgrund der Benutzerkontensteuerung zunächst nur eingeschränkte Rechte und damit automatisch auch alle aus dem Konto gestartete Programme.
Wenn Windows nervt, dann helfen diese exklusiven Tipps & Tools
Tipps für den Einsatz:Aufgrund der Benutzerkontensteuerung, die Administratorkonten automatisch herunterstuft, sind Konten dieses Typs unter Windows 7 und 8 relativ sicher. Daher genügt auf einem von einer Person genutzten Windows im Prinzip das bei der Installation erstellte Administratorkonto. Allerdings müssen Sie die Abfragen der Benutzerkontensteuerung („Möchten Sie zulassen…“) stets ernst nehmen: Diese sollten sich immer und eindeutig auf das Programm beziehen, das Sie selbst gerade zu starten versuchen. Ein „Ja“ bedeutet immer, dass Sie sich von einem sicheren Benutzerkontext in den Admin-Status hochstufen, der theoretisch alles darf.
Für andere PC-Benutzer oder für erhöhte Sicherheit für sich selbst, legen Sie unter „Systemsteuerung, Benutzerkonten“ neue Konten vom Typ „Standardbenutzer“ an. Wenn Sie als eingeschränkter Standardbenutzer Aktionen auslösen, die Administratorrechte erfordern, erscheint ebenfalls ein Dialog der Benutzerkontensteuerung: Hier ist es aber nicht mit einem „Ja“-Klick getan, sondern Sie müssen das Kennwort eines Administratorkontos eingeben. Standardbenutzer, die kein Admin-Kennwort kennen, kommen nicht über diese Hürde.
Der Systemsteuerungspunkt „Benutzerkonten“ genügt zum Einrichten und Entfernen von Konten. Für Aktionen wie das Deaktivieren von Konten oder für automatische Anmeldung ohne Kennwort verwenden Sie auf Pro-Versionen die Konsole „Lusrmgr.msc“ („Lokale Benutzer“) und den Dialog „control userpasswords2“.
NTFS-Rechte und EFS-Verschlüsselung
Windows fordert seit Version Vista auf seiner Systempartition das Dateisystem NTFS. Es ist Voraussetzung für die Dateirechte der Benutzerkonten und des Systems selbst.
Davor schützen NTFS-Rechte:Die Zugriffssteuerungsliste (ACL) des Dateisystems ist technische Basis dafür, dass (Standard-) Benutzer nicht auf die Dateien anderer Konten zugreifen können. Auch Konten vom Typ „Administrator“ dürfen längst nicht alles: So verbieten es die Standard-NTFS-Rechte auch einem Admin-Konto, in Systemordnern Dateien zu verändern. Ein zusätzliche Option ist die in NTFS eingebaute EFS-Verschlüsselung (Encrypting File System), die allerdings nur in Windows-Pro-Editionen freigeschaltet ist: Derart verschlüsselte Dateien und Ordner können im eigenen Konto normal genutzt werden, sind aber für andere Windows-Konten und auch beim „Einbruch“ über ein Zweitsystem unlesbar.
Tipps für den Einsatz: In einem Konto vom Typ „Administrator“ können Sie grundsätzlich alle NTFS-Rechte neu setzen. Das geschieht bei Ordnern wie Dateien nach Rechtsklick über „Eigenschaften, Sicherheit“. Notwendig ist die Aktion vor allem bei Multi-Boot-Systemen und auf externen USB-Festplatten, die auf mehreren PCs genutzt werden. Wenn Sie im genannten Dialog über „Bearbeiten“ keinen Vollzugriff für Ihr Konto einstellen können, hilft es, über „Erweitert“ den Besitzer zu „Ändern“ und die Vererbung der Rechte zu deaktivieren. Der komplizierte Unterdialog hat unter Windows 8 mit der Schaltfläche „Vererbung deaktivieren“ Klarheit gewonnen.
Die EFS-Dateiverschlüsselung nutzen Sie ebenfalls über die „Eigenschaften“ von Dateiobjekten: Hier finden Sie unter „Erweitert“ die Option „Inhalt verschlüsseln“.
Dieser Beitrag erschien bereits in unserer Schwesterpublikation PC-Welt