Kopfbereich

Direkt zum Inhalt Direkt zur Navigation

Navigation

Willkommen
wir über uns
unsere Dienstleistungen
Neuigkeiten
Tipps und Tricks
Sport-News

Sport-News von:
Kicker Online

Einkaufen
WEB-Shop
PC-Konfigurator
DSL-Bestellung
so finden Sie uns
Map24
sonstiges
Gästebuch
Kontakt
Impressum
nach Begriff suchen
Wikipedia meine Enzyklopaedie
Referenz-Links
Downloadbereich
kostenlose Tools
Mp3 Player
start Player
Unterhaltung
login für highscore
Spiele-Meisterschaft
Who's Online
Aktuell 22 Gäste online
Besucher-Zähler

Besucher seit
01.12.2006

Inhalt

Ratgeber: Die 10 wichtigsten Tipps zu Sicherheit PDF Drucken E-Mail
Wednesday, 2. January 2008

XP-Tricks

Ratgeber: Die 10 wichtigsten Tipps zu Sicherheit


Das PC-WELT-Tipp-Archiv ist eine wahre Fundgrube an Tipps, Tricks und Tools rund um Windows XP. Wir haben Sie durchstöbert und das Allerbeste aus dem Praxis-Ressort für Sie herausgesucht. Den Anfang machen wir mit den 10 wichtigsten Tipps zu Sicherheit
 
Die PC-WELT-Redakteure haben im Laufe der Jahre jede Menge Geheimnisse des verbreitetsten Microsoft-Betriebssystems gelüftet, Unzulänglichkeiten mit Tools behoben, Sicherheitslücken geschlossen oder XP einfach umgänglicher gemacht. In den Rubriken Sicherheit, System, Netzwerk und Desktop haben wir nun jeweils eine Top-Ten unserer Tipps für Sie zusammengestellt. Damit bekommen Sie ein sicheres, bequemes und individuell angepasstes XP, das Sie ohne lästige Neuinstallation noch einige Jahre intensiv nutzen können.

Sicherheitslücke in XP Home: Administrator-Passwort fehlt
Problem: Windows XP bietet Sicherheit – vorausgesetzt, das System ist entsprechend konfiguriert. Die Home-Version versäumt aber beim Setup eine wesentliche Abfrage: Anders als XP Professional fragt Sie XP Home bei der Installation nicht nach einem Kennwort für das fest eingebaute Administrator-Konto. Das Admin-Passwort bleibt daher standardmäßig leer. Wer das weiß, erhält beim Start im abgesicherten Modus oder über die Wiederherstellungskonsole jederzeit Zutritt zum System und den Daten.
Lösung: Sie sollten auch in der Home-Version sofort nach der Installation ein Passwort für den Administrator einrichten. Der übliche, dokumentierte Weg führt über den abgesicherten Modus, denn nur hier taucht der Administrator unter „Benutzerkonten“ in der Systemsteuerung auf. Komfortabler setzen Sie ein Passwort für das Administrator-Konto über ein Kommando auf der Befehlszeile. Diese Methode funktioniert auch im normalen Betrieb, umständliche Neustarts sind überflüssig. Öffnen Sie eine Eingabeaufforderung, und geben Sie diesen Befehl ein:
net user administrator <Kennwort>
 
Für den Platzhalter <Kennwort> geben Sie das gewünschte Passwort an. Damit der Befehl funktioniert, müssen Sie allerdings Administrator-Rechte besitzen – alle anderen Benutzer können das Kommando nicht ausführen.
 
Eingeschränktes Konto: So bremsen Sie Schädlinge aus
Problem: Sie sind der einzige Benutzer Ihres nicht vernetzten PCs. Allerdings gehen Sie mit dem Rechner ins Internet. Sie wollen verhindern, dass Ihr System sich einen Virus oder Wurm aus dem Web einfängt.
Nutzen Sie Admin-Rechte nur, wenn sie wirklich nötig sind
Nutzen Sie Admin-Rechte nur, wenn sie wirklich nötig sind
Lösung: Wenn Windows XP auf einer NTFS-Partition installiert ist, besitzt es ein sauberes Konten- und Rechtesystem. Darüber lassen sich die Zugriffsrechte auf Dateien und Ordner für die einzelnen Benutzer steuern. Die Rechte eines Benutzerkontos gelten für alle Anwendungen und folglich auch für Viren, die aus diesem Kontext heraus aktiv werden. Sie können sich also wirksam gegen Eindringlinge und Malware schützen, wenn Sie als eingeschränkter Benutzer surfen. Dann bestehen nämlich beispielsweise keine Schreibrechte auf den „Windows“- und den „Programme“-Ordner oder auf zentrale Registry-Schlüssel. Viren und Würmer scheitern also beim Zugriff auf ihre typischen Ziele.
Diesen Schutz bekommen Sie aber nicht umsonst: Er kostet Sie unter anderem das Recht, Anwendungen zu installieren. Solche Einschränkungen führen dazu, dass Anwender aus Bequemlichkeit lieber ständig mit Administrator-Rechten arbeiten und damit Schädlingen Tür und Tor öffnen. Desktop-Firewalls und Virenwächter können das Risiko einer Infektion zwar verringern, aber nicht ausschalten. Ein idealer Kompromiss zwischen Sicherheit und Benutzerkomfort besteht darin, als Administrator zu arbeiten, den Web-Browser jedoch mit eingeschränkten Rechten zu starten. Grundvoraussetzung ist zunächst, dass Sie unter „Systemsteuerung, Benutzerkonten“ einen eingeschränkten User angelegt haben.
Für alles Weitere verwenden Sie am besten unser Tool pcwRunas 0.3. Damit lassen sich Verknüpfungen anlegen, über die Sie den Browser im eingeschränkten Benutzerkontext starten können, ohne dass das die Rechte der anderen laufenden Anwendungen berührt. Nach der Installation des Tools rufen Sie die pcwRunAsGui.EXE aus dem Programmverzeichnis auf. Im Dialog wählen Sie hinter„Dateiname“ das Programm, das Sie künftig mit eingeschränkten Rechten starten wollen (zum Beispiel „C:\Programme\Internet Explorer\Iexplore.EXE“ oder „C:\Programme\Mozilla Firefox\Firefox.EXE“). Weiter unten geben Sie neben „Benutzername“ und „Kennwort“ die Daten des eingeschränkten Benutzerkontos an und setzen neben „Verknüpfung“ einen beliebigen Namen für den neuen Link ein. Nach einem Klick auf „Übernehmen“ erscheinen die Parameter für pcwRunas noch einmal durch Strichpunkte getrennt – wenn nötig, können Sie sie hier noch korrigieren. Ein letzter Klick auf „Shortcut“ legt die neue Verknüpfung auf dem Desktop an. Zur Kontrolle der Rechte installiert das Setup Programm von pcwRunAs eine Toolbar für den Internet Explorer und den Windows-Explorer (pcwPrivilegien.DLL), die Sie über „Ansicht Symbolleisten, pcwPrivilegien“ einblenden Wenn Sie als Admin arbeiten, sehen Sie ein rotes Warnsignal und die Schaltfläche „Administrator“. Eine kleine Bequemlichkeitseinbuße: Beim Download aus dem Web gelten natürlich die Windows-Ordner des eingeschränkten Kontos: Wenn Sie Daten etwa auf den Desktop laden, landen diese nicht auf dem sichtbaren Admin-Desktop, sondern im Desktop-Ordner des jeweiligen Kontos. Am besten wählen Sie deshalb ein für alle Konten zugängliches Download-Ziel.
 
 

Windows-Firewall: Wer darf was?

Problem: Mit SP 2 für Windows XP kam eine neue Firewall zum Einsatz. Standardmäßig ist sie für alle verfügbaren Adapter aktiv und lässt keine ankommenden Verbindungsversuche aus dem Netz zu. Was das bedeutet und wie Sie die Firewall ideal konfigurieren, ist jedoch nicht immer ganz klar.

 
Lösung: Die Windows-Firewall schützt, wie jede andere Software-Firewall, das System nicht zuverlässig vor Angriffen aus dem Netz, selbst wenn sie richtig eingerichtet ist. Sie verringert aber die Angriffsfläche. In der Standardkonfiguration lässt sie Verbindungen von Ihrem System nach außen zu, blockiert aber Zugriffe von außen. Sie können also zum Beispiel im Internet surfen, jedoch nicht Filesharing betreiben. Einzige Ausnahme sind Zugriffe auf freigegebene Dateien und Drucker über das lokale Netzwerk.
Um mehr Verbindungen zuzulassen, legen Sie eine „White List“ mit allen Anwendungen an, auf die über das Netz zugegriffen werden darf. Beim ersten Start eines solchen Programms meldet sich die Firewall per Dialogbox und fragt nach, ob die Verbindung zu diesem weiterhin blockiert werden soll. Wenn Sie diese Frage verneinen, wird die Anwendung in die Liste aufgenommen und darf fortan mit dem Netz kommunizieren. Die erforderlichen Kanäle (Ports) werden beim Starten und Beenden der Anwendung automatisch geöffnet und wieder geschlossen.
Um die Firewall manuell zu konfigurieren, klicken Sie in der Systemsteuerung auf „Windows Firewall“. Auf der Registerkarte „Allgemein“ können Sie die Firewall aktivieren oder deaktivieren. Ist sie aktiv, können Sie zusätzlich die Option „Keine Ausnahmen zulassen“ wählen. Das ist zum Beispiel sinnvoll, wenn Sie sich mit Ihrem Notebook am Netz des Flughafens anmelden. So verhindern Sie, dass auf die Anwendungen aus Ihrer Ausnahme-Liste zugegriffen werden kann.
Unter „Ausnahmen“ können Sie Ihre „White List“ einsehen. Nach einem Klick auf „Programm“ können Sie eine Anwendung hinzufügen. Über die Schaltfläche „Port“ können Sie einzelne Ports freischalten. Diese bleiben offen, bis Sie sie wieder aus der Liste entfernen. Das ist natürlich ein Sicherheitsrisiko, so dass Sie Ports nur bewusst freigeben sollten. Klicken Sie dazu auf die Schaltfläche „Bereich ändern“. Wenn jeder weltweit den Kanal nutzen darf, wie es etwa beim Filesharing üblich ist, dann wählen Sie „Alle Computer“. Sollen nur PCs im lokalen Netz zugreifen, dann aktivieren Sie „Nur für eigenes Netzwerk“. Es ist sogar möglich, dass nur einzelne PCs mit festen IP-Adressen zugreifen dürfen. In diesem Fall geben Sie die Adressen, jeweils durch ein Komma getrennt, einzeln in die „Benutzerdefinierte Liste“ ein.
 
Prozessdatenbank: Wissen, was läuft
Problem: Sie brauchen eine zuverlässige Quelle, die Ihnen genauere Informationen über die vorgefundenen Tasks im Taskmanager gibt, etwa um Schädlinge zu identifizieren.
Mit pcwProcess erfahren Sie ob ein Prozess schädlich ist
Mit pcwProcess erfahren Sie ob ein Prozess schädlich ist
Lösung: Wir haben für Sie eine Datenbank aufgebaut, die genau diesen Job erledigt. Dazu haben ein Tool entwickelt, das Ihnen helfen, unerwünschte Prozesse zu identifizieren und gezielt abzuschießen. Unter http://pcwelt-wiki.de/wiki/Kategorie:Prozesse finden Sie die Infos, die Ihnen den Durchblick im Prozess-Dschungel verschaffen. Viren und Würmer tarnen sich gern mit den Namen von Windows Standardprozessen, andere tragen nichts sagende und harmlos klingende Namen. Um Schädlinge zu entlarven, brauchen Sie die Programmpfade. Die echten Systemprozesse sind nämlich zu 95 Prozent im Pfad %windir%\system32 anzutreffen und nirgends sonst. Den aber erfährt man im Taskmanager nicht. Jetzt wäre es hilfreich, die Datei-Eigenschaften des jeweiligen Tasks aufzurufen – oft finden sich hier Erstelldatum und Herstellerangaben. Nur: An diese Infos kommen Sie jeweils nur sehr umständlich heran.
pcwProcess.HTA liefert per Mausklick auf einen Task genau diese Informationen – und mehr: Unser scriptbasiertes Tool ist ein verbesserter Taskmanager und Taskkiller mit Anbindung an die PC-WELT-Prozessdatenbank und erlaubt zusätzlich eine Recherche im Web. Sie starten das Tool für Windows XP ohne Installation einfach per Doppelklick. Nach einer kurzen Analyse zeigt es in einer Tabelle die laufenden Prozesse an. Standardmäßig sehen Sie den Namen und den Pfad der zugrunde liegenden Programmdatei. Ein Klick auf den Button „Eigenschaften“ bringt die Datei-Eigenschaften eines Prozesses auf den Bildschirm. Über die Schaltfläche „PC-WELT“ recherchieren Sie zusätzliche Infos in der PC-WELT-Prozessdatenbank. Bei bestehender Internet-Verbindung öffnet ein Klick darauf ein neues Browser-Fenster mit der Beschreibung. Sollte es noch keine geben, können Sie eine neue Seite im Wiki anlegen. Die Schaltfläche „Google“ funktioniert ähnlich: Sie startet eine Suche nach dem Prozessnamen bei www.google.de. Ein Klick auf den Button „Prozess Beenden“ schießt den ausgewählten Task per Mausklick ab. Bei System-kritischen Prozessen, die nicht beendet werden dürfen, ist die Schaltfläche ausgeblendet.
Voraussetzung für „Prozess Beenden“ ist unter Windows XP, dass Sie mit Administratorrechten angemeldet sind. Ein Druck auf <F5> aktualisiert die Taskliste – praktisch, wenn Sie mittlerweile ein paar Prozesse beendet haben. Mit der Tastenkombination <Strg>-<F> rufen Sie einen Dialog auf, über den Sie in der Liste nach einem Prozessnamen suchen können.
 
 

Autostart: Startrampen aufspüren und sperren

Problem: Sie haben auf Ihrem Rechner einen Schädling aufgespürt, der nach jedem Systemstart hartnäckig wieder auftaucht. Sie möchten diesen Schädling dauerhaft los werden.

 
Lösung: Jeder Schädling versucht, automatisch beim Systemstart in den Speicher zu gelangen. Um einen Schädling dauerhaft loszuwerden, müssen Sie dessen Laderampe finden und deaktivieren. Manche Schädlinge schreiben sich vorsichtshalber gleich in mehrere dieser Startrampen. Übersieht man nur eine der Möglichkeiten, sind sie umgehend wieder im RAM. Mit unserem Tool pcwAutostart1.4.1.HTA für alle Windows-Versionen erfahren Sie nach ein paar Klicks, welche Anwendung von wo aus startet, und können jeden Eintrag bei Bedarf ganz einfach löschen. Nach dem Aufruf prüft es alle bekannten Windows-Startrampen – 22 Registry-Schlüssel, fünf Dateien und drei Ordner – auf Einträge oder Verknüpfungen zu Anwendungen, die automatisch aufgerufen werden. Wird es fündig, zeigt es zunächst die Quellen an. Wenn Sie eine dieser Quellen anklicken, erhalten Sie im unteren Fensterbereich die Programme, die von hier aus gestartet werden.
Um Autostarts abzuschalten, aktivieren Sie die Klickbox neben der jeweiligen Anwendung und klicken auf „Entfernen“. Unter Windows XP können Sie über unser Script auch einfach verbieten, dass sich Prozesse künftig in irgendeine der Startrampen eintragen. Voraussetzungen dafür sind Administratorrechte, eine mit NTFS formatierte Systempartition und das englischsprachige Microsoft-Tool Subinacl.EXE. Dieses holen Sie sich nach einem Klick auf „?“ aus dem Web. Ist das alles gegeben, entzieht ein Klick auf die Schaltfläche „Berechtigungen“ dem Benutzer und dem System das Schreibrecht auf alle Registry- und Datei-Autostarts. Das ist ein schwerwiegender Eingriff, den Sie sich gut überlegen sollten. Vor allem sollten Sie sich daran erinnern, wenn es bei der Installation einer Software Probleme gibt. Gegebenenfalls nehmen Sie die Einstellung auf demselben Weg wieder zurück. Der Button „Definieren“ verlinkt zur PC-WELT-Prozessdatenbank (siehe Tipp „Prozessdatenbank: Wissen was läuft“). Dazu markieren Sie zunächst einen Startprozess im unteren Dialogbereich. „Definieren“ übergibt den Dateinamen dann direkt an unser Prozess-Wiki.
 
Datei-Erweiterungen: Systemweit sichtbar machen
Problem: Dass der Windows-Explorer standardmäßig bestimmte Datei-Erweiterungen nicht anzeigt, ist ein bekanntes Ärgernis. Genauso ist es aber auch bei den Attachments von Mails, die Sie über Outlook und Outlook Express empfangen. Dadurch erscheint eine Datei mit dem Namen Clickme.TXT.VBS als harmlose TXT-Datei.
Lösung: Die Darstellung der Dateinamen in Outlook und Outlook Express richten sich nach den Einstellungen im Windows-Explorer. Wählen Sie im Explorer das Menü „Extras, Ordneroptionen, Ansicht“, und entfernen Sie das Häkchen neben der Option „Erweiterungen bei bekannten Dateitypen ausblenden“. Abgesehen von LNK- und PIF-Dateien sehen Sie nun sämtliche Dateien mit der Namenserweiterung – und zwar sowohl im Explorer als auch in den Mailprogrammen Outlook und Outlook Express.
 
PC Nutzung kontrollieren: Check von Logons und Systemlaufzeit
 
Problem: Sie haben den Verdacht, dass Ihre Logon-Daten allgemein bekannt sind. Oder: Ihr Sohn behauptet, er spiele erst seit 20 Minuten am PC, doch Sie haben Zweifel. Sie wollen feststellen, ob sich seit Ihrer letzten Windows-Anmeldung ein Kollege oder Admin an Ihrem Bürorechner vergriffen hat beziehungsweise wie lange das System läuft.
Lösung: Auch für diese Aufgabe bietet sich die Wmic.EXE an. Sie kann sowohl die Uptime des Systems – die Laufzeit seit dem Systemstart – ermitteln als auch die Anzahl der Logons, und zwar für alle Systemkonten oder für ein bestimmtes. Unsere Batchdatei pcw_Uptime.BAT liefert die Systemlaufzeit in Sekunden und – der besseren Übersicht halber – auch abgerundet in weiteren Zeiteinheiten. Außerdem zeigt die Batchdatei die Gesamtzahl aller bisherigen lokalen Anmeldungen des aktuellen Benutzers. Bei Zweifeln über die lokale Logon-Sicherheit genügt es also, sich diese Zahl zu notieren. Wenn die Zahl bei Ihrem nächsten Logon um mehr als eins höher ist, hat sich in der Zwischenzeit ein anderer Benutzer mit Ihren Kontodaten angemeldet. Hinweise zur Batch: pcw_Uptime ist wie jede interaktive Batchdatei auf der Kommandozeile zu starten. Zur bequemen systemweiten Nutzung sollten Sie sie in ein Verzeichnis im Systempfad kopieren. Die Rundung der Uptime beim Umrechnen in Minuten, Stunden und Tage ist in der Standard-Kommandozeile Cmd.EXE zwingend, da diese bei Rechen-Operationen immer auf Ganzzahlen abrundet. Die exakte Uptime ist daher nur bei den Sekunden abzulesen. Diese Ungenauigkeit betrifft nur die Cmd.EXE: Im alternativen Befehlsinterpreter 4NT.EXE etwa liefert die gleiche Batch ein exaktes Ergebnis für alle Zeitwerte.
 

XP Prome: Fast ein Pro mit zwei Klicks

Problem: Stellen Sie sich vor, ein Kfz-Hersteller bringt in einem Auto einen Klotz hinter Gas- und Bremspedal an. Der Wagen fährt zwar noch, verfügt aber nur über die halbe Beschleunigungs- und Bremskraft – dafür ist er günstiger. Bei der Home-Version von Windows XP ist es ähnlich. Viele Funktionen aus der Pro-Fassung sind hier standardmäßig deaktiviert, beispielsweise die Registerkarte „Sicherheit“, die Dateiverschlüsselung (EFS – Encrypting File System) oder der Einsatz von Benutzerrechten in Freigaben. Alle bisher veröffentlichten Möglichkeiten, diese freizuschalten, sind entweder Teillösungen oder erfordern erhebliches Know-how.

Lösung: Windows speichert seine Identität im Registry-Schlüssel „Hkey_Local_Machine\ System\ CurrentControlSet\ Control\ ProductOptions“. Steht dort in der mehrteiligen Zeichenfolge „ProductSuite“ der Wert „Personal“, dann handelt es sich um eine Home-Version: Ist hier nichts eingetragen, ist es XP Pro. Um einem XP Home klarzumachen, es sei ein Pro, müsste es also genügen, den Wert „Personal“ aus dem genannten Eintrag zu löschen. Da es sich dabei aber um eine Veränderung der Lizenz handelt, überwacht das System diesen Schlüssel und sperrt jede Änderung. Mit unserem Tool pcwXPProme.EXE aus dem gleichnamigen Archiv können Sie den Wert trotzdem löschen – und zwar im laufenden Betrieb. Dazu entpacken Sie das Tool und die ebenfalls im Archiv enthaltene Datei „Hilfe – Bitte ausdrucken.TXT“ in ein beliebiges leeres Verzeichnis, in dem sie auch bleiben sollen.
Achtung: Wenn Sie den genannten Registry-Schlüssel anpassen, ändert sich die Lizenz. Deshalb dürfen Sie die folgenden Schritte nur ausführen, wenn Sie über eine entsprechende XP-Pro-Lizenz verfügen. Das Tool greift tief in das System ein. Lesen Sie vor dem ersten Aufruf unbedingt die Hilfe-Datei, und schaffen Sie eine der darin beschriebenen Voraussetzungen, um im unwahrscheinlichen Fall eines GAUs Ihr System wiederherstellen zu können.
Nach dem ersten Aufruf legt das Tool zunächst eine Sicherung des genannten Schlüssels an. In einer weiteren Kopie entfernt es den Eintrag „Personal“ und liest den geänderten Schlüssel wieder in die Registry ein. Ferner wird im Schlüssel „Hkey_Local_Machine\ System\ CurrentControlSet\ Control\ Lsa“ der DWORD-Eintrag „ForceGuest“ auf „0“ gesetzt, damit Sie die NTFS-Rechte nutzen und setzen können. Stimmen Sie dann dem Neustart zu – fertig ist XP Prome. Klicken Sie nun mit der rechten Maustaste auf eine Datei, die auf einer NTFS-Partition liegt, und wählen Sie „Eigenschaften“. Ihnen wird die neue Registerkarte „Sicherheit“ auffallen, auf der Sie Zugriffsrechte setzen können. Über die Eigenschaften von Ordnern vergeben Sie Freigabe-Berechtigungen. Um Dateien zu verschlüsseln, klicken Sie in deren „Eigenschaften“-Dialog auf „Erweitert“ und aktivieren die Klickbox vor „Inhalt verschlüsseln, um Daten zu schützen“. Schwierigkeiten kann ein umgewandeltes Home beim Update machen. Deshalb sollten Sie am Patch Day jeden zweiten Dienstag im Monat den schizophrenen Zustand temporär zurücksetzen. Führen Sie das Tool einfach noch einmal aus. Dadurch wird das zuvor angelegte Backup eingelesen, Neustart, fertig. Nun können Sie updaten und danach wieder auf Prome umschalten.
 
Ausführ-Sperre: Alle Programme bis auf eine Auswahl verbieten
Problem: Sie sind Administrator eines Mehrbenutzersystems. Aus Sicherheitsgründen möchten Sie einigen Anwendern das Ausführen von Programmen verbieten – bis auf wenige, explizit freigegebene.
 
Lösung: Mit unserem Script pcwRestrictRun.HTA können Sie von Ihrem Administratorkonto aus die erlaubten Anwendungen für alle anderen auf dem System vorhandenen Benutzerkonten steuern. Dabei geht es um alle Anwendungen, die aus dem Explorer heraus aufgerufen werden. Programme, die das System selbst startet, bleiben unangetastet.
Um neue Berechtigungen zu vergeben, rufen Sie das Script auf. Der Dialog listet alle Benutzerkonten inklusive Ihres eigenen auf. Markieren Sie alle Konten, für die neue Einschränkungen gelten sollen, und klicken Sie dann auf „Verbieten“. Ein Ausrufezeichen neben dem Kontonamen kennzeichnet dann, dass Restriktionen vorliegen. Im nächsten Schritt legen Sie für jedes Konto eine eigene „Whitelist“ an. Darin stehen die Anwendungen, die weiterhin ausgeführt werden dürfen. Geben Sie also in der Befehlszeile den Namen der ausführbaren Datei an, die erlaubt werden soll, beispielsweise „iexplore.exe“ für den Internet Explorer oder „winword.exe“ für Word.
Danach markieren Sie die Konten welche diese Programme ausführen dürfen, und klicken auf „Anwendung erlauben“. Wiederholen Sie diesen Vorgang so oft, bis jedem eingeschränkten Konto die erlaubten Anwendungen zugewiesen sind. Profile, denen Sie bereits mindestens eine erlaubte Anwendung zugeordnet haben, werden beim Markieren ausgeklappt damit Sie deren „Whitelist“ einsehen können. Wenn Sie mehreren Konten dieselben Anwendungen zuweisen möchten, aktivieren Sie am besten die Klickbox „Zu Hinzufügen von Anwendungen in der Profil-Ansicht bleiben“ – das verhindert das Ausklappen. Beenden Sie das Script immer mit „Quit“, da sonst die Registry-Dateien der anderen Benutzerprofile nicht richtig entladen werden und die Benutzer sich nicht mehr anmelden können. Natürlich können Sie erlaubte Anwendungen auch wieder verbieten. Dazu markieren Sie zunächst das gewünschte Konto, dann die zu verbietenden Anwendungen und klicken auf „Löschen“. Um die Einschränkungen komplett aufzuheben markieren Sie wieder die einzelnen Konten und klicken auf „Erlauben“. Achtung: Sie können in der oben beschriebenen Weise auch Einschränkungen für Ihr eigenes Konto treffen. Dabei besteht die Gefahr, dass Ihr System unbrauchbar wird. Schränken Sie Ihr Konto, wenn überhaupt, nur mit größter Vorsicht ein.
 

Lokaler PC: Ordner sperren oder unzugänglich machen

Problem: An einem PC arbeiten mehrere Personen. Sie wollen einen oder mehrere Dateiordner so einrichten, dass bestimmte PC-Benutzer nicht darauf zugreifen können.

 
Lösung: Zunächst einmal darf es nur ein Benutzerkonto Administrator-Rechte existieren – Ihres. Für Administratoren sind Zugriffsbeschränkungen hinfällig, da sie sie jederzeit selbst ändern können. Überprüfen Sie also zuerst, welche Konten auf dem Rechner existieren und welche Rechte die User jeweils haben. Dazu gehen Sie in der Systemsteuerung auf „Benutzerkonten“. Im Beispielfall soll der Benutzer „Anna“, der keine Administrator-Rechte besitzt, nicht auf den Ordner D:\Vertraulich zugreifen dürfen. Für alle weiteren Benutzerkonten – außer für Ihres – gehen Sie analog vor.
 
XP Pro: Das System unterschlägt zunächst einen wichtigen Punkt im Kontextmenü – die Möglichkeit nämlich, abgestufte Rechte zu vergeben. Gehen Sie deshalb im Windows-Explorer auf „Extras, Orderoptionen, Ansicht“, und entfernen Sie den Haken vor der Option „Einfache Dateifreigabe verwenden (empfohlen)“. Jetzt gelangen Sie über die Eigenschaften des Ordners C:\Vertraulich auf „Sicherheit“. Den Beispiel-User „Anna“ nehmen Sie auf, indem Sie auf „Hinzufügen“ und im nächsten Menü auf „Erweitert“ klicken. Nach einem Klick auf „Jetzt suchen“ wählen Sie in der angezeigten Liste „Anna“ aus, gehen auf „OK“ und kehren damit zum vorherigen Menü zurück. Hier ist noch mal ein „OK“ fällig, damit die Auswahl übernommen wird. Für „Anna“ klicken Sie in der Tabelle der Berechtigungen den Punkt „Vollzugriff“ unter „Verweigern“ an. Nach einem weiteren „OK“ haben Sie „Anna“ von C:\Vertraulich ausgesperrt. Wiederholen Sie die Aktion nun für „Bernd“, „Claudia“ bis „Zuzana“ ...
 
XP Home: XP Home bietet scheinbar keine „Sicherheit“ in den Kontextmenüs von Ordnern und Dateien. Doch ist die NTFS-Rechtevergabe im normalen Betrieb nur ausgeblendet, um den Preisunterschied gegenüber der Pro-Variante zu rechtfertigen. Das merken Sie, sobald Sie XP Home im abgesicherten Modus starten. Dort unterscheidet sich die Vorgehensweise nicht von der eben für XP Pro beschriebenen. Mit unserem Tool pcwXPProme rüsten Sie Ihre Windows XP Home um genau diese Funktionen auch im Normalbetrieb auf. Alternativ verwenden Sie eine dritte, wesentlich komfortablere Alternative – den Dateimanager Winfile.EXE von NT 4, mit dem sich ebenfalls Zugriffsrechte auf NTFS-Partitionen setzen lassen: Unter XP Home erweist sich Winfile.EXE als unentbehrliches Tool, das zum aktuellen System völlig kompatibel ist. Wenn Sie keine alte Windows-NT-4-CD besitzen, besorgen Sie sich das letzte Service Pack 6a für NT 4 – auch hier ist Winfile.EXE enthalten. Microsoft bietet es in der englischsprachigen Version nach wie vor zum Download an.
Das deutschsprachige Pack schlägt gleich mit 86 MB zu Buche – der Download empfiehlt sich nur bei einer flotten Internet-Verbindung. Egal, welche Version Sie herunterladen, die folgenden Schritte gelten für beide: Das Service Pack liegt als EXE-Datei vor, die Sie mit dem Parameter -x (nach einem Leerzeichen) aufrufen. Geben Sie ein Verzeichnis an, in das die Dateien entpackt werden sollen. In diesem Ordner finden Sie die Winfile.EXE, die Sie in das Windows-Verzeichnis kopieren. Im alten Dateimanager klicken Sie das gewünschte Laufwerk an, markieren den Beispielordner D:\Vertraulich und wählen in der Menüleiste über „Sicherheit“ („Security“) den Unterpunkt „Berechtigungen“ („Permissions“). Ab dieser Menüebene arbeitet Winfile.EXE mit Standardschaltflächen in der Sprache des installierten Systems. Damit die neu definierten Rechte auch ausdrücklich für Unterordner gelten, aktivieren Sie die Option „Berechtigungen für Unterverzeichnisse ersetzen“. Über den Button „Hinzufügen“ geht es zum Auswahlmenü, wo Sie sich mit „Benutzer anzeigen“ alle Benutzerkonten auf dem Rechner anzeigen lassen. Wählen Sie nun den Benutzer „Anna“ aus, und stellen Sie ganz unten die Zugriffsart auf „Kein Zugriff“. Noch zwei mal mit „OK“ bestätigen – fertig. Wieder holen Sie die Aktion für alle weiteren Benutzer, die Sie ausschließen möchten.
 
 
 
< zurück   weiter >
[ Zurück ]