Nutzerrechte zügeln

Anleitung im Thema Betriebssystem
Creative Commons by-nc-nd
Diese Seite drucken
Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland
Passwörter (120px)
Viele Nutzer verwenden das Administrator-Konto für ihre tägliche Arbeit und wählen häufig ein unsicheres Passwort. So erhalten neugierige Gäste und Angreifer aus dem Internet leicht uneingeschränkten Zugriff auf den Computer.

Der Administrator hat uneingeschränkten Zugriff auf das Betriebssystem und alle Programme eines Computers. Außerdem hat er die Möglichkeit, diese zu installieren, einzurichten oder zu löschen. Und genau hier liegt das Problem.

Nutzertypen und Rechte

Ein Betriebssystem bietet im Normalfall drei verschiedene Nutzertypen an, die jeweils unterschiedliche Rechte, d.h. Privilegien oder Befugnisse haben, bestimmte Aktionen durchzuführen. Bei diesen Typen handelt es sich meist um den Administrator, den Standard-Nutzer und den Gast.

Was sind diese „Rechte“?

Bei den meisten Betriebssystemen wird zwischen folgenden Rechten (oder Kombinationen davon) unterschieden:

  • Das Recht zum Schreiben bestimmt, ob Sie eine Datei (in einem Verzeichnis) verändern und speichern dürfen.
  • Das Recht zum Lesen gibt vor, ob Sie (ein Verzeichnis) eine Datei öffnen dürfen.
  • Das Recht zum Ausführen von Programmen (in einem Verzeichnis).

Diese Rechte können Sie jeweils an ganzen Verzeichnissen oder einzelnen Dateien haben. Dadurch wird auch Abbildung 1: Zugriff auf Verzeichnis verweigertAbbildung 1: Zugriff auf Verzeichnis verweigertfestgelegt, ob Sie eine Installation vornehmen können oder nicht. Denn ein von Ihnen gestartetes Programm besitzt die gleichen Rechte wie Sie – etwa zum Lesen, Schreiben etc. Muss das Programm während der Installation in ein Verzeichnis schreiben oder eine Datei verändern, an der Sie kein Recht zum Schreiben besitzen, dann scheitert die Installation (siehe Abb. 1).

Welche Nutzertypen haben welche Rechte?

Der Administrator hat alle Rechte, das heißt er kann alle Verzeichnisse und Dateien öffnen, verändern oder Abbildung 2: Administrator-Rechte unter Windows XPAbbildung 2: Administrator-Rechte unter Windows XPProgramme ausführen (siehe Abb. 2). Der Standard-Nutzer hat meist lediglich das Recht seine eigenen Dateien zu bearbeiten, manche Dateien zu lesen und bestimmte Programme auszuführen (siehe Abb. 3). Am wenigsten Befugnisse hat der Gast, der beispielsweise generell keine Programm-Installationen durchführen kann.

In fast allen Betriebssystemen besteht aber die Möglichkeit als normaler Nutzer, Programme mit Administrator-Rechten auszuführen. Unter Windows XP muss man dazu lediglich die Option „Ausführen als“ und das Administrator-Konto auswählen. Nach der Eingabe des Passworts wird das jeweilige Programm dann mit vollen Administrator-Rechten ausgeführt. Unter Ubuntu-Linux verwendet man hierzu den „sudo“-Befehl.

Den Computer niemals als Administrator benutzen!

Falls Sie mit dem Administrator-Konto im Internet surfen oder Ihre Mails abrufen und dabei den Computer mit Abbildung 3: Standard-Nutzer-Rechte unter Windows XPAbbildung 3: Standard-Nutzer-Rechte unter Windows XPeinem Schadprogramm infizieren, dann erhält dieses Programm Ihre Administrator-Rechte (da es wissentlich oder nicht von Ihnen gestartet wurde) und kann auf Ihrem Computer tun und lassen, was es will. Es kann unter Anderem neue Nutzer-Konten anlegen, einem Angreifer über das Internet Zugang zu Ihrem Computer gewähren, Passwörter und andere sensible Informationen sammeln und versenden, beliebige Dateien löschen oder einfach das Betriebssystem so manipulieren, dass der Computer abstürzt und nicht mehr gestartet werden kann.

Daher sollte für die alltägliche Arbeit ein vom Administrator-Konto unabhängiges Nutzer-Konto erstellt werden. Mit einem normalen Nutzer-Konto kann lediglich auf eigene Dateien und für den Nutzer freigegebene Programme zugegriffen werden. Es ist also nicht möglich die Dateien anderer Computer-Nutzer einzusehen oder zu löschen und auch die grundlegenden,

Systemweite Konfigurationen und Sicherheitseinstellungen des Computers können durch einen normalen Nutzer nicht verändert werden. Somit ist der Schaden im Falle der Infektion eines normalen Nutzer-Kontos mit einem Schadprogramm vorerst überschaubar.

Dennoch sollte jeder Nutzer sein Konto durch ein sicheres Passwort vor ungeladenen Gästen schützen. Durch das Ausnutzen von Sicherheitslücken im Betriebssystem und/oder in installierten Programmen ist es Angreifern immer wieder möglich, trotz Allem Administrator-Rechte zu erhalten. Gerade deshalb ist es wichtig, Programme und Betriebssystem immer auf dem neusten Stand zu halten, das heißt alle sicherheitsrelevanten Aktualisierungen zu installieren.