Windows-Sicherheit

Administrator- und Benutzerkonten unter Windows

03.03.2010
Wir zeigen, wie Sie unter Windows Benutzerkonten erstellen oder so ändern, dass Hacker kaum eine Chance haben und Ihr Windows sicher bleibt. Außerdem geben wir Praxistipps zum sicheren Umgang mit Mehrbenutzer-PCs.

Hier zeigen wir Ihnen, wie Sie unter Windows Benutzerkonten erstellen oder so ändern, dass Hacker kaum eine Chance haben und Ihr Windows sicher bleibt. Außerdem geben wir Praxistipps zum sicheren Umgang mit Mehrbenutzer-PCs.

Windows stellt verschiedene Arten von Benutzerkonten zur Verfügung. Das standardmäßig eingerichteten Administratorkonto sollte Sie nur dann benutzen, wenn Sie als Netzwerkverwalter für Ihre Kunden tätig sind. Für alle andere PC-Benutzer richten Sie geeignete Benutzerkonten mit eingeschränkten Rechten ein, um Malware und Hackern von vornherein den Zugriff zu erschweren.

Eine kluge Benutzerverwaltung hat aber noch mehr Vorteile: Sie können den PC für mehrere Anwender einrichten und jedem ein Konto mit seinen persönlichen Daten und Einstellungen zuteilen.

Sicher, stabil, ordentlich

Ein Betriebssystem ist sehr empfindlich. Das Verschieben, Löschen oder Überschreiben der falschen Datei kann alles lahm legen. Darum wurde schon vor Jahren das Konzept der Benutzerrechte eingeführt: Heikle Arbeiten wie Programme installieren, Systemdateien verwalten oder die Festplatte formatieren sollte nicht jeder Benutzer ausführen. Dazu ist ein spezielles Administratorkonto vorgesehen, mit dem man auf alle Systembereiche vollen Schreibzugriff hat.

Für alltägliche Tätigkeiten wie surfen, mailen, schreiben, Bilder bearbeiten, Musik hören etc. braucht der Anwender hingegen keinen Schreibzugriff in die System- und Programmordner. Es reicht, wenn er alle Anwendungen starten und seine Dateien in persönlichen Ordnern ablegen kann. Auch individuelle Einstellungen wie das Aussehen der Symbolleisten oder die Fenstergröße der einzelnen Programme sind in einem Standardkonto problemlos möglich.

Halten Sie sich an diese Aufteilung, haben Sie drei entscheidende Vorteile: mehr Sicherheit, ein stabileres System und eine bessere Ordnung.

Mehr Sicherheit durch richtige Kontoverwaltung

Wird ein Computerschädling ausgeführt, hat er dieselben Rechte wie der angemeldete Benutzer. Handelt es sich dabei um Administratorrechte, kann der Übeltäter seine böswilligen Programmdateien nach Lust und Laune in beliebigen Windows-Ordnern ablegen oder bestehende Systemdateien verändern. Es ist fast unmöglich, einen systemweit installierten Trojaner oder Virus restlos zu entfernen.

Wenn sich die Aktionen einer Schad-Software hingegen nur auf ein eingeschränktes Benutzerprofil begrenzen, stehen die Chancen für eine vollständige Entfernung weitaus besser. Zudem kann ein Virus so keine Systemdateien befallen. Hinweis: Unter Vista und Windows 7 wird diese Gefahr dank der Benutzerkontensteuerung ein wenig gemildert.

Stabileres System: Ein eingeschränktes Benutzerkonto schützt auch vor Fehlmanipulationen. Ein irrtümliches Löschen wichtiger System- und Programmdateien ist nicht möglich. Eine kluge Benutzerverwaltung hilft wesentlich besser gegen Datenverlust als die Systemwiederherstellung; denn Benutzer machen immer wieder die leidvolle Erfahrung, dass die Windows-eigene Wiederherstellung genau dann nicht klappt, wenn man sie am dringendsten braucht.

Den Windows-Ordner löschen? Nicht mit einem Standardkonto

Bessere Ordnung

Sobald sich zwei oder mehr Anwender denselben PC teilen, ist eine saubere Benutzerverwaltung ein wahrer Segen. Damit kann sich jeder seinen Desktop nach dem eigenen Geschmack einrichten: Soll es die klassische Windows-Ansicht sein oder eines der anderen Windows-Designs? Ein knalliges Hintergrundbild oder ein schlichtes Schwarz? Sogar bei den Daten herrscht plötzlich Ordnung. Jeder hat seine eigenen Ordner für Bilder, Musik und Texte; jeder richtet sich sein eigenes Mailkonto ein. Windows XP legt das Benutzerprofil unter C:\Dokumente und Einstellungen\IhrName ab, in Vista und Windows 7 steckt es im Ordner C:\Users\IhrName.

Hinweis: Wer auf dem Familien-PC eine Kinderschutz-Software einrichten möchte, kommt nicht darum herum, für sich und seine Sprösslinge separate Benutzerkonten anzulegen. Sie sind die Basis zum Einschränken der Nutzerrechte.

Benutzerkonten einrichten

Das erste Konto bei der Inbetriebnahme eines neuen PCs erhält normalerweise automatisch Administratorrechte. Deshalb arbeiten viele Anwender an ihren Computern monate- oder jahrelang als Administrator und speichern ihre Mail-Konten, Browserlesezeichen, eigenen Dateien sowie Einstellungen unter diesem Nutzer. Das bietet jedoch große Sicherheitsrisiken. Erledigen Sie Ihre täglichen Arbeiten besser in einem eingeschränkten Standardkonto.

Wir empfehlen folgendes Vorgehen, damit Sie alle Ihre persönlichen Einstellungen und Daten weiterhin nutzen können: Erstellen Sie ein zweites Administratorkonto und loggen Sie sich mit diesem ein. Wie das geht, ist gleich nachfolgend beschrieben. Danach stufen Sie Ihr altes Konto zum Standardkonto zurück. Das Resultat: Sie arbeiten wie bisher mit demselben Konto, denselben Daten und Einstellungen weiter; einzig die Administratorrechte haben Sie einem separaten Konto überlassen.

Es gibt vereinzelte Anwender, die danach bestimmte Programme nicht mehr starten und Dateien nicht öffnen konnten. Grund dafür ist meist exotische oder veraltete Software, die sich nicht an die Windows-Standards hält.

Konto anlegen: Für diesen Vorgang brauchen Sie Administratorrechte. Öffnen Sie in der Systemsteuerung von Windows die Benutzerkonten und wählen Sie Neues Konto erstellen.

Wählen Sie die richtige Option beim Erstellen des Kontos (hier unter Windows XP)

Tippen Sie den Kontonamen ein, beispielsweise "Hansli" für einen Standardbenutzer respektive "HansliAdmin" für ein Administratorkonto. Im nächsten Fenster wählen Sie den passenden Kontotyp aus. Mit einem Klick auf "Konto erstellen" steht das neue Konto bereit.

Den Kontotyp ändern: Ein Administratorkonto wandeln Sie einfach in ein Standardkonto um - und umgekehrt. Achten Sie dabei unbedingt darauf, dass Sie nicht dem einzigen vorhandenen Administratorkonto die Rechte entziehen. Melden Sie sich mit dem Administratorkonto an, das Sie künftig für Installationen und sonstige Wartungsarbeiten verwenden möchten. Öffnen Sie in der Systemsteuerung die Benutzerkonten. Klicken Sie das gewünschte Konto an, gehen Sie zu Kontotyp ändern und wählen Sie "Computeradministrator" oder "Eingeschränkt". Benutzer von Windows 7 oder Vista finden dieselben Einstellungen unter dem Menüpunkt "Anderes Konto" verwalten.

Ein Klick aufs Benutzerbild genügt, um ein Kennwort zu erstellen

Kennwort setzen:
Jetzt sind Konten erstellt, aber noch kann sich jeder Benutzer mit einem Klick in diese einloggen; es fehlen die Kennwörter. Falls Sie das Startmenü nicht auf klassische Ansicht umgestellt haben, klicken Sie darin auf Ihr Benutzerlogo am oberen Rand. Fans des klassischen Startmenüs öffnen in der Systemsteuerung wie gehabt die Benutzerkonten.

In beiden Fällen gehen Sie gegebenenfalls zur Startseite der Benutzerverwaltung und klicken auf Kennwort erstellen oder Kennwort für das eigene Konto erstellen (Windows 7). Geben Sie nun Ihr Passwort in die zwei oberen Felder ein. Falls Sie sehr persönliche Dateien bearbeiten, lassen Sie den "Kennworthinweis" leer. Sonst kann sich jeder, der den Hinweis versteht, mit Ihrem Konto anmelden.

Tipps für Mehrbenutzer-PCs

Mit dem Einrichten eines Standardkontos ist es noch nicht getan. Es gibt im Umgang mit Benutzerkonten und Administratorrechten einiges zu beachten. Zudem haben wir für Sie ein paar hilfreiche Tipps, die den PC-Alltag erleichtern. Systemprogramme starten: Wollen Sie unter Windows XP Benutzerrechte ändern, die Datenträgerverwaltung starten oder Dateien im Windows-Ordner löschen, müssen Sie sich nur als Administrator anmelden. Unter Windows 7 und Vista reicht das meistens nicht. Damit ein Programm in diesen Windows-Versionen wirklich mit Administratorrechten läuft, klicken Sie es mit Rechts an und gehen zu Als Administrator ausführen.

Windows Vista/7: Führen Sie Software per Rechtsklick als Administrator aus

Das gilt auch für den Windows-Explorer und für die mit cmd erreichbare Kommandozeile, sofern Sie damit systemkritische Bereiche bearbeiten möchten.

Diese Partition A sollten Sie in NTFS umwandeln

Das richtige Dateisystem:
Eine saubere Rechtevergabe klappt unter Windows nur, wenn die Festplatte das Dateisystem NTFS verwendet. Prüfen Sie, ob das bei Ihnen der Fall ist: Klicken Sie im Arbeitsplatz oder unter Computer mit Rechts aufs Laufwerk C: und gehen Sie zu den Eigenschaften. Wenn hinter "Dateisystem" NTFS steht, ist alles in Butter. Falls es sich hingegen um FAT32 handelt A, sollten Sie das Dateisystem umwandeln. Merken Sie sich bei dieser Gelegenheit auch gleich die genaue Bezeichnung des Laufwerks B (hier HD2).

Melden Sie sich mit Administratorrechten an. Unter Windows XP betätigen Sie die Tastenkombination Windowstaste+R. Alternativ gehen Sie zu Start/Ausführen. Nun tippen Sie cmd ein und drücken die Enter-Taste.

Unter Windows 7 oder Vista klicken Sie auf den Startknopf unten links, tippen cmd ein, wählen mit Rechts den gefundenen Eintrag und starten diesen als Administrator.

Der Befehl convert hilft Ihnen beim Umwandeln des Dateisystems

Sie können sich zuerst über alle Details zum Konvertierbefehl informieren, indem Sie help convert eintippen und Enter drücken A. Um etwa das Laufwerk E: umzuwandeln, tippen Sie convert e: /FS:NTFS B ein, gefolgt von Enter. Es erscheint eine Aufforderung C: "Geben Sie die aktuelle Volumebezeichnung für Laufwerk E: ein:". Hier ist die Bezeichnung gefragt, die Sie vorher in den Eigenschaften nachgeschaut haben. In unserem Beispiel ist es HD2. Geben Sie dies ein, drücken Sie Enter.

Hinweis: Wenn Sie Laufwerk C: umwandeln, führt Windows dies erst beim nächsten PC-Neustart durch. Handelt es sich wie in unserem Fall um eine andere Partition, erfolgt die Umwandlung sofort - sofern kein anderes Programm darauf zugreift. Sind bei Ihrem PC mehrere Festplatten eingebaut oder ist eine Harddisk in verschiedene Partitionen (Laufwerksbuchstaben) unterteilt, führen Sie den Vorgang auch für diese aus.

Vorsicht bei schnellem Benutzerwechsel

Wenn Sie bei XP im Startmenü zu Abmelden gehen, zeigt es Ihnen auch den Knopf Benutzer wechseln. Wenn Sie das tun, sind quasi zwei Benutzer gleichzeitig angemeldet. Das geht in Ordnung, solange Sie jeweils in beiden Konten die Daten speichern und sich komplett abmelden. Es kann aber zu Datenverlusten kommen, wenn Sie den PC herunterfahren oder nach einem Update neu starten, während im zweiten Konto noch ungespeicherte Dokumente geöffnet sind. Auf der sicheren Seite sind Sie, wenn Sie die schnelle Benutzerumschaltung deaktivieren.

Unter XP öffnen Sie mit einem Administratorkonto Systemsteuerung/Benutzerkonten. Gehen Sie zu Art der Benutzeranmeldung ändern. Deaktivieren Sie den Punkt "Schnelle Benutzerumschaltung verwenden".

In Windows 7 und Vista melden Sie sich mit Administratorrechten an. Tippen Sie im Suchfeld beim Startknopf regedit ein und führen Sie den gefundenen Befehl per Rechtsklick als Administrator aus. Navigieren Sie zu folgendem Zweig und klicken Sie ihn an, um im rechten Fensterteil die Einträge zu begutachten: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Falls vorhanden, doppelklicken Sie den Eintrag HideFastUserSwitching und ändern den Wert von 0 auf 1. Fehlt er, erstellen Sie den Eintrag selbst: Klicken Sie mit Rechts auf eine leere Stelle im rechten Fensterteil und wählen Sie im Kontextmenü Neu/DWORD-Wert. Nennen Sie den Eintrag HideFastUserSwitching und setzen Sie den Wert auf 1. Starten Sie nun den PC neu - der schnelle Benutzerwechsel ist deaktiviert.

Gemeinsame Dateien

Windows 7: Gemeinsame Dateien speichern Sie in öffentlichen Bibliotheken

Musikdateien, Videos oder Fotos sollen allen Nutzern des PCs zur Verfügung stehen. Unter Windows Vista/7 gibt es dafür einen Ordner namens "Öffentlich". Bei Windows 7 finden Sie die öffentlichen Ordner jeweils als Unterverzeichnisse der Bibliotheken "Dokumente ", "Bilder" etc.. In XP heißt der öffentliche Ordner "Gemeinsame Dokumente".

Immer als Admin starten: Die meisten Programme schreiben ihre Dokumente und Einstellungen in die dafür vorgesehenen Benutzerprofilordner. Manch veraltete Software kann diese Infos nur im Ordner "Programme" ablegen. Das ist aber ein Systembereich, der nur mit Administratorrechten zugänglich ist. Das Klügste wäre es, die Anwendung durch eine moderne Version zu ersetzen, die sich an die Windows-Konventionen hält. Falls das nicht möglich ist, gibt es einen Trick für Standardbenutzerkonten: Passen Sie die Einstellungen der Programmverknüpfung an. Klicken Sie mit Rechts auf die Verknüpfung und öffnen Sie Eigenschaften. Im Reiter Verknüpfung wählen Sie Erweitert. Aktivieren Sie je nach Windows-Version die Option "Unter anderen Anmeldeinformationen ausführen" oder "Als Administrator ausführen". Bestätigen Sie die geöffneten Fenster mit OK. Beim Klick auf die Verknüpfung fragt Windows Sie in Zukunft automatisch nach dem Benutzernamen und Passwort des Administrators.

Spezieller Desktop: Auf dem Desktop des Standardkontos können Sie nach Belieben Office-Verknüpfungen, Weblinks, ein hübsches Hintergrundbild oder Gadgets ablegen. Optimieren Sie auch das Erscheinungsbild Ihres Administrator-Desktops: Verpassen Sie dem Hintergrund zum Beispiel einen roten Warnanstrich. Der erinnert Sie stets daran, bald wieder unter Ihrem eingeschränkten Konto einzuloggen.

Wartungsarbeiten: In den Internetfavoriten des Administratorkontos platzieren Sie mit Vorteil die wichtigsten Download- und Update-Seiten Ihrer Programmhersteller. Installieren Sie zudem die kostenlose Update-Hilfe Secunia Personal Software Inspector (PSI). Melden Sie sich fortan einmal pro Woche als Administrator an und starten Sie PSI. Das Tool durchforstet Ihre Software und meldet, wenn eine nicht mehr aktuell ist.

Verbinden Sie den wöchentlichen Update-Check mit weiteren Wartungsarbeiten. Prüfen Sie mit einem Freeware-Programm wie HDD Health oder CrystalDiskInfo den Zustand der Festplatte. Öffnen Sie im Windows-Explorer Arbeitsplatz oder Computer. Zeigen Sie mit einem Rechtsklick auf Ihre Festplatte deren Eigenschaften an. Ungefähr einmal monatlich empfiehlt sich hier ein Bereinigen überflüssiger Dateien. Alle zwei bis drei Monate sollten Sie Ihre Harddisk zusätzlich Defragmentieren. Zudem schadet es nichts, die Gelegenheit auch für einen kompletten Virenscan des Systems zu nutzen.

Sinnvolle Benutzerkontensteuerung

UAC: Programminstallationen müssen Sie per Zusatzklick bestätigen

Ein Administratorkonto unter XP ist weitaus stärker gefährdet als eines unter Vista oder Windows 7. Der Grund: In den beiden neuen Windows-Versionen hat Microsoft die Benutzerkontensteuerung eingebaut (engl. User Account Control, kurz UAC). Das bedeutet: Auch wenn Sie an Ihrem Rechner als Administrator eingeloggt sind, müssen Sie Installationen oder systemweite Änderungen per Zusatzklick bestätigen. Das soll heimliche Manipulationen verhindern.

Als Vista erschien, stand die Benutzerkontensteuerung unter Dauerbeschuss. Kritiker monierten, die zahlreichen Bestätigungsklicks seien so nervig, dass Anwender die UAC-Funktion irgendwann abschalteten. Nach zahlreichen Updates und Service Packs für Vista wurde UAC so weit verbessert, dass sie wieder erträglich ist. Der PCtipp empfiehlt Ihnen darum: Lassen Sie diese sinnvolle Sicherheitsfunktion unbedingt eingeschaltet.

Von Gaby Salvisberg. Der Artikel stammt von unserer Schwesterpublikation PCtipp.