Eingeschränkte Benutzerrechte
Verfasst: Di 25. Sep 2007, 11:33
Häufig hört man immer wieder den Tipp, nicht mit Adminrechten auf einem Produktivsystem zu arbeiten, besonders wenn man damit auch Onlineaktivitäten im Internet verfolgt. Aus gutem Grund, denn ist man als Admin angemeldet und führt bewußt oder (schlimmer) unbewußt Aktionen aus, die das System ändern (im Sinne von "Konfigurieren"), dann hat auch gleichzeitig jede Malware und jedes Virus diese Möglichkeit. Verwendet man jedoch einen Useraccount mit eingeschränkten Rechten, so wird das Sicherheitspotential deutlich gesteigert, da sich Malware nicht mehr ohne weiteres selbst installieren kann. Dieser Sicherheitsaspekt wird leider gern verschwiegen, da dadurch der Einsatz diverser Sicherheitssoftware beinahe überflüssig werden könnte. Nicht zuletzt aus kommerziellen Gesichtspunkten wird gerne die Effektivität eines eingeschränkten Benutzeraccounts verschwiegen und Zusatzsoftware angeboten, die sehr aufwendig und kompliziert diese ungenutzte Sicherheitsrichtlinie kompensieren möchte. Nicht selten ohne durchschlagenden Erfolg, aber dennoch erfreuen sich Security Suites und Co. wachsender Beliebtheit. Ein Grund dafür mag wohl die Umständlichkeit darstellen, wie man zur Installation eines Programmes oder dem Abspeichern von Daten außerhalb des persönlichen Arbeitsbereiches vom eingeschränktem Useraccount zum administrativen Benutzer wechseln muss. Andererseits wurde bis Windows Vista dieser wichtige Sicherheitsaspekt extrem vernachläßigt und standardmäßig dem User die vollen Rechte zugewiesen. Man hat es auch für wenig notwendig erachtet, die Anwender auf Risiken hinzuweisen, die zwangsweise auftreten, wenn permanent mit Adminrechten gearbeitet wird. Daher hier nun ein kleiner Workaround zum Arbeiten mit einem eingeschränkten Useraccount und der Möglichkeit, dennoch gewisse administrativen Aufgaben zu erledigen, ohne den Benutzer über An- und Abmelden wechseln zu müssen:
Der Befehl RunAs ist bereits als Bordmittel von Windows im System integriert. Leider ist er nur wenig bekannt und in der Handhabung recht umständlich.
Über Start --> Ausführen und der Eingabe von cmd mit anschließenden Tastendruck auf "Enter" öffnet sich die sog. Konsole, auch noch als (DOS)- Eingabeaufforderung bekannt. Hier kann man nun folgenden Befehl eingeben: (Beispiel)
runas /env /user:JohnDoe c:\totalcmd\totalcmd.exe
/env = (environment) verwendet die aktuelle Umgebung des angemeldeten Beutzers und wechselt nicht in die Umgebung des Admin's
/user:JohnDoe = dieser Parameter ist für die Eingabe des Admin- Accounts vorgesehen. In diesem Fall heißt der Admin "JohnDoe"
c:\totalcmd\totalcmd.exe = genaue Angabe des auszuführenden Programmes
Mit dieser Befehlszeile läßt sich das Programm "Totalcommander" (sofern installiert und an betreffender Stelle befindlich) administrativ starten. Wie man erkennen kann, muss man neben der Syntax der Befehlszeile auch noch genau den Speicherort der betreffenden Anwendung und deren Namen kennen. Das macht natürlich die Benutzung nicht gerade benutzerfreundlich. Dennoch könnte man sich die Mühe machen, für häufig benötigte administrative Arbeiten, die entsprechenden Befehlszeilen in eine sog. Batch Datei zu verpacken und als klickbare Anwendung auf den Desktop zu platzieren.
Würde man das obige Beispiel heranziehen, so bräuchte man lediglich diese Befehlszeile per Editor (z.B. Notepad) als Datei totalcmd.bat oder alternativ totalcmd.cmd abspeichern.
Der Befehl RunAs besitzt allerdings noch andere Parameter, die je nach Einsatz und Systemumgebung benutzt werden können, doch darauf wird nur eingegangen, wenn explizit eine Nachfrage besteht. Das Parameterangebot und die Syntax kann man sich auf diese Weise anzeigen lassen: runas /?
Greetz!
TB
Der Befehl RunAs ist bereits als Bordmittel von Windows im System integriert. Leider ist er nur wenig bekannt und in der Handhabung recht umständlich.
Über Start --> Ausführen und der Eingabe von cmd mit anschließenden Tastendruck auf "Enter" öffnet sich die sog. Konsole, auch noch als (DOS)- Eingabeaufforderung bekannt. Hier kann man nun folgenden Befehl eingeben: (Beispiel)
runas /env /user:JohnDoe c:\totalcmd\totalcmd.exe
/env = (environment) verwendet die aktuelle Umgebung des angemeldeten Beutzers und wechselt nicht in die Umgebung des Admin's
/user:JohnDoe = dieser Parameter ist für die Eingabe des Admin- Accounts vorgesehen. In diesem Fall heißt der Admin "JohnDoe"
c:\totalcmd\totalcmd.exe = genaue Angabe des auszuführenden Programmes
Mit dieser Befehlszeile läßt sich das Programm "Totalcommander" (sofern installiert und an betreffender Stelle befindlich) administrativ starten. Wie man erkennen kann, muss man neben der Syntax der Befehlszeile auch noch genau den Speicherort der betreffenden Anwendung und deren Namen kennen. Das macht natürlich die Benutzung nicht gerade benutzerfreundlich. Dennoch könnte man sich die Mühe machen, für häufig benötigte administrative Arbeiten, die entsprechenden Befehlszeilen in eine sog. Batch Datei zu verpacken und als klickbare Anwendung auf den Desktop zu platzieren.
Würde man das obige Beispiel heranziehen, so bräuchte man lediglich diese Befehlszeile per Editor (z.B. Notepad) als Datei totalcmd.bat oder alternativ totalcmd.cmd abspeichern.
Der Befehl RunAs besitzt allerdings noch andere Parameter, die je nach Einsatz und Systemumgebung benutzt werden können, doch darauf wird nur eingegangen, wenn explizit eine Nachfrage besteht. Das Parameterangebot und die Syntax kann man sich auf diese Weise anzeigen lassen: runas /?
Greetz!
TB
