Als Admin unter Windows 10

Admin oder doch nicht?

¯??? Ich darf auf diverse Systemverzeichnisse nicht schreibend zugreifen, obwohl mein Nutzerkonto Mitglied der Gruppe der Administratoren ist. Woran liegt das?

¯!!! An der Benutzerkontensteuerung. Der Name lautet im englischen „User Account Control“, daher stammt die auch hierzulande gebräuchliche Abkürzung UAC. Sie sorgt dafür, dass jeder Prozess selbst dann nur mit eingeschränkten Rechten läuft, wenn Ihr Konto Administratorrechte besitzt. Um ein Programm so zu starten, dass es ebenfalls über Admin-Rechte verfügt, rechtsklicken Sie darauf und wählen aus dem Kontextmenü „Als Administrator ausführen“. Als Admin brauchen Sie die folgende Sind-Sie-sicher-Nachfrage nur mit „Ja“ zu beantworten. Benutzer ohne die nötigen Rechte müssen Name und Kennwort eines Admins eingeben.

Sinn der UAC

¯??? Wozu ist diese Benutzerkontensteuerung eigentlich gut?

¯!!! Sie fragt den angemeldeten Nutzer um Erlaubnis, sobald eine Software versucht, mit Administratorrechten zu starten, oder etwas am System zu ändern, was diese Rechte erfordert. Sie dient also als Warnmechanismus. Das mag nerven, wenn man selbst gerade derjenige ist, der die Software gestartet hat, ist aber nützlich, wenn so eine Nachfrage plötzlich aus dem Nichts erscheint – dann weiß man, dass hier irgendwas im Argen liegen könnte.

Wie gut die UAC schützt

¯??? Schützt mich die Benutzerkontensteuerung vollständig?

¯!!! Nein, nicht mal ansatzweise. Die UAC kann nur davor warnen, wenn ein Prozess sich unberechtigterweise zusätzliche Rechte verschaffen will, aber vor nichts anderem. Sie kann also nur ein einzelner Baustein eines Sicherheitskonzepts sein, denn Windows ist trotzdem offen wie ein Scheunentor, weil sich Schädlinge auch ohne Admin-Rechte einnisten können [1]. Dagegen hilft nur, das Starten unerwünschter Programme grundsätzlich zu verhindern, beispielsweise mit dem c’t-Tool Restric’tor [2]. Zugriffsrechte schützen auch nicht, wenn der Angreifer vor dem PC sitzt. Dann können Sie Ihre Daten nur durch Verschlüsselung schützen. Eine Übersicht, welche Schutzmechanismen Sie wovor genau eigentlich schützen, finden Sie in [3].

UAC geknackt?

¯??? Ich habe davon gehört, dass es Schädlingen gelungen sein soll, sich an der Benutzerkontensteuerung vorbeizumogeln.

¯!!! Jein. Für die ursprünglich für Vista entworfene Form der Benutzerkontensteuerung sind keine Lücken bekannt. Microsoft hat allerdings nach dem großen Gejammer vieler Nutzer wegen der ständigen Sind-Sie-sicher-Nachfragen unter Vista den Mechanismus ab Windows 7 aufgeweicht: Seitdem wird nicht mehr bei jeder Gelegenheit nachgefragt, sondern nur noch bei den meisten. Ausgenommen sind einige Systemprogramme wie die Ereignisanzeige Eventvwr.exe, die Windows einfach so mit Admin-Rechten startet. Und genau diese Ausnahmen sind es, die Schädlinge erfolgreich angreifen konnten. Im Falle der Ereignisanzeige etwa wurde dem Programm eine infizierte *.msc-Datei untergeschoben.

Sie können diese Lücke aber ganz einfach schließen: Drücken Sie die Windows-Taste, tippen Sie die drei Buchstaben „UAC“ und Enter und schieben Sie dann in dem Dialog den Schieberegler ganz nach oben. Die UAC schützt dann wieder wie bei Vista, allerdings mit im Vergleich zu damals viel weniger Nachfragen, unter anderem weil Microsoft die albernen Mehrfachnachfragen längst entfernt hat („Sind Sie sicher?“, „Ganz sicher?“, „Wirklich sicher?“).

Nutzer statt Admin

¯??? Zu Windows-XP-Zeiten habe ich mir aus Sicherheitsgründen angewöhnt, nicht mit einem Admin-Konto zu arbeiten, sondern nur mit einem Konto mit eingeschränkten Rechten, was dank Ihres c’t-Skripts Machmichadmin.cmd damals ja ganz einfach ging. Ist das in Zeiten der Benutzerkontensteuerung immer noch empfehlenswert?

¯!!! Sparen Sie sich den Aufwand. Er schadet zwar nicht, doch wenn Sie den UAC-Schieberegler auf Maximum gestellt haben, verhält sich ein Admin-Konto letztlich genauso wie ein Konto mit eingeschränkten Nutzerrechten. Nur das Erlangen von erhöhten Rechten bei Bedarf ist dann viel einfacher und bequemer, weil ja ein simpler Klick auf „Ja“ reicht.

Kennwort oder „Ja“

¯??? Die Benutzerkontensteuerung will bei einer Sind-Sie-sicher-Nachfrage nur wissen, ob der Nutzer zustimmt. Wäre es nicht viel sicherer, wenn stattdessen ein Kennwort abgefragt werden würde?

¯!!! Wenn der Besitzer ohnehin der alleinige Benutzer des PCs ist, wäre eine ständige Kennwort-Abfrage sogar unsicherer. Zwar kann ein Keylogger die Eingabe nicht mitschneiden, weil sie in einem speziell abschirmten Modus erfolgt („secure desktop“). Ein Schädling könnte die Optik des Dialogs aber nachahmen. Wenn der Nutzer im gefälschten Dialog sein Passwort eingeben würde, hätte der Schädling gewonnen. So aber würde der irregeführte Nutzer nur auf eine Schaltfläche klicken und davon hat der Schädling nichts.

Admin-Tastenkombination

¯??? Kann ich Programme nur mit erhöhten Rechten starten, indem ich in deren Kontextmenü den Punkt „Als Administrator ausführen“ auswähle oder geht das auch anders?

¯!!! Eine Alternative ist, die beiden Tasten Strg+Umschalt während des Doppelklicks auf ein Programmsymbol gedrückt zu halten. Das funktioniert auch mit Programmen, die an der Taskleiste angeheftet sind. Wenn das Programmsymbol bereits markiert ist, funktioniert auch die Tastenkombination Strg+Umschalt+ Enter. Das gilt fast überall, also nicht nur für das Startmenü, Suchtreffer im Startmenü oder den Desktop. Einzige Ausnahme ist der Ausführen-Dialog, den Sie mit Windows+R aufrufen können. Warum das hier nicht geht, ist uns nicht bekannt.

Explorer als Admin starten

¯??? Ich habe den Explorer über das Kontextmenü als Administrator gestartet, trotzdem darf ich nicht in Systemverzeichnissen schreiben.

¯!!! Sie können via Kontextmenü nur Programme mit erhöhten Rechten starten, die zu diesem Zeitpunkt noch nicht laufen. Der Explorer läuft aber bereits als Shell (Desktop, Startmenü, Taskleiste, …), und zwar mit eingeschränkten Rechten. Wenn Sie also den Explorer vermeintlich als Administrator starten, öffnet sich in Wirklichkeit bloß ein weiteres Fenster des bereits laufenden Programms.

Schnell mal als Admin

¯??? Da ich den Explorer ja nicht mal eben als Admin starten kann: Wie kann ich trotzdem eine Datei im Windows-Ordner anlegen?

¯!!! Wenn es nur um einfache Dateioperationen geht, reicht als Krücke der Öffnen-Dialog eines mit Admin-Rechten laufenden Programms, etwa von Notepad. Stellen Sie die Ansicht des Öffnen-Dialogs um von „Textdateien (*.txt)“ auf „Alle Dateien“. Operationen wie Kopieren, Ausschneiden, Einfügen und Umbenennen können Sie via Kontextmenü erledigen, auch die üblichen Tastenkombinationen funktionieren.

Administrator ohne Rechte

¯??? Mein Konto ist Mitglied der Gruppe der Administratoren und ich habe jetzt testhalber mal die UAC deaktiviert. Dennoch habe ich auf meiner Festplatte Ordner gefunden, in die ich nicht mal reinschauen darf. Ist mein Konto irgendwie falsch konfiguriert?

¯!!! Hier liegt ein verbreitetes Missverständnis vor: Administrator zu sein bedeutet keineswegs, alle Rechte zu besitzen. Es bedeutet stattdessen, sich jederzeit alle Rechte verschaffen zu können, was letztlich aber die gleiche Machtfülle bedeutet. Admins können sich selbst Rechte entziehen, um beispielsweise Dateien und Ordner vor eigenen Fehlbedienungen zu schützen, und auch Windows vergibt an Admins standardmäßig nicht alle Rechte.

Nicht verschaffbare Rechte

¯??? Ich möchte mir Zugriffsrechte zu einem Ordner verschaffen, doch Windows lässt mich nicht, obwohl ich Admin bin.

¯!!! Das Vergeben von Rechten ist selbst ein Recht, und auch das kann man einem Admin-Konto entziehen. Um es sich wieder zu verschaffen, müssen Sie zuerst den Besitz an diesem Ordner übernehmen. Das Vorgehen ist dabei nicht ganz trivial, ein Hotline-Tipp in c’t 8/2018 erklärt es anhand eines Beispiels: „Keine Zugriffsrechte nach Windows-Neuinstallation“. Sie finden den Tipp auch online unter http://heise.de/-4001024. Doch Obacht: Mit dem Wissen über das Verschaffen von Rechten sollten Sie vorsichtig umgehen, denn in vielen Fällen fehlen die Rechte beispielsweise aus Sicherheitsgründen oder um Windows-eigene Selbstheilungsmechanismen zu schützen. Während also nichts dagegen steht, sich verloren gegangene Rechte an eigenen Daten wiederzuverschaffen, sollten Sie bei Systemdateien und -ordnern nur dann Rechte anpassen, wenn Sie einen wirklich guten Grund dafür kennen. Um es deutlich zu sagen: Neugier ist kein guter Grund.

„Administrator“ und andere Admins

¯??? Bei einer Standard-Installation gibt es unter Windows 10 ein Konto namens „Administrator“, welches deaktiviert ist. Handelt es sich dabei um eine Art Super-Admin?

¯!!! Nein. Dieses Konto verfügt über genau die gleichen Rechte wie jedes andere Admin-Konto. Es gehört genau wie das erste Benutzerkonto, welches standardmäßig eingerichtet wird, zur Gruppe der Administratoren, und alle Mitglieder der Gruppe sind gleichberechtigt. Das Konto „Administrator“ unterscheidet sich aber auf andere Weise von anderen Admins: Erstens lässt es sich nicht löschen und zweitens greift die Benutzerkontensteuerung bei diesem Konto nicht. Wenn unter dem Konto „Administrator“ ein Programm gestartet wird, verfügt es also von vornherein über Admin-Rechte. Das gilt auch für den automatisch als Shell gestarteten Explorer. Für jemanden, der die Benutzerkontensteuerung nicht kennt, mag das im Ergebnis so wirken, als wäre der „Administrator“ mächtiger als andere Admins, in Wirklichkeit fehlt aber nur der Schutz durch die UAC.

Netzlaufwerk als Admin

¯??? Ich habe im Explorer ein Netzlaufwerk mit eigenem Laufwerksbuchstaben eingebunden. Sobald ich aber ein Programm mit Administratorrechten starte, kann dieses nicht auf das Netzlaufwerk zugreifen. Windows behauptet, es sei gar nicht da, obwohl ich es doch im Explorer sehen kann.

¯!!! Wenn Sie im Explorer ein Netzlaufwerk einbinden, dann gilt das nur für Ihr Benutzerkonto, und auch das nur für die derzeitige Anmeldung. Wenn Sie ein Programm mit Administratorrechten starten, meldet die Benutzerkontensteuerung Sie aber ein zweites Mal an, und zwar diesmal mit erweiterten Rechten. Diese zweite Anmeldung weiß nichts von dem Netzlaufwerk.

Ändern können Sie das mit einem Registry-Eintrag. Erzeugen Sie unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen „DWORD (32 Bit)“ namens EnableLinkedConnections mit dem Wert 1 und starten Sie Windows neu. Danach sehen Sie auch als Admin die eingebundenen Netzlaufwerke.

„Administrator“ aktivieren

¯??? Wie aktiviere ich das Konto namens „Administrator“? Sollte ich dabei etwas beachten?

¯!!! Bei den Editionen Pro, Enterprise und Education können Sie das in der Computerverwaltung unter „Lokale Benutzer und Gruppen“ erledigen, bei der Home-Edition fehlt dieser Menüpunkt. Unter allen Editionen klappt es aber gleichermaßen auf der Kommandozeile: Öffnen Sie eine mit Admin-Rechten laufende Eingabeaufforderung oder PowerShell und tippen Sie darin ein:

net user administrator /active:yes

Um das Konto wieder zu deaktivieren, ersetzen Sie yes durch no. Doch Obacht: Das nun aktive Konto ist nicht durch ein Kennwort geschützt! Das setzen Sie mit einem weiteren Befehl:

net user administrator *

Sie müssen nun ein Kennwort zweimal eingeben. Lassen Sie sich nicht davon irritieren, dass dabei keinerlei Ausgabe erfolgt: Tippen Sie einfach im Blindflug das Kennwort ein und drücken Sie Enter, anschließend wiederholen Sie das.

Administrator international

¯??? Wie heißt das Konto „Administrator“, wenn ich vor einem nicht deutschsprachigen Windows sitze?

¯!!! In den meisten Sprachversionen von Windows wurde der Kontoname unverändert aus dem Englischen übernommen, heißt meist also genauso, wie Sie es gewohnt sind. Es gibt aber einige wenige Ausnahmen, die Microsoft auf einer Website dokumentiert (siehe ct.de/ycpm). Dazu gehören leichte Abweichungen wie „Administrateur“ im französisch- und „Administrador“ im spanisch- und portugiesischsprachigen Windows, aber auch deutliche wie in Finnland: Dort heißt das Konto „Järjestelmänvalvoja“. (axv@ct.de)

Microsoft-Doku:ct.de/ycpm