Sicherer ohne Administratorrechte
Viele Anwender arbeiten auf ihrem Computer mit Administratorrechten. Dieses Vorgehen ist bequem, da man immer alle nötigen Rechte, z.B. für Programminstallation, aktiv hat. Der Anwender stößt praktisch nicht an Berechtigungsgrenzen auf seinem Computer.
Was spricht nun dafür diese Vorgehen in der Praxis zu ändern?
Mit weniger Rechten aktiv zu arbeiten ist wesentlich sicherer. Administratoren haben vollen Zugriff auf das System und die entsprechende Hardware. Dementsprechend können normale Anwender mit Administratorrechten Treiber installieren, die Registry manipulieren, Systemverzeichnisse auslesen, ändern und löschen, oder ganz einfach die Festplatte (n) formatieren.
1. Schutz des Anwenders vor sich selbst
Wenn der Anwender diese Rechte nicht aktiv hat, dann können ihm auch weniger gravierende Fehler im System passieren, wie z.B. versehentliches löschen eines Systemverzeichnisses.
Was er nicht darf und kann, das passiert Ihm auch nicht zufällig.
2. Schutz vor Schadsoftware wie Viren, Würmer, Trojaner, Bots
Steckt z.B. der User einen infizierten USB Stick in seinen Rechner, und klickt eine befallende Datei an, dann nutzt die Schadsoftware die Rechte des Anwenders und hat dementsprechend viel Spielraum Schaden anzurichten. Ein geschickt programmierter Trojaner, der Administratorrechte nutzen konnte, ist praktisch nicht mehr von einem befallenem System entfernbar. Die Folge ist in vielen Fällen eine Neuinstallation. Auch eine gute Virenschutz Software bewahrt den Anwender nicht vor Dumheiten.
3. Firmennetzwerk, Mitarbeiter
Mitarbeiter, die eine Aufgabe zu erledigen haben, brauchen unter Umständen eine andere Software auf Ihrem Rechner. Oder der Mitarbeiter möchte einfach eine andere Software. Die ist mit Administratorrechten sehr schnell aus dem Internet installiert. Das wirft aber in einem Firmennetz viele Fragen auf:
Ist die Quelle vertrauenswürdig? (Schädling, Spionagesoftware….)
Ist der rechtliche Aspekt OK? Darf die Software überhaupt im Firmenumfeld kostenfrei genutzt werden?
Handelt es sich unter Umständen sogar um eine Raubkopie?
Verträgt sich die Software mit dem Setup und der Warenwirtschaft?
Der Geschäftsführer steht bei Punkt 3 in der Haftung, da dieser geeignete und angemessene Maßnahmen zu treffen hat, um auch Datenschutzrechtliche Aspekte in angemessener Weise zu würdigen. Er muss dementsprechende für ein kontrolliertes Setup im Firmennetz sorgen.
Das BSI hat hierzu auch eine klare Stellungnahme:
BSI-Sichere Systemkonfiguration
siehe: M 4.244 Sichere Systemkonfiguration von Windows Client-Betriebssystemen / Softwareeinschränkungen
BSI = Bundesamt für Sicherheit in der Informationstechnik
Fazit
Egal ob an privaten Computern, oder in Firmennetzwerken, es macht Sinn mit normalen Anwenderrechten zu arbeiten, und die Administratorenberechtigungen nur bei Bedarf zu aktivieren.
Der Sicherheitsgewinn ist sehr hoch.