Besucherkonto konfigurieren

Das Besucherkonto ist jetzt schon einigermaßen vom System abgeschottet. Um es aber wirklich sicher zu machen, definieren Sie jetzt noch im Detail, welche Rechte der Gast besitzen soll: Sie legen fest, welche Programme er starten darf, ob er das System in einem gewissen Rahmen konfigurieren kann und auf welche Laufwerke er Zugriff hat.

Die Detaileinstellungen für das Besucherkonto nehmen Sie nicht direkt im Gruppenrichtlinien-Editor vor. Ihre Einstellungen würden sich sonst nämlich auf alle Benutzer des PCs auswirken, sogar auf den Admin. Das wollen Sie nicht. Stattdessen gehen Sie den folgenden Weg: Laden Sie das Besucherkonto in die Management-Konsole von Windows. Alle Einstellungen, die Sie dann vornehmen, gelten nur für das spezielle Besucherkonto.

Starten Sie die Management-Konsole erneut mit [Windows R] und dem Befehl mmc. Bestätigen Sie die Nachfrage der Benutzerkontensteuerung. Klicken Sie in der Management-Konsole oben in der Menüleiste auf „Datei“ und wählen Sie Snap-In hinzufügen/entfernen…“. Markieren Sie links das Snap-In „Gruppenrichtlinienobjekt-Editor“ und klicken Sie auf „Hinzufügen“. Im folgenden Fenster klicken Sie auf „Durchsuchen“. Ein weiteres Fenster öffnet sich. Wechseln Sie zum Register „Benutzer“ und markieren Sie in der Liste der verfügbaren Konten den Benutzer „Besucher“ . Übernehmen Sie Ihre Wahl mit „OK“ und kehren Sie mit „Fertig stellen“ und „OK“ zur Konsole zurück. Sie sehen jetzt links unter „Konsolenstamm“ das neue Objekt „Richtlinien für Lokaler Computer\Besucher“. An der Bezeichnung „Computer\Besucher“ erkennen Sie, dass das Konto „Besucher“ geladen wurde. Öffnen Sie die Unteroptionen mit einem Klick auf das Dreieck.

Die Systemsteuerung von Windows ist der Ort, an dem sich alle Einstellungen von Windows ändern lassen. Gästen den Zugriff auf diese Schaltzentrale zu gewähren, kann fatale Folgen haben.

So geht’s: Navigieren Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, Systemsteuerung“. In der Mitte erscheinen dann neue Einstellungen. Klicken Sie mit der rechten Maustaste auf „Zugriff auf die Systemsteuerung nicht zulassen“ und wählen Sie „Bearbeiten“. Ein Konfigurationsfenster öffnet sich. Klicken Sie auf den Radio-Button bei „Aktiviert“ und übernehmen Sie die Einstellung mit „OK“.

Wer fremde Anwender an den PC lässt, möchte möglicherweise nicht, dass sie in den Daten auf der Festplatte herumschnüffeln oder Daten auf der Festplatte ablegen. Verbieten Sie daher den Zugriff auf einzelne lokale Festplatten.

So geht’s: Navigieren Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Windows-Explorer“. Suchen Sie in der Fenstermitte nach der Option „Diese angegebenen Datenträger im Fenster ,Arbeitsplatz‘ ausblenden“ und öffnen Sie sie mit einem Doppelklick. Aktivieren Sie die Einschränkung mit einem Klick auf „Aktiviert“. Wählen Sie anschließend unter „Optionen“ im Dropdown-Menü eine der angebotenen Laufwerkkombinationen aus. Übernehmen Sie Ihre Einstellungen mit „OK“.

Beschränken Sie außerdem den Zugriff auf die gewählten Laufwerke. Klicken Sie im mittleren Teil des Fensters mit der rechten Maustaste auf „Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen“ und wählen Sie „Bearbeiten“. Aktivieren Sie die Option und wählen Sie unter „Optionen“ die gleiche Laufwerkkombination wie zuvor aus. Übernehmen Sie die Änderungen mit „OK“.

Aktivieren Sie jetzt noch die Beschränkung „Optionen ,Netzlaufwerk verbinden‘ und ,Netzlaufwerk trennen‘ entfernen“, damit der Besucher nicht per Standardfreigabe auf die Laufwerke zugreift.

Wer Zugriff auf Ihren PC hat, kann von dort Daten auf einen USB-Stick oder ein anderes Gerät kopieren. Außer Sie haben die Rechte angepasst.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System, Wechselmedienzugriff“. In der Mitte des Fensters erscheint eine Liste mit Richtlinien, über die Sie den Lese- und den Schreibzugriff für unterschiedliche Geräteklassen festlegen. Darunter befinden sich die CD und DVD, die Diskette, der Wechseldatenträger, das Bandlaufwerk und sogenannte WPD-Geräte (Windows Portable Devices) — das sind Geräte, auf denen Windows Mobile installiert ist. Klicken Sie nacheinander auf alle Richtlinien, die Sie anpassen möchten. Verbieten Sie den Schreibzugriff jeweils mit der Option „Aktiviert“.

Sie können genau definieren, welche installierten Programme der Besucher starten darf — das gilt auch für Sofort-Tools auf dem USB-Stick.

So geht’s: Navigieren Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System“. Suchen Sie in der Fenstermitte nach der Richtlinie „Nur zugelassene Win-dows-Anwendungen ausführen“ und öffnen Sie sie. Aktivieren Sie die Regel und öffnen Sie die „Liste zugelassener Anwendungen“ mit einem Klick auf „Anzeigen…“. Tragen Sie jetzt nacheinander die Programmdateien in die Liste ein, die ausgeführt werden dürfen, etwa explorer.exe für den Windows-Explorer, iexplore.exe für den Internet Explorer oder firefox.exe für Firefox.

In diese Liste tragen Sie die Dateinamen aller Programme ein, die der Besucher nutzen darf, ansonsten erhält er eine Fehlermeldung. Übernehmen Sie die Einstellungen mit „OK“ und setzen Sie die Richtlinie mit einem weiteren „OK“ in Kraft.

Selbst wenn alle wichtigen Schaltzentralen der grafischen Bedienoberfläche von Windows abgesichert sind, lässt sich Windows immer noch über die Kommandozeile manipulieren.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System“. Öffnen Sie die Einstellung „Zugriff auf Eingabeaufforderung verhindern“. Klicken Sie auf „Aktiviert“. Damit auch keine Skripts wie Batch-Dateien ausgeführt werden können, sollten Sie in der Rubrik „Optionen“ auch noch die Skriptverarbeitung deaktivieren. Wählen Sie dazu im Dropdown-Menü die Einstellung „Ja“. Die Kommandozeile ist ab jetzt für den Besucher gesperrt.

Der Task-Manager beendet Prozesse oder startet Programme. Damit stellt der Zugriff durch Ungeübte ein Sicherheitsrisiko für Windows dar.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System, STRG+ALT+ENTF (Optionen)“ und aktivieren Sie die Regel „Task-Manager entfernen“.

Wenn der Besucher den Windows-Explorer verwendet, dann hat er über das Kontextmenü allerlei Zugriffsmöglichkeiten auf Dateien und Ordner.

So geht’s: Navigieren Sie über „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten“ zum Schlüssel „Windows-Explorer“. Suchen Sie in der Fenstermitte nach der Richtlinie „Standardkontextmenü aus Windows-Explorer entfernen“. Öffnen Sie sie mit einem Doppelklick und aktivieren Sie sie. Übernehmen Sie die Einstellung mit „OK“. Verbannen Sie anschließend auch noch das Menü „Datei“ aus dem Windows-Explorer, indem Sie die Regel „Menü ,Datei‘ aus Windows-Explorer entfernen“ ebenfalls aktivieren.

Die Funktion Autoplay startet automatisch eingelegte CDs oder DVDs oder USB-Sticks. Wenn sich auf dem Datenträger Schadsoftware befindet, könnte sie über Autoplay ausgeführt werden.

So geht’s: Hangeln Sie sich über „Windows-Komponenten“ zum Punkt „Richtlinien für die automatische Wiedergabe“. Öffnen Sie die Einstellung „Autoplay deaktivieren“ und aktivieren Sie sie.

Benutzer mit eingeschränkten Rechten können die Ordneransicht nach ihrem Gutdünken verändern und sich etwa versteckte Dateien anzeigen lassen.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Windows-Explorer“. Suchen Sie in der Fenstermitte nach der Richtlinie „Menüeintrag ,Ordneroptionen‘ aus dem Menü ,Extras‘ entfernen“ und öffnen Sie sie mit einem Doppelklick. Wählen Sie die Einstellung „Aktiviert“ und übernehmen Sie die Einstellung mit „OK“.

Wer Besucher an seinen PC lässt, möchte vielleicht nicht, dass sie an der Registry herumpfuschen und so möglicherweise Windows beschädigen.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System“. Aktivieren Sie die Einstellung „Zugriff auf Programme zum Bearbeiten der Registrierung verhindern“ . Fortan lässt sich der Registrierungs-Editor vom Besucher nicht mehr starten.

Wenn Sie den Internet Explorer so konfiguriert haben, dass man damit relativ geschützt surfen kann, dann sollten Sie sicherstellen, dass keine Veränderungen vorgenommen werden. Verstecken Sie einfach die Registerkarten des Menüs „Extras, Internetoptionen“.

So geht’s: Navigieren Sie in der linken Fensterhälfte über „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Internet Explorer“ zum Punkt „Internetsystemsteuerung“. Aktivieren Sie rechts die Punkte „Seite ,Erweitert‘ deaktivieren“, „Verbindungsseite deaktivieren“, „Inhaltsseite deaktivieren“, „Seite ,Allgemein‘ deaktivieren“, „Datenschutzseite deaktivieren“, „Programmseite deaktivieren“ und „Sicherheitsseite deaktivieren“.

Viele Windows-Funktionen lassen sich so verstecken, dass sie mit der Maus nicht mehr gestartet werden können. Wenn sich aber ein Besucher am PC anmeldet, der sich mit den speziellen Windows-Tastenkombinationen auskennt, verschafft er sich auch ohne Maus den Zugang zu Funktionen, die für ihn verboten sind. Deaktivieren Sie daher alle Tastenkombinationen mit der Windows-Taste.

So geht’s: Wechseln Sie über „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten“ zum Schlüssel „Windows-Explorer“. Öffnen Sie in der Fenstermitte die Regel „Windows-X-Abkürzungstasten deaktivieren“ und aktivieren Sie sie. Übernehmen Sie die Änderung mit „OK“.

Das Besucherkonto ist jetzt fertig konfiguriert. Speichern Sie die Einstellungen mit „Datei, Speichern unter…“ Als Namen geben Sie Besucher ein. Wenn Sie künftig das Konto anpassen möchten, dann starten Sie die Management-Konsole. Über „Datei, Öffnen…“ laden Sie die Konfiguration.