Besucherkonto für Windows 7

Windows bietet eine Möglichkeit, anderen Nutzern Ihren Rechner zugänglich zu machen, ohne dass das System dabei Schaden nimmt. Dieser Artikel beschreibt, wie Sie auf Ihrem Rechner ein ganz spezielles Besucherkonto einrichten. Was die Benutzer dieses Kontos dürfen und was nicht, bestimmen Sie bis ins kleinste Detail.

Sie können das Besucherkonto so konfigurieren, dass der Benutzer nur ausgewählte Programme starten darf, keine Systemeinstellungen verändern kann und nur auf ausgewählte Laufwerke Zugriff hat. Sie können den Schreibzugriff auf USB-Sticks blockieren. Auch Registry und Kommandozeile lassen sich für Besucher sperren. Sie können verhindern, dass ein Besucher Schädlinge auf Ihren Rechner schleust, Skripts ausführt oder bestimmte Tastenkombinationen anwendet.

Ziel ist es, ein idiotensicheres Besucherkonto zu erstellen, dessen Benutzer an Ihrem System nichts verändern oder kaputtmachen können. Sie benötigen dafür Windows 7 Professional oder Ultimate. Für die Rechtevergabe brauchen Sie nämlich den Gruppenrichtlinien-Editor. Und der ist nur in diesen Versionen enthalten.

Zwar finden sich im Internet zahlreiche Webseiten, auf denen steht, dass sich der Gruppenrichtlinien-Editor für alle Versionen von Windows 7 nachrüsten lässt. Unsere Tests zeigten jedoch, dass der nachgerüstete Gruppenrichtlinien-Editor nicht den benötigten Funktionsumfang bietet.

Übrigens: Einen ähnlichen Artikel finden Sie unter „Zu Besuch bei Windows“. Darin lesen Sie, wie Sie ein Besucherkonto ohne Hilfe des Gruppenrichtlinien-Editors absichern.

Das Besucherkonto richten Sie in zwei Schritten ein: Im ersten Schritt legen Sie ein Standardbenutzerkonto an. Es verfügt bereits über eingeschränkte Rechte. Für den Zweck Ihres Besucherkontos sind es jedoch immer noch zu viele. Deshalb entziehen Sie dem Konto im zweiten Schritt weitere Rechte, indem Sie es der Benutzergruppe „Gäste“ zuordnen. Das ist die Benutzergruppe mit den wenigsten Rechten.

Erstellen Sie zunächst das Besucherkonto. Öffnen Sie dazu die „Systemsteuerung“. Klicken Sie in der Kategorie „Benutzerkonten und Jugendschutz“ auf „Benutzerkonten hinzufügen/entfernen“. Klicken Sie auf den blauen Link „Neues Konto erstellen“. In das Eingabefeld tippen Sie die Kontobezeichnung Besucher ein. Stellen Sie sicher, dass die Option „Standardbenutzer“ aktiviert ist, und klicken Sie auf „Konto erstellen“. Windows legt nun den neuen Benutzer an.

Ihr Besucherkonto ist jetzt erst einmal ein Standardbenutzerkonto Ein Standardbenutzer kann jedoch immer noch den Großteil der installierten Anwendungen starten, auf alle Laufwerke zugreifen und Installationen durchführen. Das sind für Ihr Besucherkonto zu viele Rechte. Damit Ihr Besucherkonto sicherer wird, nehmen Sie ihm Rechte weg. Das geht mit einem Trick: Weisen Sie das Besucherkonto einer Benutzergruppe mit sehr wenig Rechten zu, der Gruppe „Gäste“.

Starten Sie dazu die Management-Konsole mit [Windows R] und dem Befehl mmc. Bestätigen Sie die Nachfrage der Benutzerkontensteuerung. Die Management-Konsole öffnet sich. Klicken Sie oben in der Menüleiste auf „Datei, Snap-In hinzufügen/entfernen…“. Ein Snap-In ist ein Verwaltungsinstrument für Windows. Klicken Sie links in der Liste auf „Lokale Benutzer und Gruppen“ und dann auf „Hinzufügen“. Im folgenden Dialog muss die Option „Lokaler Computer (Computer, auf dem diese Konsole ausgeführt wird)“ aktiviert sein. Bestätigen Sie mit „Fertig stellen“. Schließen Sie das Fenster „Snap-Ins hinzufügen bzw. entfernen“ mit „OK“.

Zurück in den Management-Konsole finden Sie ganz links jetzt den Eintrag „Lokale Benutzer und Gruppen (lokal)“. Klicken Sie auf das Dreieck vor dem Eintrag und markieren Sie den Unterpunkt „Benutzer“. In der Fenstermitte erscheinen daraufhin die auf dem PC verfügbaren Benutzer. Klicken Sie mit der rechten Maustaste auf „Besucher“ und wählen Sie „Eigenschaften“.

Auf dem Reiter „Allgemein“ setzen Sie ein Häkchen bei „Benutzer kann Kennwort nicht ändern“. Wechseln Sie zum Register „Mitglied von“. Hier legen Sie fest, welcher Benutzergruppe das Besucherkonto angehört. Entfernen Sie zunächst die voreingestellten Mitgliedschaften. Markieren Sie dazu „Benutzer“ und klicken Sie auf „Entfernen“. Verfahren Sie auf die gleiche Weise mit den weiteren Mitgliedschaften.

Ordnen Sie nun das Besucherkonto der Benutzergruppe „Gäste“ zu. Klicken Sie dazu auf „Hinzufügen…“. In das Eingabefeld bei „Geben Sie die zu verwendenden Objektnamen ein (Beispiele)“ tippen Sie Gäste ein. Klicken Sie auf „Namen überprüfen“. Windows ändert den Eintrag automatisch auf den richtigen Wert. Übernehmen Sie die Änderungen mit „OK“ und schließen Sie die Zuordnung mit einem weiteren Klick auf „OK“ ab. Schließen Sie die Konsole und klicken Sie abschließend auf „Nein“.

Das Besucherkonto ist jetzt schon einigermaßen vom System abgeschottet. Um es aber wirklich sicher zu machen, definieren Sie jetzt noch im Detail, welche Rechte der Gast besitzen soll: Sie legen fest, welche Programme er starten darf, ob er das System in einem gewissen Rahmen konfigurieren kann und auf welche Laufwerke er Zugriff hat.

Die Detaileinstellungen für das Besucherkonto nehmen Sie nicht direkt im Gruppenrichtlinien-Editor vor. Ihre Einstellungen würden sich sonst nämlich auf alle Benutzer des PCs auswirken, sogar auf den Admin. Das wollen Sie nicht. Stattdessen gehen Sie den folgenden Weg: Laden Sie das Besucherkonto in die Management-Konsole von Windows. Alle Einstellungen, die Sie dann vornehmen, gelten nur für das spezielle Besucherkonto.

Starten Sie die Management-Konsole erneut mit [Windows R] und dem Befehl mmc. Bestätigen Sie die Nachfrage der Benutzerkontensteuerung. Klicken Sie in der Management-Konsole oben in der Menüleiste auf „Datei“ und wählen Sie Snap-In hinzufügen/entfernen…“. Markieren Sie links das Snap-In „Gruppenrichtlinienobjekt-Editor“ und klicken Sie auf „Hinzufügen“. Im folgenden Fenster klicken Sie auf „Durchsuchen“. Ein weiteres Fenster öffnet sich. Wechseln Sie zum Register „Benutzer“ und markieren Sie in der Liste der verfügbaren Konten den Benutzer „Besucher“ . Übernehmen Sie Ihre Wahl mit „OK“ und kehren Sie mit „Fertig stellen“ und „OK“ zur Konsole zurück. Sie sehen jetzt links unter „Konsolenstamm“ das neue Objekt „Richtlinien für Lokaler Computer\Besucher“. An der Bezeichnung „Computer\Besucher“ erkennen Sie, dass das Konto „Besucher“ geladen wurde. Öffnen Sie die Unteroptionen mit einem Klick auf das Dreieck.

Die Systemsteuerung von Windows ist der Ort, an dem sich alle Einstellungen von Windows ändern lassen. Gästen den Zugriff auf diese Schaltzentrale zu gewähren, kann fatale Folgen haben.

So geht’s: Navigieren Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, Systemsteuerung“. In der Mitte erscheinen dann neue Einstellungen. Klicken Sie mit der rechten Maustaste auf „Zugriff auf die Systemsteuerung nicht zulassen“ und wählen Sie „Bearbeiten“. Ein Konfigurationsfenster öffnet sich. Klicken Sie auf den Radio-Button bei „Aktiviert“ und übernehmen Sie die Einstellung mit „OK“.

Wer fremde Anwender an den PC lässt, möchte möglicherweise nicht, dass sie in den Daten auf der Festplatte herumschnüffeln oder Daten auf der Festplatte ablegen. Verbieten Sie daher den Zugriff auf einzelne lokale Festplatten.

So geht’s: Navigieren Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Windows-Explorer“. Suchen Sie in der Fenstermitte nach der Option „Diese angegebenen Datenträger im Fenster ,Arbeitsplatz‘ ausblenden“ und öffnen Sie sie mit einem Doppelklick. Aktivieren Sie die Einschränkung mit einem Klick auf „Aktiviert“. Wählen Sie anschließend unter „Optionen“ im Dropdown-Menü eine der angebotenen Laufwerkkombinationen aus. Übernehmen Sie Ihre Einstellungen mit „OK“.

Beschränken Sie außerdem den Zugriff auf die gewählten Laufwerke. Klicken Sie im mittleren Teil des Fensters mit der rechten Maustaste auf „Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen“ und wählen Sie „Bearbeiten“. Aktivieren Sie die Option und wählen Sie unter „Optionen“ die gleiche Laufwerkkombination wie zuvor aus. Übernehmen Sie die Änderungen mit „OK“.

Aktivieren Sie jetzt noch die Beschränkung „Optionen ,Netzlaufwerk verbinden‘ und ,Netzlaufwerk trennen‘ entfernen“, damit der Besucher nicht per Standardfreigabe auf die Laufwerke zugreift.

Wer Zugriff auf Ihren PC hat, kann von dort Daten auf einen USB-Stick oder ein anderes Gerät kopieren. Außer Sie haben die Rechte angepasst.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System, Wechselmedienzugriff“. In der Mitte des Fensters erscheint eine Liste mit Richtlinien, über die Sie den Lese- und den Schreibzugriff für unterschiedliche Geräteklassen festlegen. Darunter befinden sich die CD und DVD, die Diskette, der Wechseldatenträger, das Bandlaufwerk und sogenannte WPD-Geräte (Windows Portable Devices) — das sind Geräte, auf denen Windows Mobile installiert ist. Klicken Sie nacheinander auf alle Richtlinien, die Sie anpassen möchten. Verbieten Sie den Schreibzugriff jeweils mit der Option „Aktiviert“.

Sie können genau definieren, welche installierten Programme der Besucher starten darf — das gilt auch für Sofort-Tools auf dem USB-Stick.

So geht’s: Navigieren Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System“. Suchen Sie in der Fenstermitte nach der Richtlinie „Nur zugelassene Win-dows-Anwendungen ausführen“ und öffnen Sie sie. Aktivieren Sie die Regel und öffnen Sie die „Liste zugelassener Anwendungen“ mit einem Klick auf „Anzeigen…“. Tragen Sie jetzt nacheinander die Programmdateien in die Liste ein, die ausgeführt werden dürfen, etwa explorer.exe für den Windows-Explorer, iexplore.exe für den Internet Explorer oder firefox.exe für Firefox.

In diese Liste tragen Sie die Dateinamen aller Programme ein, die der Besucher nutzen darf, ansonsten erhält er eine Fehlermeldung. Übernehmen Sie die Einstellungen mit „OK“ und setzen Sie die Richtlinie mit einem weiteren „OK“ in Kraft.

Selbst wenn alle wichtigen Schaltzentralen der grafischen Bedienoberfläche von Windows abgesichert sind, lässt sich Windows immer noch über die Kommandozeile manipulieren.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System“. Öffnen Sie die Einstellung „Zugriff auf Eingabeaufforderung verhindern“. Klicken Sie auf „Aktiviert“. Damit auch keine Skripts wie Batch-Dateien ausgeführt werden können, sollten Sie in der Rubrik „Optionen“ auch noch die Skriptverarbeitung deaktivieren. Wählen Sie dazu im Dropdown-Menü die Einstellung „Ja“. Die Kommandozeile ist ab jetzt für den Besucher gesperrt.

Der Task-Manager beendet Prozesse oder startet Programme. Damit stellt der Zugriff durch Ungeübte ein Sicherheitsrisiko für Windows dar.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System, STRG+ALT+ENTF (Optionen)“ und aktivieren Sie die Regel „Task-Manager entfernen“.

Wenn der Besucher den Windows-Explorer verwendet, dann hat er über das Kontextmenü allerlei Zugriffsmöglichkeiten auf Dateien und Ordner.

So geht’s: Navigieren Sie über „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten“ zum Schlüssel „Windows-Explorer“. Suchen Sie in der Fenstermitte nach der Richtlinie „Standardkontextmenü aus Windows-Explorer entfernen“. Öffnen Sie sie mit einem Doppelklick und aktivieren Sie sie. Übernehmen Sie die Einstellung mit „OK“. Verbannen Sie anschließend auch noch das Menü „Datei“ aus dem Windows-Explorer, indem Sie die Regel „Menü ,Datei‘ aus Windows-Explorer entfernen“ ebenfalls aktivieren.

Die Funktion Autoplay startet automatisch eingelegte CDs oder DVDs oder USB-Sticks. Wenn sich auf dem Datenträger Schadsoftware befindet, könnte sie über Autoplay ausgeführt werden.

So geht’s: Hangeln Sie sich über „Windows-Komponenten“ zum Punkt „Richtlinien für die automatische Wiedergabe“. Öffnen Sie die Einstellung „Autoplay deaktivieren“ und aktivieren Sie sie.

Benutzer mit eingeschränkten Rechten können die Ordneransicht nach ihrem Gutdünken verändern und sich etwa versteckte Dateien anzeigen lassen.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Windows-Explorer“. Suchen Sie in der Fenstermitte nach der Richtlinie „Menüeintrag ,Ordneroptionen‘ aus dem Menü ,Extras‘ entfernen“ und öffnen Sie sie mit einem Doppelklick. Wählen Sie die Einstellung „Aktiviert“ und übernehmen Sie die Einstellung mit „OK“.

Wer Besucher an seinen PC lässt, möchte vielleicht nicht, dass sie an der Registry herumpfuschen und so möglicherweise Windows beschädigen.

So geht’s: Wechseln Sie zum Schlüssel „Benutzerkonfiguration, Administrative Vorlagen, System“. Aktivieren Sie die Einstellung „Zugriff auf Programme zum Bearbeiten der Registrierung verhindern“ . Fortan lässt sich der Registrierungs-Editor vom Besucher nicht mehr starten.

Wenn Sie den Internet Explorer so konfiguriert haben, dass man damit relativ geschützt surfen kann, dann sollten Sie sicherstellen, dass keine Veränderungen vorgenommen werden. Verstecken Sie einfach die Registerkarten des Menüs „Extras, Internetoptionen“.

So geht’s: Navigieren Sie in der linken Fensterhälfte über „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Internet Explorer“ zum Punkt „Internetsystemsteuerung“. Aktivieren Sie rechts die Punkte „Seite ,Erweitert‘ deaktivieren“, „Verbindungsseite deaktivieren“, „Inhaltsseite deaktivieren“, „Seite ,Allgemein‘ deaktivieren“, „Datenschutzseite deaktivieren“, „Programmseite deaktivieren“ und „Sicherheitsseite deaktivieren“.

Viele Windows-Funktionen lassen sich so verstecken, dass sie mit der Maus nicht mehr gestartet werden können. Wenn sich aber ein Besucher am PC anmeldet, der sich mit den speziellen Windows-Tastenkombinationen auskennt, verschafft er sich auch ohne Maus den Zugang zu Funktionen, die für ihn verboten sind. Deaktivieren Sie daher alle Tastenkombinationen mit der Windows-Taste.

So geht’s: Wechseln Sie über „Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten“ zum Schlüssel „Windows-Explorer“. Öffnen Sie in der Fenstermitte die Regel „Windows-X-Abkürzungstasten deaktivieren“ und aktivieren Sie sie. Übernehmen Sie die Änderung mit „OK“.

Das Besucherkonto ist jetzt fertig konfiguriert. Speichern Sie die Einstellungen mit „Datei, Speichern unter…“ Als Namen geben Sie Besucher ein. Wenn Sie künftig das Konto anpassen möchten, dann starten Sie die Management-Konsole. Über „Datei, Öffnen…“ laden Sie die Konfiguration.