W2000: eingeschränkter Benutzer für das Surfen

Hallo Experten,

auf einem Laptop ist Win2000 pro installiert. Ansonsten läuft noch eine Firewall und ein Antivirusguard. Entsprechend der Empfehlung von PC-Welt, Ausgabe 12/2003 und anderer habe ich noch unnötige Dienste auf manuell geschaltet.

Für das Surfen im Internet möchte ich einen Benutzer mit eingeschränkten Rechten einrichten.
Zu diesem Thema ist hier im Forum viel zur XP-Version gepostet wurden. Jedoch finde ich nicht so recht übertragbare Tipps für folgende Fragen:


1. Ist das Zufügen eines Mitgliedes in der Gruppe Benutzer ausreichend oder kann bzw. müssen die Rechte noch reduziert werden und wo erfolgen in diesem Fall die Einstellungen ??

2. Wie sieht es mit den Zugriffsrechten auf die Festplatte aus ? Müssen diese noch manuell für den Internetbenutzer eingeschränkt werden ?

3. Für den Internetbenutzer vergebe ich ein Anmeldepasswort. Muss jedoch für den Benutzer mit Admin-Rechten, welcher nicht surfen kann, auch ein Passwort vergeben werden. Hat das Einfluss auch die Internetaktivitäten ??

4. Müssen noch Ports geschlossen werden ?

5. Probleme gibt es auch mit dem Abspeichern von Netscape-Bookmarks. Sie sind nach dem Neustart nicht mehr vorhanden. Wahrscheinlich habe ich das Programm im Konto „eingeschränkter B.“ installiert. Ich werde es noch einmal unter dem Admin installieren.

Können ansonsten mit einfachen Mitteln und leicht nachvollziehbar, Einstellungen vorgenommen werden, um die Sicherheit zu erhöhen ?

Vielen Dank schon mal für eine Antwort !

Gruß
Andre

 

1. Ja, das Einordnen in die Grupper "Benutzer" reicht. Achte darauf dass der Benutzer nicht zusätzlich noch in einer anderen Gruppe ist.

2. "Benutzer" dürfen nicht in die kritischen Ordner rein. Wenn du andere Ordner ebenfalls schützen willst dann kannst du das in den Eigenschaften dieser Ordner einstellen.

3. Diese Frage versteh ich nicht. Was hat das Windows Anmelde-Passwort mit dem Internetzugang zu tun?

4. Nein, es sei denn der Benutzer soll zwar surfen, aber keine Filesharing-Programme benutzen können.

5. Netscape, gibts die überhaupt nocht? Dazu kann ich dir nix sagen, ich verwende den IE.

 

http://de.wikipedia.org/wiki/Netscape_Navigator

Aufgrund des Alters, ist ein Wechsel zu Seamonkey (Suite) oder Firefox (Browser) + Thunderbird (Mail) zu empfehlen.
Die werden regelmäßig aktualisiert.
Netscape dürfte mittlerweile einige Sicherheitslücken aufweisen, die bei den OpenSource-Browsern nicht mehr verhanden sind.

 

Vielen Dank für die vielen Infos.

Also, das Konto „Benutzer“ reicht für das normale Surfen aus. Firefox wird demnächst draufgespult, wenn ich das Gerät mal in die Finger bekomme (ich selbst nutze nur einen etwas angestaubten PC).

Der Laptopnutzer ist vielleicht zu 50% unter dem Adminkonto aktiv. Zur Zeit ist für dieses Konto kein Passwort vergeben. Ist ein Passwort notwendig, um die Sicherheit möglichst zu gewährleisten (das als Ergänzung zum Pkt. 3) ?

Viele Grüße
Andre

 

Noch eine Frage kommt in diesem Zusammenhang dazu:

6. Unter welchem Konto werden die notwendigen Freeware-Programme für den Internetzugang, wie Firefox und ZA, installiert ? Sie werden doch sicherlich als Admin installiert. Wie sieht es aber mit den updates aus, welche über das Internet geladen werden ? Muss dann die Beschränkung des Kontos "eingeschränkter B." aufgehoben werden ?

 

Programme werden im Adminkonto installiert, die Erweiterungen für FF-Browser und Mail können allgemein für alle Benutzer (Adminrechte nötig) oder nur für einen einzelnen Benutzer (Benutzerrechte für Installation im Profilordner reichen) installiert werden.
Die Erweiterungen fragen normalerweise vorher nach, ob sie für alle Benutzer oder nur den aktuellen installiert werden sollen.
Ich ziehe die Installation getrennt nach Benutzern vor, da Erweiterungen und Einstellungen bei der Installation einer neuen Browserversion dann übernommen werden.

AV-Programme sollten ihre Updates im Profilordner "All Users" für alle Benutzer abspeichern, unabhängig davon, welche Rechte sie haben.
Was ZoneAlarm macht, ist mir unbekannt. Ich halte es nicht für notwendig.

 

Vielen Dank deoroller für die ausführliche Antwort.

Die Programminstallation werde ich evtl. in den nächsten Tagen (leider kommt noch Weihnachten dazwischen ) ausprobieren.

Bleibt noch eine Klärung für das 3. Problem (ergänzt am 18.12.06)

Gruß
Andre

 

Ich muss noch mal nachfragen, was genau meinst du mit:

Wessen Sicherheit? Oder anders gefragt, was genau willst du vor was schützen?

 

Dankeschön, dass Ihr so kurz vor Weihnachten Zeit für die Beantwortung fandet.

Hascheff scheint der Fragestellung recht nahe zu kommen. Bloß ich kann nicht einschätzen, welche Konsequenzen ein Adminkonto ohne Passwortschutz beim Win-Start haben könnte.
Noch einmal kurz die Zusammenfassung:
Es wurden 2 Konten eingerichtet, ein Admin (Passwort wurde bis jetzt nicht vergeben) und ein Internetbenutzer als „eingeschr. B.“ mit Passwortabfrage beim Start.

Kann ein schädliches Programm, welches unter dem Konto „eingeschränkter Benutzer“ gestartet wurde oder ein unerlaubter Zugriff aus dem Internet (wenn unter diesem Konto gesurft wird) das Betriebssystem schädigen oder einen Prozess mit Administrator-Rechten starten.

Gruß
Andre

 

@ Hascheff
Ich hielt das nicht für falsch, wollte aber erst eine "Bestätigung" für deine Interpretation vom TO abwarten.


@ atomteilchen
Ja, es ist möglich dass ein Programm das im eingeschränkten Konto gestartet wird Adminrechte erlangt, wenn das Admin-Konto kein Passwort hat.

Davon abgesehen, ist das Setzen eines Benutzerpassworts immer "besser", allein schon um zu verhindern dass ungebetene Gäste vor dem Monitor am System spielen.

 

Vielen Dank THE DOCTOR, Hascheff und deoroller für die gute und ausdauernde Beratung.

Die Installation ist nun abgeschlossen. Vom System wird auch für den „Eingeschränkten Benutzer“ ein Profil mit einem Ordner „Eigene Dateien“ angelegt. Um den Ordner vom Konto Admin nutzen zu können, habe ich statt dessen ein Link auf diesen Ordner gelegt.

Viele Grüße
Andre

 

@TheDoctor

Nein, das geht nicht.Sowas wie runas funktioniert nicht ohne Passwort.