Ausführen als Mitglied der Gruppe „Benutzer“
Dieses Thema zeigt, wie Sie durch Konfigurieren von Windows-Benutzerkonten als ein Mitglied der Gruppe Benutzer (im Gegensatz zur Gruppe Administratoren) die Sicherheit erhöhen und die Wahrscheinlichkeit einer Infektion mit bösartigem Code verringern.
Sicherheitsrisiken
Die Ausführung als Administrator macht Ihr System anfällig für verschiedene Arten von Sicherheitsangriffen, z. B. "Trojanisches Pferd" und "Pufferüberlauf". Der Zugriff auf eine Internetwebsite als Administrator kann dem System schaden, da bösartiger Code, der von einer Internetwebsite heruntergeladen wird, Ihren Computer beeinträchtigen kann. Bei einem erfolgreichen Angriff erbt der Angreifer die Administratorrechte und kann anschließend z. B. alle Dateien löschen, die Festplatte formatieren oder ein neues Benutzerkonto mit Administratorzugriff erstellen.
Benutzergruppen ohne Administratorrechte
Die von Entwicklern normalerweise verwendeten Windows-Benutzerkonten sollten entweder der Gruppe Benutzer oder der Gruppe Hauptbenutzer hinzugefügt werden. Entwickler sollten zusätzlich der Debuggergruppe hinzugefügt werden. Als Mitglied der Gruppe Benutzer können Sie Routineaufgaben ausführen, z. B. Programme ausführen und Internetsites besuchen, ohne dabei den Computer unnötigen Sicherheitsrisiken auszusetzen. Als Mitglied der Gruppe Hauptbenutzer können Sie darüber hinaus weitere Aufgaben ausführen, z. B. das Installieren von Anwendungen, die Installation eines Druckers und einen Großteil der Operationen der Systemsteuerung. Wenn Sie Verwaltungsaufgaben wie die Aktualisierung des Betriebssystems oder die Konfiguration von Systemparametern ausführen müssen, sollten Sie sich nur solange als Administrator anmelden, wie es für die Ausführung der Verwaltungsaufgabe erforderlich ist. Alternativ kann der Befehl "Windows runas " verwendet werden, um bestimmte Anwendungen mit Administratorzugriff zu starten.
Sicherheitsrisiken für Kunden
Insbesondere für Entwickler ist es wichtig, nicht Mitglied der Gruppe Administratoren zu sein. Abgesehen vom Schutz der Entwicklungscomputer werden Entwickler auf diese Weise daran gehindert, unbeabsichtigt Anwendungscode zu schreiben, für dessen spätere Ausführung die Kunden Mitglieder der Gruppe Administratoren sein müssen. Wenn bei der Entwicklung Code eingeführt wird, der Administratorzugriff erfordert, schlägt die Ausführung des Codes zur Laufzeit fehl, und Sie werden in einer Warnung darauf hingewiesen, dass die Kunden für die Fortführung der Anwendung als Administratoren angemeldet sein müssen.
Code, der Administratorrechte erfordert
Das Ausführen von bestimmtem Code erfordert Administratorzugriff. Nach Möglichkeit sollten Sie Alternativen für diesen Code finden. Beispiele für Codeoperationen, die Administratorzugriff erfordern:
Schreiben in geschützte Bereiche des Dateisystems, z. B. in das Verzeichnis Windows oder das Verzeichnis Programme
Schreiben in geschützte Bereiche der Registrierung, z. B. HKEY_LOCAL_MACHINE
Installieren von Assemblys im globalen Assemblycache (GAC)
Im Allgemeinen sollten diese Aktionen auf Anwendungsinstallationsprogramme beschränkt werden. Auf diese Weise kann der Benutzer den Administratorstatus nur vorübergehend verwenden.
Debuggen
Sie können jede Anwendung, die Sie innerhalb von Visual Studio starten (systemeigen oder nicht verwaltet), als Benutzer ohne Administratorrechte debuggen, indem Sie Mitglied der Debuggergruppe werden. Dies schließt die Möglichkeit ein, sich an eine laufende Anwendung anzuhängen (mit dem Befehl An den Prozess anhängen). Für das Debuggen von systemeigenen oder verwalteten Anwendungen, die von einem anderen Benutzer gestartet wurden, müssen Sie hingegen Mitglied der Gruppe Administratoren sein.
Siehe auch
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für