Viele Anwendungen erfordern einen Start mit Administratorrechten. Die Programme, die über den Ausführen-Dialog gestartet werden, können mit einer erweiterten Tastenkombination direkt mit den gewünschten Administrator-Rechten gestartet werden.
Zunächst rufst du mit der Tastenkombination [Windows][R] wie gewohnt das Fenster Ausführen auf und tippst den betreffenden Startbefehl ein (z. B. cmd). Anstatt den Befehl mit [Enter] zu bestätigen, drückst du die Tastenkombination [Strg][Umschalt][Enter].
Dadurch wird das Programm automatisch mit Admin-Rechten gestartet, was du an dem Benutzerkonten-Fenster sieht, das ebenfalls erscheint und bestätigt werden muss.
Adminrechte sollen einen PC vor unbefugten Systemänderungen schützen. Benötigt ein Programm oder eine Änderung Adminrechte, so wird lediglich eine Sicherheitsmeldung mit einfacher Ja/Nein-Abfrage eingeblendet. Diese Abfrage ist mehr Witz als Sicherheitsfeature und kann leicht ausgehebelt werden. Hier muss die Sicherheit verschärft werden.
Wie gefährlich die Windows-Standardeinstellung für Adminrechte ist, beweisen viele Angriffe durch Rubber Ducky,Bad USB und andere Schadsoftware. Hier geben sich USB-Sticks, die von potentiellen Opfern „zufällig“ gefunden werden, als Tastatur aus und schleusen in sekundenbruchteilen Malware auf den Rechner.
Windows kann aber den Zutritt für Rubber Ducky und Konsorten aber auch versperren. Dazu ist eine Änderung im Registrierungseditor notwendig, die dafür sorgt, dass die Nutzung von Admin-Rechten nur durch die Eingabe des Admin-Passworts möglich ist.
Öffne ihn dem Befehl regedit über das Fenster Ausführen, dass mit der Tastenkombination [Windows][R] geöffnet wird.
Dann navigierst du in der Registry zu folgendem Eintrag:
Im Ordner System öffnest du dann den Eintrag ConsentPromptBehaviorAdmin mit einem Doppelklick. Ändere den Wert von 5 auf 1 und klicke auf OK um den neuen Wert zu aktivieren. Ein Computer-Neustart ist nicht erforderlich. Zudem gilt diese Änderung für alle auf dem betreffenden Computer vorhandenen Benutzerkonten gleichermaßen.
Die einfache Ja/Nein-Bestätigung ist ab sofort deaktiviert. Stattdessen muss nun das Admin-Passwort eingetippt werden. Und das dürfte in einem „zufällig gefundenen“ USB-Stick ja nicht vorhanden sein.
Diese Sicherheits-Verschärfung für Admin-Rechte ist ab Windows 7 aufwärts möglich.
Seit langem sind Energiesparpläne ein Teil des Windows Betriebssystems. Sie regulieren den Stromverbrauch und passen die Leistungsfähigkeit des Rechners entsprechend an. Seit dem letzten großen Update für Windows 10 (Redstone 4) lässt sich ein weiterer Energiesparplan auswählen, der früher nur Servern und Workstations zur Verfügung stand.
Standardmäßig ist bei Computern (im Netzbetrieb) der Energiesparplan Ausbalanciert aktiviert. Es ist der Mittelweg zwischen Stromsparen und einer angemessenen Rechenleistung.
Um eine höhere Leistung (oder niedrigeren Stromverbrauch) zu erreichen, muss man den Energiesparplan manuell auf Höchstleistung oder Energiesparmodus ändern.
Die Energiesparpläne findest du in den Windows-Einstellungen über System | Netzbetrieb und Energiesparen | Zusätzliche Energieeinstellungen.
Wer aus seinem Rechner ein Maximum an Leistung herausholen möchte, der benötigt den Energiesparplan Ultimative Leistung. Dieser muss aber erst über die Eingabeaufforderung mit Adminstratorrechten aktiviert werden.
Rufe die Eingabeaufforderung über das Taskleistensuchfeld auf und starte sie mit Administratorrechten. Im Fenster der Kommandozeile tippst du folgenden Befehl ein und bestätigst ihn mit [Eingabe]:
Die Person, die bei WhatsApp eine Gruppe erstellt, ist automatisch der Administrator. Die Admins können als einzige entscheiden, wer beitreten darf oder wer rausfliegt. Allerdings kannst du als Administrator auch noch einen zusätzlichen Co-Admin bestimmen.
iPhone
Rufe den betreffenden WhatsApp-Gruppenchat auf und tippe auf den Gruppennamen. In der Teilnehmer-Liste tippst du auf den gewünschten Namen, der Co-Admin werden soll und wähle im Kontextmenü die Option Zum Admin machen aus.
Android
Bei Android-Smartphones ist die Vorgehensweise ähnlich. Öffne den betreffenden WhatsApp-Gruppenchat und tippe oben auf den Gruppennamen um die Gruppeninfos aufzurufen.
Suche dir den Teilnehmer aus, der Co-Admin werden soll, tippe auf diesen und halte ihn so lange, bis das Kontextmenü erscheint. Ein weiterer Tipp auf die Option Zum Gruppenadmin machen schließt den Vorgang ab.
Bei Computern die von mehreren Personen genutzt werden, kann man die Sitzung eines angemeldeten Benutzerkontos mit wenigen Klicks und ohne Passwort übernehmen.
Sogar die Übernahme von Benutzerkonten mit Administratorrechten ist möglich. Alles was man dazu benötigt, ist eine Eingabeaufforderung mit System-Rechten.
Eingabeaufforderung mit Systemrechten
Ein „schnödes“ Admin-Konto reicht hierfür nur dann aus, wenn das Kennwort des Kontos, das übernommen werden soll, bekannt ist.
Die Freischaltung von Systemrechten ist nur mit einem zusätzlichen Tool möglich. Wie das funktioniert, kannst du in diesem Artikel nachlesen.
Angemeldete Nutzer identifizieren
Nachdem du eine Verknüpfung der Kommando-Zeile mit Systemrechten auf deinem Desktop erstellt hast, öffnest du sie und prüfst mit dem Befehl query user welche Benutzer auf dem Rechner angemeldet sind.
In der Spalte Benutzername werden nun alle angemeldeten Konten angezeigt. Der Eintrag in der ersten Reihe mit dem Sitzungsnamen console ist dein eigener. An diesen Eintrag wird das gekaperte Konto gesendet.
Sitzung kapern
Für das Hijacking benötigst du neben dem Übernahmebefehl, die zugehörige ID-Nummer (z. B. Nummer 4) des betreffenden Kontos.
Der komplette Befehl zur Übernahme lautet wie folgt:
tscon 4 /dest:console
Die Zahl 4 ist variabel und steht für die ID-Nummer des Kontos, das übernommen werden soll. Der Parameter dest: bezeichnet dein Konto, an das der Zugriff gesendet wird.
Nachdem der Kaper-Befehl mit [Enter] bestätigt wurde, erhältst du nun den Zugriff auf das gewünschte Benutzerkonto. Hier kannst du nun zum Beispiel die Einstellungen ändern und auch alle anderen Daten einsehen oder bearbeiten.
Hinweis:
Wir möchten an dieser Stelle darauf hinweisen, dass die Kaperung eines Benutzerkontos ohne Wissen des Nutzers strafrechtliche Folgen nach sich ziehen kann. Es ist vielmehr ein Fernwartungstool und ist auch nur als solches anzuwenden.
Der Befehl funktioniert mit allen Betriebssystemen ab Windows XP und Windows Server.
Ein wesentlicher Bestandteil des Schutzmechanismus bei Windows ist die Vergabe unterschiedlicher Rechte. Der einfache Nutzer hat die wenigsten Rechte und ein Account mit Administrator-Rechten besitzt schon sehr viele Befugnisse. Und über dem Administrator steht dann noch der Nutzer System. Um dir Systemrechte zu verschaffen, benötigst du ein kleines Microsoft-Tool, das nicht zusammen mit Windows ausgeliefert wird.
Dieses kleine Tool namens PsExec ist ein Teil der Programmsammlung PsTools, die du dir auf der Webseite von Microsoft kostenlos herunterladen kannst. Nach dem Download der ZIP-Datei entpackst du die Sammlung PsTools in einem beliebigen Verzeichnis.
Bitte beachte beim Einsatz von Systemrechten, dass bei Unachtsamkeit großer Schaden an deinem Rechner entstehen kann. Wir empfehlen daher die Erstellung einer Verknüpfung der Eingabeaufforderung mit Systemrechten, damit nicht jedes Programm automatisch mit Systemrechten ausgeführt wird.
Kommandozeilen-Verknüpfung erstellen
Öffne die Programmsammlung PsTools, markiere mit der rechten Maustaste das Tool PsExec, und klicke dann auf Senden an | Desktop (Verknüpfung erstellen).
Öffne nun die Dialogbox Eigenschaften der neuen Verknüpfung per Rechtsklick-Menü und wechsle in die Registerkarte Verknüpfung. Im Bereich Ziel ergänzt du den Pfad um die Parameter -i -s -d cmd.exe und bestätigst die Änderung mit dem Button Übernehmen. Achte darauf, das diese Ergänzung mit einer Leertaste vom übrigen Pfad getrennt eingegeben wird.
Prinzipiell ist die Verknüpfung mit Systemrechten fertig erstellt und kann verwendet werden. Wenn dir das Icon nicht gefällt, kannst du dir über die Schaltfläche Anderes Symbol ein passenderes Symbol aussuchen.
Abschließend klickst du dann auf den Button Erweitert und aktivierst die Einstellung Als Administrator ausführen. Bestätige alle offenen Dialogfenster mit OK, damit die Verknüpfung auf deinem Desktop erstellt wird.
Systemrechte testen
Um sicher zu gehen, dass die Verknüpfung tatsächlich Systemrechte besitzt, startest du sie mit einem Doppelklick und gibst den Befehl whoami ein, den du mit [Enter] ausführst. Die Bestätigung nt-autorität\system zeigt dir an, dass diese Eingabeaufforderung die gewünschten Systemrechte besitzt.
Alles Programme die über diese Eingabeaufforderung gestartet werden, erhalten nun ebenfalls Systemrechte. Bitte überlege lieber zweimal, ob wirklich alle Rechte notwendig sind.
PsExec ist mit allen Windows Betriebssystemen ab XP und Windows Server 2003 kompatibel.
Tipp
Unter Windows 10 kannst du dir auch eine Eingabeaufforderung mit Systemrechten vor dem Login erstellen, um beispielsweise Viren zu entfernen, die Login und/oder Administratorrechte deaktiviert haben. Wie das funktioniert, erfährst du in diesem Artikel.
Wenn der Registrierungs-Editor deines Windows-Rechners nicht ordnungsgemäß funktioniert, reagiert dein Betriebssystem oft mit der Fehlermeldung, dass die Datei mfc110u.dll fehlt. Mit ein paar Arbeitsschritten hast du sie aber schnell wieder zurück geholt.
Du startest die Eingabeaufforderung über das Suchfeld in der Taskleiste und dem Kontextmenüeintrag Als Administrator ausführen.
Mit Bordmitteln reparieren
Dann tippst du in der Kommandozeile den Befehl sfc /scannow ein und bestätigst ihn mit der Taste [Eingabe]. Das bordeigene Reparatur-Tool System File Checker (sfc) sucht auf deinem Computer nun nach dem Fehler und ersetzt beschädigte oder fehlende Dateien durch zwischengespeicherte Kopien.
Virenbefall ausschließen
Nach dem Reparaturvorgang sollte die Datei dann wieder vorhanden sein. Erhältst du aber weiterhin die Fehlermeldung, dann kann es auch an einem Virus liegen. In diesem Fall solltest du deinen Computer mit einem Anti-Viren-Tool überprüfen. Bei Bedarf kannst du dir hier das Kaspersky Virus Removal Tool kostenlos herunterladen.
Nach dem Virenscan wiederholst du die Prozedur mit sfc /scannow, die dann endlich erfolgreich sein sollte.
Tipp
Auf vielen Webseiten wird die fehlende Datei mfc110u.dll als Download angeboten. Auf diese Angebote solltest du nicht zurückgreifen, da man sich hier (weitere) Viren einfangen könnte. Ist dir eine der Download-Seiten bereits als verlässlich bekannt, dann ist das Risiko sehr viel geringer. Sicherer ist aber die oben genannte Variante.
Der Anmelde-Bildschirm bei Windows 10 enthält in der rechten unteren Ecke Symbole mit zum Ausschalten, Anzeige des Netzwerkes und die Schaltfläche für die erleichterte Bedienung. Letztere kann man durch eine Eingabeaufforderung ersetzen, die mit Systemrechten ausgestattet ist. So kann man beispielsweise Viren viel besser entfernen, die das Login oder die Administratorrechte deaktivieren.
Der Austausch der erleichterten Bedienung durch die Eingabeaufforderung wird über den Registrierungseditor vorgenommen und kann jederzeit wieder rückgängig gemacht werden.
Eingriff in die Registry erforderlich
Die Registry startest du im Dialogfenster Ausführen, das du mit der Tastenkombination [Windows][R] öffnest und hier den Befehl regedit eingibst. Dann navigierst du im Registrierungseditor zu folgendem Schlüssel:
Im Schlüssel Image File Execution Options erstellst du per Rechtsklick und Neu | Schlüssel einen Unterschlüssel mit dem Namen utilman.exe (= erleichterte Bedienung). In utilman.exe klickst du wieder mit der rechten Maustaste in den Anzeigebereich und erstellst mit Neu | Zeichenfolge einen Eintrag namens Debugger.
Öffne mit einem Doppelklick die Zeichenfolge Debugger und tippe dann im Feld Wert den Befehl cmd.exe ein. Bestätige mit OK und führe einen Computer-Neustart durch.
Debugger tauscht beide Tools aus
Wenn du jetzt im Login-Bildschirm auf das Symbol erleichterte Bedienung klickst, dann erscheint an dessen Stelle nun die Eingabeaufforderung.
Testweise kannst du mal den Befehl whoami eingeben und mit [Enter] bestätigen. Das Ergebnis nt-autorität\system zeigt dir an, dass die Eingabeaufforderung Systemrechte besitzt.
Solltest du später an dieser Stelle die Funktionen der erleichterten Bedienung wieder benötigen, dann rufst du in der Registry den oben genannten Pfad auf und löschst einfach den Unterschlüssel utilman.exe. Nach einer Neuanmeldung ist der alte Zustand dann wieder hergestellt.
Gemeinsame Existenz möglich
Möchtest du auf die erleichterte Bedienung nicht ganz verzichten, aber auch die Eingabaufforderung nutzen, dann lässt sich eine einzelne Funktion der erleichterten Bedienung für diesen Zweck „opfern“. Bei Computern ohne Touchscreen, kann man hierbei am ehesten auf die Bildschirmtastatur verzichten. Ohne „Opfer“ geht es leider nicht.
Wenn du bereits den Unterschlüssel utilman.exe erstellt hast, dann lösche ihn zuerst.
Öffne nach obigem Vorbild den Registrierungseditor, navigiere zu dem Schlüssel Image File Execution Options, erstelle den Unterschlüssel osk.exe, und lege darin die Zeichenfolge Debugger (wie oben beschrieben) an.
Nach dem Rechner-Neustart klickst du auf das Icon der erleichterten Bedienung und wählst im Kontextmenü die Option Bildschirmtastatur aus, um die Eingabeaufforderung zu starten.
PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.
Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.
Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.
Windows 64-Bit
Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.
Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.
Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.
Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.
Windows 32-Bit
Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.
Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.
Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.
Einfach aber erfolgreich
Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.
Die Eingabeaufforderung (cmd.exe), ist ein nützliches Tool um Befehle in Windows direkt einzugeben, die Programme starten, Batchdateien ausführen oder andere Funktionen steuert. Grundsätzlich ist die Eingabeaufforderung von jedem Benutzer-Konto ausführbar, jedoch sind für etliche Aufgaben Administratorrechte erforderlich. Damit du aber nicht immer erst das Administrator-Konto starten musst, kann die Kommandozeile auch an die Taskleiste angeheftet werden. Natürlich inklusive der Admin-Rechte.
Im Suchfeld der Taskleiste tippst du zunächst den Begriff Eingabeaufforderung ein. In der Ergebnisliste erscheint der gleichnamige Eintrag, den du per Rechtsklick und dem entsprechenden Kontextmenübefehl direkt an die Taskleiste anheftest.
Im zweiten Schritt klickst du mit der rechten Maustaste auf das Taskleisten-Icon, führst einen weiteren Rechtsklick auf den Eintrag Eingabeaufforderung durch und öffnest (Linksklick) dann die Eigenschaften.
Auf der Registerkarte Verknüpfung klickst du mit der linken Maustaste auf den Button Erweitert und aktivierst im nächsten Dialogfenster die Option Als Administrator ausführen. Bestätige den Vorgang mit OK und speichere die Änderung dann noch mit einem Klick auf Übernehmen und OK.
Ab sofort lässt sich die Kommandozeile jedes Mal über die Taskleistenverknüpfung mit Administratorrechten aufrufen.
Cookie-Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
