zurück | inhalt | weiter

6.1 Benutzer-Konten

6.1.1 account, erstellt Benutzer-Konten

rtcmd account CREDENTIALS [GROUP] ...

Account erstellt einen Benutzer, setzt die Mitgliedschaft und meldet ihn an, um sein Profil zu erzeugen.

CREDENTIALS wird im Standard-Format angegeben.

rtcmd account \\:Hans:uhmrvttkv11kq43t Benutzer

Erstellt ein Benutzer-Konto für Hans und setzt ein sicheres 16-Stelliges Passwort. Hans wird Mitglied der Gruppe 'Benutzer'. Ist das Konto bereits vorhanden, so wird das Passwort und die Mitgliedschaft überprüft und ggf. berichtigt.

Das Account Kommando kann genutzt werden um in kleinen Netzwerken ohne Active-Directory einen Benutzer-Stamm automatisiert auf allen Rechnern bereit zu stellen.

6.1.2 Backup-Service, Dienst für eingeschränkte Benutzer-Konten

Der Backup-Service ist ein Dienst, der beim Reuschtools Setup-Assistenten ausgewählt werden kann. Dieser Dienst hat die Aufgabe auch Benutzern, die keine administrative Rechte haben, Backups zu ermöglichen, die erweiterte Rechte benötigen:

Private-Backup, jeder Benutzer kann ein Backup von einem Ordner erstellen, solange keine darin enthaltene Dateien gerade geöffnet sind. Besonders gestartete Datenbanken haben jedoch ständig geöffnete Dateien. Um diese in einem Zustand zu sicheren, von dem die Datenbank wieder korrekt hergestellt werden kann wird der Windows® Schattenkopierer benötigt. Dieser Dienst erfordert administrative Rechte.

Da manche E-Mail Programme ihre Daten in Datenbanken ablegen und diese Programme oft schon mit der Benutzer-Anmeldung gestartet werden, ist es möglich, dass ein Anwender ohne administrative Rechte seine E-Mails nicht sichern kann.

Wurde der Backup-Service installiert, so übernimmt dieser automatisch das Starten des Schattenkopierers, sodass diesbezüglich keine Probleme mehr zu erwarten sind.

Private-Restore, jeder Benutzer kann einen Ordner mit Private-Restore wiederherstellen, solange keine darin enthaltenen Dateien geöffnet sind. Um geöffnete Dateien wiederherzustellen werden diese in eine Liste eingetragen, die beim nächsten Start des Rechners abgearbeitet wird. Diese Liste kann aber wiederum nur mit administrativen Rechten bearbeitet werden. Auch hier übernimmt der Backup-Service automatisch die Eintragung.

Install-Backup, ein Benutzer mit eingeschränkten Rechten kann kein Backup des Windows®-Systems durchführen. Ist der Backup-Service installiert, so kann der Administrator zusätzlich ein Backup-Passwort vergeben. Mit Hilfe dieses Passwortes können auch Benutzer mit eingeschränkten Rechten das komplette Windows-System sichern. Dabei wird Zugriff auf das lokale System-Konto gewährt. Mit diesem Konto kann nur auf die lokale Festplatte, nicht aber auf das Netzwerk zugegriffen werden.

Install-Restore, angenommen ein Benutzer mit eingeschränkten Rechten erhält ein E-Mail, das sich nach dem öffnen als äußerst verdächtig erweist. Der Benutzer bemerkt, dass sich etwas von selbst installiert und versucht deshalb den Vorgang sofort abzubrechen und das E-Mail zu löschen. Doch das ist schon zu spät. Ein Überwachungs-Trojaner kann sich ohne Probleme auch in ein Benutzer-Konto mit eingeschränkten Rechten installieren.

Der Benutzer hat jetzt ein schlechtes Gewissen und hofft, dass nichts passiert ist. Möglicherweise hat er sein privates E-Mail-Konto während der Arbeitszeit abgerufen, weshalb er versucht diesen Vorfall zu verheimlichen.

Wurde der Backup-Service installiert und ein Backup-Passwort vergeben, so kann der Anwender selbst und ohne Aufsehen den Rechner mit Hilfe von Install-Restore desinfizieren, um so größeren Schaden wie z.B. Industriespionage abzuwenden.

6.1.3 efskey, generiert Schlüssel für das Datei-System

rtcmd efskey CREDENTIALS [-i] [-KEYLENTH] [PFXPASSWROD]

Efs Key generiert bzw. überprüft einen EFS Schlüssel aus dem aktuellen Verzeichnis.

CREDENTIALS wird im Standard-Format angegeben.

Generiert ein EFS-Zertifikat für das angegebene Benutzerkonto. Das Zertifikat wird danach in das aktuelle Verzeichnis exportiert.

rtcmd efskey \\:Hans:uhmrvttkv11kq43t pfxgeheim

Für Hans wird ein Zertifikat erstellt mit dem er seine Dateien EFS-verschlüsseln kann. Das Zertifikat wird anschließend in das aktuelle Verzeichnis unter dem Namen 'Hans.pfx' importiert.

Ist im aktuellen Verzeichnis ein Zertifikat mit dem angegebenen Benutzernamen vorhanden, so wird dieses verwendet.

Achtung, stellen Sie sicher, dass ein Benutzer auf allen Rechnern immer das selbe Zertifikat einsetzt, und dass dieses durch ein sicheres Backup gesichert ist. Ansonsten kann es zu Daten-Verlust kommen.

Leider ist es möglich in ein Benutzer-Konto mehrere EFS-Zertifikate zu importieren. Welches Windows® für die Verschlüsselung verwendet ist dann nicht mehr eindeutig. Aus diesem Grund sollten alle Benutzer-Konten mit einem gesicherten Zertifikat ausgestattet werden.

Das Kommando 'efskey' stellt sicher, dass nur ein Zertifikat zur Verfügung steht. Entspricht dies nicht dem im aktuellen Pfad bereitgestellten, so wird mit einer Fehlermeldung abgebrochen.

Selbstverständlich sollten alle Scripts, die folgende Kommandos mit der Angabe Passworten nutzen, selbst EFS verschlüsselt und somit nur vom Administrator lesbar sein:

rtcmd account
rtcmd efskey
rtcmd profiler
rtcmd encrypt
rtcmd decrypt

Nutzen Sie Private-Backup und Private-Restore um verschlüsselte Ordner mit Scripts und Zertifikaten vertraulich auf andere Rechner zu übertragen.

Vorteilhaft ist ein Backup im RAW-Format. Demarkieren Sie hierzu im Assistenten die Option 'EFS-Verschlüsselung'. Wenn nicht der Haupt-Ordner sondern nur ein Unter-Ordner als EFS-verschlüsselt markiert ist kann die verschlüsselte Wiederherstellung auch so auf Windows® Home Versionen durchgeführt werden.

6.1.4 password, generiert Passworte

rtcmd password [NUMBER]

Password generiert zufällige sichere Passworte aus verwechslungsfreien Buchstaben.

NUMBER gibt an, wie viele 16-stellige Passworte generiert werden sollen. Wird NUMBER weggelassen, so werden 100 Passworte generiert.

Die Zeichenauswahl für Passwortzeichen ist so gewählt, dass Verwechslungen ausgeschlossen sind. Es werden keine Großbuchstaben verwendet, um eine sehr schnelle Passworteingabe zu ermöglichen.

123456789abcdefghklmnpqrstuvwxyz"

Ein Zeichen entspricht 5 Bit. Ein 16-stelliges Passwort somit aus 80 Bit. Um ein 16-stelliges Passwort zu erraten, muss ein Angreifer bis zu 1.208.925.819.614.629.174.706.176 verschiedene Passworte überprüfen. Ein gutes Passwortknackprogramm kann pro Sekunde ca. 10 Mio. Passworte ausprobieren. Das Erraten des Passwortes dauert somit im Durchschnitt 1.943.360.692 Jahre.

start rtcmd password

Wird vor dem Kommando der Start Befehl eingeben, dann werden die generierten Passworte in einem Dos-Fenster angezeigt und nicht protokolliert.

Ein Windows® Benutzerpasswort, das auch für die Sicherheit von EFS entscheidend ist, muss aus mindestens 15 Zeichen bestehen! Ein 12-stellige Zufallspasswort kann dazu mit 3 gleichen Buchstaben verlängert werden. Siehe hierzu Microsoft®, Hilfe und Support, Artikel 299656, Methode 3:

So verhindern Sie, dass Windows LAN Manager Hashwerte Ihres Kennworts in Active Directory und der lokalen SAM-Datenbank speichert.

So funktioniert der Zufallsgenerator:

  • Die hochauflösende Uhr des Computers (genauer als eine Millionstel Sekunde) wird 32768 mal abgefragt und die unteren 32 Bit werden gespeichert.
  • Die so gewonnenen Daten werden zipkomprimiert.
  • Aus den komprimierten Daten wird ein 32 Bit CRC Wert errechnet.
  • Aus dem CRC Wert werden 4 Stellen eines Passwortes errechnet.

6.1.5 profiler, verschiebt Ordner für regelmäßige Backups

rtcmd profiler [CREDENTIALS] [-nd] [SOURCE][*] [TARGET]

Profiler ist ein Werkzeug zum Verschieben wichtiger Ordnern z.B. nach 'Eigene Dateien'.

CREDENTIALS wird im Standard-Format angegeben.

Mit dem Profiler kann beim Einrichten des Windows® Systems ein persönlicher Daten-Ordner geschnürt werden. Dieser Daten-Ordner ermöglicht es zu jeder Zeit von einem Rechner zu einem anderen zu wechseln, und dort alle Daten verfügbar zu haben um sofort weiterarbeiten zu können.

Ein typisches Szenario ist der wechselseitige Einsatz eines PCs am Arbeitsplatz und der eines Notebooks für die Reise. Ebenso muss an den plötzlichen Ausfall eines Rechners gedacht werden, der im Notfall ohne Zeitverlust zu ersetzen ist. Dabei sollte ein Wechsel auch zwischen verschiedenen Sprach- und Systemversionen von Windows® ohne Probleme möglich sein.

Alle Office Dokumente können vom Anwender ohne Konfiguration innerhalb des Daten-Ordners gespeichert werden. Dieser wird regelmäßig mit Private-Backup gesichert wodurch jederzeit frühere Versionen eines Dokuments oder Emails gesichtet bzw. wiederhergestellt werden können.

Oft sind Windows®-Systeme so konfiguriert, dass jeweils das gesamte Benutzer-Profil (C:\Benutzer\hans) für ein Backup ausgewählt wird.

Nachteile durch ein Backup des gesamten Benutzer-Profils
Ein Benutzer-Profil kann komplett installierte Trojaner enthalten, die so auf einen anderen Rechner übertragen werden werden.
Das Benutzer-Profil enthält temporäre Dateien wie z.B. die besuchten Internet-Seiten. Solche Daten können gigantische (Gigabyte) Ausmaße annehmen und müssen nicht gesichert werden.
Der Umzug auf ein anderes System ist nicht ohne Probleme möglich.

Deshalb lohnt sich der einmalige Konfigurations-Aufwand für einen Daten-Ordner.

Funktion: Der Profiler verschiebt die oder den Ordner in den ausgewählten Daten-Ordner. Anstelle des Original-Ordners wird eine Verknüpfung (Reparse-Point) gesetzt. Dadurch sind keine weiteren Einstellungen an dem jeweiligen Programm notwendig. Dieses glaubt weiterhin seine Daten in den Original-Ordner zu schreiben, schreibt aber in Wirklichkeit in den Datenordner. Der Profiler kann mehrfach aufgerufen werden ohne dass es zum Datenverlust im Datenordner kommt. Ist eine Datei im Datenordner bereits vorhanden, so wird diese nicht ersetzt.

Der Profiler wird im Arbeits-Alltag nicht benötigt. Deshalb gibt es beim Reuschtools Setup Assistenten keine entsprechende Option. Der Profiler kann von einer Console gestartet werden. Hier sind mehrere Szenarien:

- Typische Ordner verschieben: Oft ist es problematisch herauszufinden, wo genau manche Programme ihre Daten wie z.B. Emails abspeichern. Deshalb kann der Profiler von einer beliebigen Console (z.B. Start\Programme\Reuschtools\Console) für typische Ordner aufgerufen werden:

rtcmd profiler *

Der Assistent erscheint und der Anwender kann aus verschiedenen Ordnern auswählen:

Typische Ordner mit wichtigen Daten
Favoriten
Desktop
Windows Mail
Kontakte
Office Outlook
Skype
Kalender

- ausgewählte Ordner verschieben: Ist ein wichtiger Ordner nicht in obiger Tabelle enthalten, so muss dieser zuerst gefunden und dann manuell ausgewählt werden.

Wurde beim Reuschtools Setup die Console ausgewählt, so klicken Sie mit der rechten Maus-Taste auf den wichtigen Ordner und wählen Console. Um den Assistenten zu starten genügt das Kommando:

rtcmd profiler

Um den Vorgang noch einfacher zu gestalten, kann ein Eintrag im Kontext-Menü von Ordnern ein:

Scripts\UserAccounts\ProfilerOn

bzw. ausgeschaltet werden.

Scripts\UserAccounts\ProfilerOff

- Fremde Benutzer konfigurieren: Der Profiler eignet sich auch für die automatisierte Benutzerkonfiguration in kleinen Netzwerken ohne Active-Directory. Werden mit dem Start des Profilers Anmeldedaten (CREDENTIALS) angegeben, kann der Assistent für einen fremden Benutzer gestartet werden:

rtcmd profiler \\:Hans *

Wird ein wichtiger Ordner (SOURCE) und ein Daten-Ordner (TARGET) in der Kommandozeile angegeben, arbeitet der Profiler ohne Interaktion. Ein solches Kommando kann in einem Benutzer-Konfigurations-Scrip genutzt werden, das auf mehreren Rechnern eines kleinen Netzwerkes ausgeführt wird:

rtcmd profiler \\:Hans:%PASSWORD% *USR\Hans\Contacts *DOC\data

Für den Profiler stehen zusätzliche benutzerabhängige Variablen zur Verfügung:

Variable Beispiel
*Home C:\Users\Hans
*Favorites C:\Users\Hans\Favoriten
*Desktop C:\Users\Hans\Desktop
*AppData C:\Users\Hans\AppData\Roaming
*LocAppData C:\Users\Hans\AppData\Local

Obiges Kommando kann damit auch so geschrieben werden:

rtcmd profiler \\:Hans:%PASSWORD% *HOME\Contacts *DOC\data

- Temporären Ordner von einem Backup ausschließen:

Sollen in einem Ordner temporäre Dateien von einem Backup ausgeschlossen werden, kann der Profiler auch in umgekehrter Richtung genutzt werden. Verschieben Sie den Ordner, der nicht in ein Backup integriert werden soll, in einen temporären Ordner außerhalb ihres Windows® z.B. nach C:\temp.

Um den Assistenten zu verwenden kann wieder das Kommando:

rtcmd profiler

aufgerufen werden, wenn der Pfad auf den Quellordner zeigt.

No Delay (-nd):

Wird ein Ordner verschoben, dessen Dateien gerade benutzt werden, so wird der Vorgang normalerweise bei der nächsten Benutzer-Anmeldung durchgeführt. Die -nd Option verhindert dies und führt zum Abbruch und zur Fehlermeldung des Profilers.

6.1.6 Zeitsparkasse, Hilfsprogramm gegen PC-Abusus

Problemstellung, die Zeitsparkasse wurde für geplagte Eltern entwickelt, deren Sprösslinge zu viel Zeit am PC und zu wenig mit Hausaufgaben oder anderen Pflichten verbringen. Auch wenn sich das Problem mehr und mehr auf den mobilen Bereich verlagert bleibt doch der PC mit Chat und Spielen in vielen Familien relevant.

Andere Systeme, wie z.B. die Begrenzung der täglichen Computer-Zeit haben sich in der Praxis nicht ausreichend bewährt. Besonders die Beschränkung der täglichen Zeit führt dazu, dass Spiel oder Arbeit unterbrochen werden, um die vorhandene Zeit auszunutzen, da diese nicht auf den nächsten Tag aufgehoben werden kann. Somit wird ausgerechnet das erreicht, was eigentlich vermieden werden soll: Das Kind oder der Jugendliche richtet seine Zeit-Planung weitgehend nach dem Medien-Konsum.

Vor diesem Hintergrund wurde das Konzept der Zeitsparkasse entworfen und ausgiebig in der Praxis getestet. Die Zeitsparkasse spart jeden Tag automatisch die vorgegebene Computerzeit, egal ob sich der Benutzer anmeldet oder nicht.

So kann der Anwender z.B. seine Computerzeit auf das Wochenende aufsparen um dann ausgeprägtere Computersitzungen vorzunehmen. Ebenso können Geschwister, von denen jeder ein eigenes Zeitkonto besitzt, ihre Zeit gemeinsam nutzen, um z.B. einen Filme-Abend am PC zu organisieren.

Weitere Erfahrungen wurden mit der Beschränkung von negativen oder schädlichen Inhalten aus dem Internet gemacht. Jegliche Beschränkung irgendwelcher Inhalte führte letztendlich zum Reiz des Verbotenen. Ist eine Seite auf dem häuslichen PC gesperrt so versuchen Kinder und Jugendliche diese vom PC eines Freundes zu besuchen. Mit der Zeitsparkasse wird die Gesamtzeit vor dem PC eingeschränkt, was dazu führt, dass der Anwender selbst lernt zu entscheiden, welche Inhalte wertvoll und sinnvoll für ihn sind.

Funktion, die Zeitsparkasse wird automatisch bei der Anmeldung eines Benutzers gestartet. Kurz nach der Anmeldung erscheint ein Fenster das anzeigt, wie viel Zeit der Benutzer angespart hat. In der Startleiste erscheint ein Icon über das der Benutzer die verbleibende Zeit überprüfen kann. Ist weniger als 1. Minute auf dem Zeitkonto erscheint ein Warnfenster. Nachdem die Zeit abgelaufen ist wird der Benutzer entweder abgemeldet oder der PC ausgeschaltet. Die Zeitsparkasse erhebt nicht den Anspruch einbruchssicher zu sein. Ein Computer-Experte könnte sie leicht manipulieren oder deaktivieren. Deshalb sollte das notwendige Vertrauen zum Anwendender vorhanden und um Verständnis und Akzeptanz einer eingeschränkten Computer-Nutzung geworben werden. Sprechen Sie mit Ihrem Kind vor der Anschaffung seines eigenen PCs über das Thema Medienkompetenz und die Einrichtung einer Zeitsparkasse.

Kosten, die Zeitsparkasse ist im Reuschtools Komplettpaket enthalten. Reuschtools ist nicht kostenlos. Beim Einsatz der Zeitsparkasse gibt es jedoch keinerlei Einschränkung. Auch nach dem Ablauf der 6 monatigen Testperiode kann die Zeitsparkasse weiterhin ohne gültige Lizenz genutzt werden.

Installation, starten Sie einfach das Installations-Programm auf der Reuschtools-Download-Seite. Bei den Installations-Optionen markieren Sie ausschließlich das Kästchen 'Scripting'. Nach dem Abschluss der Installation öffnen Sie den Ordner 'Scripts' (Start->Programme->Reuschtools->Scripts). Die Zeitsparkasse wird mit dem sich selbst erklärenden Script 'UserAccount\Zeitsparkasse.cmd' eingerichtet.

zurück | inhalt | weiter


Handbuch RT_3.91