ILOVEYOU: Windows NT/2000 richtig absichern

Windows 2000 und NT haben Bugs bei der Dateitypen-Verwaltung. Das Bundesamt für Sicherheit in der Informationstechnik hat ein Fehlverhalten in Windows NT 4 (SP6a) festgestellt: Wenn ein Anwender ohne Administratorrechte in den Ordneroptionen die Verknüpfung des Dateityps ".vbs" mit dem Windows Scripting Host entfernt, erhält er zwar keine Fehlermeldung und der Eintrag scheint auch gelöscht zu sein. Die Verknüpfung bleibt aber aktiv und ist beim nächsten Öffnen der Ordneroptionen auch wieder sichtbar. Nur Administratoren können die Dateierweiterungen ".vbs" und ".vbe" dauerhaft vom Windows Scripting Host trennen, um den riskanten Start solcher Skripte durch unachtsame Benutzer zu unterbinden. Die Sicherheitsinformationen für Registrierungsinformationen lasen sich mit regedt32 (einem speziellen Registry-Editor für Windows NT/2000) prüfen und ändern.

c't-Tests mit einem deutschen Windows-2000-System lieferten abstruse Ergebnisse: Jeder Hauptbenutzer kann über die Registry für das gesamte System die Assoziation von .vbs zum Scripting Host dauerhaft entfernen. Ein Umlenken von .vbe auf den Texteditor Notepad funktionierte hingegen nur für den Benutzer, der die Änderungen durchführte – für andere Accounts war dieser Dateityp weiterhin mit dem Scripting Host verknüpft. Das testweise Löschen der Assoziation von .txt auf den Notepad gelang zwar (der Eintrag war dauerhaft und für alle Benutzer entfernt), hatte aber keine Wirkung: .txt-Dateien wurden weiterhin im Notepad gestartet. Erst wenn ein beliebiger Hauptbenutzer eine neue (leere) Assoziation anlegte, blieben Textdateien für alle Anwender unverknüpft.

Die Sicherheitseinstellungen der Registry-Keys zeigten die Löschberechtigung durch Hauptbenutzer erst in der "erweiterten" Darstellung; die einfache Anzeige bestätigt lediglich, dass Hauptbenutzer Lesen dürfen, aber keinen Vollzugriff haben. Offenbar arbeitet Windows 2000 nur teilweise mit einem benutzerspezifischen Satz von Assoziationen, die sich aber nicht benutzerspezifisch löschen lassen (zumindest nicht über die Ordneroptionen). Darüber hinaus scheinen für manche Dateierweiterungen an anderer Stelle zusätzliche Informationen abgelegt zu sein, sodass Windows auch ohne eine Verknüpfung in den Ordneroptionen weiß, welches Programm für .txt zuständig ist. Dieselbe Information scheint für das Wiederherstellen geänderter Einträge zur Verfügung zu stehen.

Ein Bug am Rande: Sobald man eine Dateierweiterung auf eine andere Anwendung registriert, ändert Windows den Erweitert-Knopf in Wiederherstellen. Danach ist es nicht mehr möglich, verschiedene Aktionen für das Kontextmenü (öffnen, drucken, usw.) einzugeben. (nl)