Windows 10 administrator account gebruiken

Marco den Teuling
0

Werken met een beperkt account is veiliger, maar soms is het handiger of zelfs nodig om een Windows 10 administrator account te gebruiken. We hebben een aantal vragen en antwoorden verzameld rond het gebruik van een Windows 10 administrator account.

Ben ik nou administrator of niet?

Ik heb in verschillende systeemmappen geen schrijftoegang, hoewel mijn gebruikersaccount wel lid is van de groep Administrators. Hoe komt dat?

Dat komt door het Gebruikersaccountbeheer. In het Engels heet dit ‘User Account Control’ en de bijbehorende afkorting UAC kom je dan ook vaak tegen als het over dit onderwerp gaat. UAC zorgt ervoor dat zelfs bij een account met administratorrechten elk proces alleen met beperkte rechten draait.

Om een programma zodanig te starten dat het wel met beheerdersrechten werkt, moet je er met de rechtermuisknop op klikken en in het snelmenu ‘Als administrator uitvoeren’ selecteren. Als administrator hoef je bij de bevestigingsvensters van Gebruikersaccountbeheer alleen op ‘Ja’ te klikken. Gebruikers die geen administratorrechten hebben moeten de naam en het wachtwoord van een administratoraccount invoeren.

Windows 10 administrator programma starten als

Ook als je een account gebruikt met administratorrechten, starten programma’s normaliter met beperkte rechten. Als een programma echt administratorrechten nodig heeft, regel je dat via het snelmenu.

Het nut van UAC

Waar is Gebruikersaccountbeheer nou eigenlijk goed voor?

Er wordt expliciet toestemming van de gebruiker gevraagd als een programma probeert te starten met administratorrechten of iets wil wijzigen aan het systeem waar die rechten voor nodig zijn. Het dient als een soort waarschuwingsmechanisme. Dat kan irriteren, zeker als je zelf degene bent die een programma wilt starten. Maar het is wel zinvol als zo’n vraag opeens vanuit het niets verschijnt. Dan weet je dat er misschien iets verkeerd zit.

Zo goed beschermt UAC

Zorgt Gebruikersaccountbeheer wel voor een goede bescherming?

Nee, in de verste verte niet. UAC kan je wel waarschuwen als een proces zichzelf extra rechten probeert te verschaffen, maar dat is het dan ook.

Het kan dus hooguit een onderdeeltje van een veiligheidsconcept zijn. Windows is helaas echter zo lek als een mandje, omdat malware zichzelf ook zonder administrator­rechten in een draaiend systeem kan nestelen, zoals we eerder in c’t magazine beschreven.

Dat kun je alleen verhinderen als je het starten van ongewenste programma’s onmogelijk maakt, bijvoorbeeld met de c’t-tool Restric’tor. Toegangsrechten helpen ook niet als een aanvaller fysieke toegang tot je pc heeft. In dat geval kun je je gegevens alleen beschermen door ze te versleutelen. Een overzicht van welke beschermingsmaatregelen nu eigenlijk waartegen helpen vind je in c’t magazine.

Welke beveiligingsmaatregel waartegen helpt lees je in c't jan-feb/2018

UAC gekraakt?

Ik heb gehoord dat malware erin is geslaagd om Gebruikersaccount­beheer te omzeilen. Klopt dat?

Ja en nee. Voor het oorspronkelijke Gebruikersaccountbeheer zoals dat in Vista zat, zijn geen lekken bekend. Door al het geklaag van gebruikers over de vele keren ‘Uw toestemming is nodig …’ heeft Microsoft het mechanisme vanaf Windows 7 afgezwakt. Gebruikers worden niet meer in elke situatie om toestemming gevraagd, maar wel in de meeste gevallen. Er zijn enkele uitzonderingen, zoals voor Eventvwr.exe, het systeemprogramma voor logboekgebeurtenissen. Dat start Windows gewoon met administratorrechten. Juist dat soort uitzonderingen kunnen door malware met succes worden misbruikt. Bij Logboeken wordt er bijvoorbeeld een geïnfecteerd *.msc-bestand gebruikt.

Je kunt dat veiligheidsrisico echter makkelijk dichten. Druk op de Windows-toets, typ de drie letters ‘UAC’ in en druk op Enter. Schuif in het dialoogvenster de regelaar helemaal naar boven. UAC beschermt dan net zo goed als bij Vista. Je krijgt gelukkig toch iets minder vragen, onder andere omdat Microsoft de extra herhalingen heeft weggelaten (‘Doorgaan’, ‘Toch doorgaan’, ‘Uw toestemming is nodig om te kunnen doorgaan’).

Gebruiker in plaats van administrator

Vanaf Windows XP heb ik mezelf aangeleerd om voor de veiligheid niet zelf een administratoraccount te gebruiken, maar alleen te werken vanuit een account met beperkte rechten, wat dankzij het c’t-script MaakMijAdmin.cmd goed te doen was. Is dat met Gebruikersaccountbeheer nog steeds zinvol?

Bespaar jezelf de moeite. Het kan geen kwaad, maar als je de UAC-schuifregelaar zo hoog mogelijk hebt ingesteld, gedraagt een administratoraccount zich vergelijkbaar met een gewoon account met beperkte rechten.

Als je verhoogde toegangsrechten moet hebben, gaat dat alleen veel makkelijker omdat je enkel op een knop hoeft te klikken.

Wachtwoord of Ja?

Gebruikersaccountbeheer wil bij een vraag om bevestiging alleen weten of een gebruiker toestemt. Zou het niet veel veiliger zijn als in plaats daarvan naar een wachtwoord wordt gevraagd?

Als een gebruiker zijn pc toch al als enige gebruikt, is steeds laten intypen van het wachtwoord zelfs minder veilig. Een keylogger kan de invoer wel niet onderscheppen omdat dat in een aparte afgeschermde modus gebeurt (‘secure desktop’), maar malware kan het uiterlijk van het dialoogvenster nabootsen.

Als de gebruiker in het nepvenster dan zijn wachtwoord zou intypen, heeft de malware uiteindelijk gewonnen. Met het laten aanklikken van een knop kan malware echter niets.

Doorlezen is gratis, maar eerst even dit:

Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

Bekijk de abonnementen   Lees eerst verder

Administratortoetsen­combinatie

Kan ik programma’s alleen starten met verhoogde toegangsrechten door er met rechts op te klikken en ‘Als administrator uitvoeren’ in het snelmenu te kiezen, of kan dat ook anders?

Een alternatief is het indrukken van de toetsencombinatie Ctrl+Alt terwijl je dubbelklikt op het programmapictogram. Dat werkt ook voor programma’s die zijn vastgemaakt aan de taakbalk. Als het pictogram al is geselecteerd, kun je de combinatie Ctrl+Alt+Enter gebruiken.

Dat werkt bijna overal, dus niet alleen in het startmenu, maar ook bij resultaten van zoekacties via het startmenu en op het bureaublad. De enige uitzondering is het dialoogvenster Uitvoeren, dat je oproept met Windows+R. Waarom het daar niet werkt, is bij ons niet bekend.

Verkenner starten als administrator

Ik heb Verkenner via het snelmenu gestart als administrator, maar toch mag ik niet schrijven in systeemmappen.

Je kunt via het snelmenu programma’s alleen met verhoogde rechten starten als ze op dat moment nog niet actief zijn. Verkenner is echter al actief als shell (bureau­blad, startmenu, taakbalk), maar dan met beperkte toegangsrechten.

Als je Verkenner zogenaamd als administrator start, open je in werkelijkheid alleen een extra venster van het actieve proces.

Snel even als administrator

Aangezien ik Verkenner niet even snel als administrator kan starten, hoe kan ik dan toch een bestand aanmaken in de Windows-map?

Als het om eenvoudige handelingen gaat, kun je als noodoplossing uit de voeten met het Openen-dialoogvenster van een programma dat je als admini­strator gestart hebt, bijvoorbeeld Kladblok. Wijzig in dat venster het bestandsfilter van ‘Tekstdocumenten (*.txt)’ in ‘Alle bestanden’.

Bewerkingen als kopiëren, knippen, plakken en hernoemen kun je uitvoeren via het snelmenu. De gebruikelijke toetsencombinaties (zoals Ctrl+V) werken ook.

Windows 10 administrator bestand map Verkenner

Het Openen-venster van een als admini­strator gestart Kladblok is een noodmiddel om even iets met administratorrechten te doen wat via Verkenner niet lukt.

Administrator zonder rechten

Mijn account is lid van de groep administrators en ik heb als test UAC een keer uitgeschakeld, maar toch waren er toen nog mappen op mijn schijf waar ik niet in kon kijken. Is mijn account misschien verkeerd geconfigureerd?

Hier steekt een wijdverbreid misverstand de kop op: dat je administrator bent betekent nog niet dat je ook altijd overal toegangsrechten hebt. Het betekent alleen dat je jezelf die rechten kunt toe-eigenen.

In de praktijk levert dat wel dezelfde mogelijkheden op. Als administrator kun je zelfs bepaalde rechten ontnemen aan je account, bijvoorbeeld om bestanden en mappen te beschermen tegen abusievelijke aanpassingen. Ook Windows kent administrators standaard niet alle rechten toe.

Niet verkrijgbare machtigingen

Ik wil mezelf machtigingen geven voor een map, maar Windows staat dit niet toe – ook al ben ik administrator.

Het toekennen van machtigingen is op zich een machtiging die je kunt verlenen of ontnemen aan een administrator­account. Om hem te verlenen, moet je eerst eigenaar van een map worden. Het hele proces is vrij bewerkelijk, zoals je kunt zien aan de hand van de tip ‘Geen toegang na herinstallatie van Windows‘. Maar wees voorzichtig met het zelf aanpassen van machtigingen. In veel gevallen ontbreken bepaalde machtigingen om veiligheidsredenen of om ingebouwde herstelfuncties van Windows te beschermen. Hoewel het geen enkel probleem is om jezelf machtigingen te verschaffen voor toegang tot je eigen bestanden, moet je bij systeembestanden en -mappen alleen iets aanpassen als dat echt noodzakelijk is. Om het nog wat directer te zeggen: ga niet zomaar wat aanpassen uit nieuwsgierigheid.

‘Administrator’ en andere beheerders

Met een standaardinstallatie is er bij Windows 10 een account met de naam ‘Administrator’ dat standaard is uitgeschakeld. In Windows 10 Home is het normaliter ook verborgen. Gaat het daarbij om een soort superbeheerder?

Nee. Dat account beschikt over dezelfde rechten als andere administrator­accounts. Net als het eerste gebruikers­account dat standaard wordt aangemaakt, is het lid van de groep Administrators. Alle leden van die groep hebben dezelfde rechten. Het account Administrator wijkt wel op andere punten af van de andere administrators. Het kan ten eerste niet worden verwijderd en het Gebruikersaccountbeheer is er niet op van toepassing. Dat betekent dat als een programma via het account Administrator wordt gestart, dat vanaf het begin over administratorrechten beschikt. Dat geldt trouwens ook voor het als shell uitgevoerde Windows Verkenner. Als je niet bekend bent met Gebruikers­accountbeheer lijkt het daardoor misschien alsof de ‘Administrator’ meer mag dan andere administrators, maar in feite ontbreekt alleen de bescherming van UAC.

Windows 10 administrator ingebouwd account

Het ingebouwde account ‘Administrator’ heeft dezelfde rechten als alle andere administrators, maar het wordt niet beschermd door UAC en kan niet verwijderd worden.

Netwerkpad als admin

Ik heb in Verkenner een netwerkpad gekoppeld aan een stationsletter, maar zodra ik een programma start met administratorrechten heb ik geen toegang tot dat netwerkstation. Windows doet alsof het er helemaal niet is, hoewel ik het in Verkenner wel kan zien.

Als je in Verkenner een netwerkverbinding maakt, geldt die alleen voor je eigen gebruikersaccount en zelfs alleen voor de huidige sessie. Als je een programma start met administratorrechten, zorgt Gebruikersaccountbeheer voor een tweede aanmelding – maar dan met verhoogde rechten. Die tweede sessie weet niets van het netwerkstation.

Je kunt dit aanpassen via een registerwaarde. Maak in de registersleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System een nieuw item van het type ‘DWORD (32-bits)-waarde’. Geef dit de naam EnableLinkedConnections en de waarde 1 en herstart Windows. Daarna heb je ook als administrator toegang tot de gekoppelde netwerkstations.

‘Administrator’ activeren

Hoe activeer ik het account met de naam ‘Administrator’? Moet ik daarbij nog ergens op letten?

Bij de edities Windows Pro, Enterprise en Education kan dat via Computerbeheer in de categorie ‘Lokale gebruikers en groepen’, maar bij de Home-editie ontbreekt die categorie. De werkwijze via de Opdrachtprompt werkt wel bij alle edities. Start de Opdrachtprompt of PowerShell als administrator en typ vervolgens:

net user administrator /active:yes

Om het account weer te deactiveren, vervang je yes door no. Maar pas op! Het dan ingeschakelde account is nog niet beveiligd met een wachtwoord! Dat regel je met de volgende opdracht:

net user administrator *

Je moet dan tweemaal het gewenste wachtwoord intypen. Let wel op dat je op het scherm niets ziet van wat je intypt. Typ gewoon zonder op het scherm te kijken het wachtwoord in en druk op Enter en herhaal dat vervolgens nog een keer.

Administrator internationaal

Heet het account ‘Administrator’ bij alle internationale versies van Windows hetzelfde?

Bij de meeste taalversies van Windows wordt die accountnaam ongewijzigd overgenomen uit het Engels en heet het account zo. Maar er zijn enkele uitzonderingen (zie de volledige lijst). Sommige namen zijn makkelijk herkenbaar, zoals het Franse ‘Administrateur’ en ‘Administrador’ in Spaanstalige en Portugese versies. Maar sommige zijn moeilijker thuis te brengen, zoals de Finse naam van het Administrator-account: daar heet het ‘Järjestelmänvalvoja’.

(Axel Vahldiek, c’t magazine)

Meer over

Software

Deel dit artikel

Lees ook

Smart-tv veilig maken: gastnetwerk, firewall en meer

Je kunt zelf je smart tv veilig maken op verschillende manieren. Zo bescherm je jezelf tegen hackers, ongewenste reclame en de snuffeldrang van mediab...

Android apps verwijderen of uitschakelen zonder rooten

Dankzij een truc kun je Android-apps verwijderen, ook al biedt een fabrikant die mogelijkheid zelf niet. Zo kun je meer ruimte, snelheid en een betere...

Interessant voor jou

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er