Windows-Verwaltung

Spielen in einer sicheren Umgebung

Matt Clapham

 

Kurz zusammengefasst:

  • Schreiben in geschützte Ordner und Registrierungsschlüssel
  • Kopierschutzfehler
  • Firewallprobleme
  • Probleme mit Unternehmensclients

Tagsüber arbeite ich als Security Program Manager bei Microsoft. Ich schreibe zudem recht häufig für das TechNet Magazin über das Thema Sicherheit. Daher ist es selbstverständlich, dass ich die Sicherheit sehr ernst nehme. Ich habe jedoch auch andere

Interessen. In meiner Freizeit spiele ich gern Windows®-basierte Spiele. Ich mag besonders Egoshooter, Simulatoren, Rollenspiele und Echtzeitstrategiespiele. Die Sache hat jedoch einen Haken. Wie meine Freunde Jesper Johansson und Aaron Margosis lehne ich es ab, Spiele mit Administratorrechten auszuführen, sofern es nicht unbedingt erforderlich ist. Dies beruht teilweise darauf, dass ich sicherstellen möchte, dass mir bei einem Netzwerkspiel die Meldung „0wn3d“ nur aufgrund meiner mangelnden Geschicklichkeit angezeigt wird und nicht, weil mich jemand mit einem Rootkit bombardiert, um meine Zielbewegungen zu verlangsamen (siehe „Quake 3 Buffer Overflow Advisory“ in der Randleiste „Ressourcen“).

Ich vertrete diesen Standpunkt so konsequent, dass ich häufig tolle neue Spiele nicht spielen kann (siehe Abbildung 1). Wenn ich ein Spiel unter meinem Standardbenutzerkonto auf einem zur SBS-Domäne (Small Business Server) gehörenden Client nicht zum Laufen bekomme, nachdem ich es unter einem Administratorkonto installiert und aktualisiert habe, entferne ich es sofort. Es gibt keine Entschuldigung für solche technischen Mängel, und ich habe genug Spiele, aus denen ich wählen kann. Ich gebe zu, dass sich diese Haltung extrem anhören mag, aber in diesem Punkt bin ich unnachgiebig. Dennoch habe ich nichts dagegen, für ein ungetrübtes Spielvergnügen einige kleinere Probleme zu umgehen, und darauf möchte ich in diesem Artikel eingehen. Lassen Sie mich also einige der mit Spielen verbundenen Probleme, mit denen ich konfrontiert wurde, und die Lösungen erklären, die sich als hilfreich erwiesen haben. Eine kurze Zusammenfassung von Best Practices finden Sie in der Randleiste „Tipps für das Spielen als Benutzer mit eingeschränkten Rechten“.

Abbildung 1 Dateizugriffsproblem beim manuellen Aktualisieren

Abbildung 1** Dateizugriffsproblem beim manuellen Aktualisieren **(Klicken Sie zum Vergrößern auf das Bild)

Häufige Probleme

Dieses Berechtigungsproblem ist nicht neu. Es gibt zahlreiche Spiele und andere Arten von Programmen, die zur ordnungsgemäßen Ausführung Administratorrechte erfordern. Lesen Sie hierzu den Knowledge Base-Artikel „Bestimmte Programme funktionieren bei Anmeldung über ein Standardbenutzerkonto nicht ordnungsgemäß“ (siehe http://support.microsoft.com/kb/307091/de). Er enthält eine Liste von beinahe 200 Spielen und Anwendungen, bei denen Probleme auftreten, wenn sie von einem Benutzer mit eingeschränkten Rechten ausgeführt werden, einschließlich einiger Microsoft-Programme.

Ich möchte klarstellen, dass ich es nicht als Problem betrachte, dass zur Installation oder (manuellen) Aktualisierung eines Spiels Administratorrechte benötigt werden. Dies ist generell erforderlich, bis wir die Möglichkeit haben, routinemäßig Installationen für einzelne Benutzer unter Windows durchzuführen. Dieser Tag wird bald kommen, es ist jedoch noch nicht ganz so weit. Sobald jedoch ein Spiel installiert und aktualisiert wurde, sollte es von jedem Benutzer eines Systems gespielt werden können, selbst wenn er nur über eingeschränkte Rechte verfügt.

Schreibversuche in geschützten Ordnern und Registrierungsschlüsseln Das am häufigsten auftretende Problem besteht meiner Erfahrung nach darin, dass ein Spiel beim Start oder während des Spielens abstürzt, weil es versucht, in geschützte Ordner oder Registrierungsschlüssel zu schreiben (ein häufiger Vorgang in vielen Windows-basierten Anwendungen). Standardmäßig können nur Administratoren (und die veralteten Poweruser) in bestimmte Ordner (z. B. %PROGRAMFILES%) und Registrierungsstrukturen (wie HKEY_LOCAL_MACHINE) schreiben. Die daraus resultierenden Fehler können relativ offensichtlich sein: „Fehler 42: Protokolldateien können nicht in C:\Programme\CoolGamesInc\NewestFPS\Logs\ geschrieben werden“ oder „Spiel nicht ordnungsgemäß installiert, neu installieren und neu starten“. Ich habe auch Beispiele hierfür mitten im Spiel erlebt, z. B. Fehlermeldungen, die angezeigt werden, wenn ich meinen Spielstand speichere. Manchmal weisen die Spielentwickler den Benutzer zumindest darauf hin, dass für das Spiel derzeit Administratorrechte erforderlich sind, damit es funktioniert. Dies habe ich bei Age of Mythology® erlebt. Bei MMO-Spielen (Massively Multiplayer Online Games, MMOGs) treten oft Probleme mit Berechtigungen auf, da sie häufig automatisch aktualisiert werden und die Lösung des Problems der eigenständigen Aktualisierung technisch etwas anspruchsvoller ist. Beim Testen von EVE Online stellte ich fest, dass nicht nur Probleme auftraten, weil Protokolldateien an ungeeigneten Speicherorten abgelegt wurden, sondern auch, weil versucht wurde, Spielinhalte im Installationsordner automatisch zu aktualisieren.

Kopierschutz versagt Die zweithäufigste Ursache dafür, dass Spiele nicht gestartet werden, besteht meiner Erfahrung nach darin, dass der integrierte Kopierschutz des Spiels (oder eine andere Funktion zum Schutz vor Softwarepiraterie) bei Benutzern mit eingeschränkten Rechten nicht funktioniert. Dies könnte darauf zurückzuführen sein, dass der Treiber nicht ordnungsgemäß gestartet wurde oder ein Hintergrunddienst nicht ausgeführt wird. Die häufigste Manifestation dieses Problems, die ich erlebt habe, besteht darin, dass das Spiel den Benutzer auffordert, einen Datenträger einzulegen – selbst wenn sich das erforderliche Medium bereits im Laufwerk befindet. Ich habe auch Spiele gesehen, bei denen in dem Irrglauben, dass nur Administratoren die Kopierschutzprüfung ordnungsgemäß ausführen können, Administratorrechte verlangt wurden. Im schlimmsten Fall wird eine fehlerhaft gebildete, unsinnige Fehlermeldung angezeigt, die keinen Verweis auf die Supportwebsite des Spiels enthält.

Unterlassen der Anforderung von Firewallausnahmen Multiplayerspiele, die über ein lokales Netzwerk oder das Internet gespielt werden können, sind sehr verbreitet, und in Windows XP Service Pack 2 (SP2) wurde eine Warnmeldung hinzugefügt, die den Benutzer darauf hinweist, dass Anwendungen versuchen, auf das Netzwerk zuzugreifen. Dies bringt mich zum nächsten häufig auftretenden Problem, das ich beobachtet habe: Spiele, die eine Firewallausnahme erfordern, bei der Installation aber nicht zum Hinzufügen dieser Ausnahme auffordern. Da Benutzer mit eingeschränkten Rechten die Firewallkonfiguration nicht ändern können, kann dieses Problem (siehe Abbildung 2) nicht ohne bestimmte Konfigurationsmaßnahmen seitens eines Administrators behoben werden. Noch schlimmer ist, dass das Problem manchmal nicht offensichtlich ist, da die Warnung in der Windows-Shell und nicht innerhalb der Benutzeroberfläche des Spiels angezeigt wird. Tatsächlich sieht man die Fehlermeldung in der Regel erst, nachdem das Spiel beendet wurde.

Abbildung 2 Wenn Firewalleinstellungen den ganzen Spaß verderben

Abbildung 2** Wenn Firewalleinstellungen den ganzen Spaß verderben **(Klicken Sie zum Vergrößern auf das Bild)

Probleme mit Unternehmensclients Ich habe ein weiteres Problem gefunden, das zwar nicht direkt mit eingeschränkten Rechten in Verbindung steht, aber trotzdem erwähnenswert ist. Ich führe meine Heimcomputerumgebung wie ein kleines Unternehmen aus. (Ich möchte an dieser Stelle nicht zu sehr ins Detail gehen. Sie können jedoch hierzu den Artikel „Beherrschen Sie Ihre Domäne: Erstellen Sie ein Unternehmensnetzwerk zu Hause“ lesen, den Jesper Johansson und ich für die Oktoberausgabe 2006 des TechNet Magazins geschrieben haben. Mithilfe von SBS 2003 (R2) habe ich eine vollständige Windows-Domäne mit einem Ordner „Eigene Dateien“ eingerichtet, der zu einer Serverfreigabe umgeleitet wird. Dabei habe ich das letzte häufige Problem entdeckt, auf das ich eingehen möchte: Spiele, die nicht mit Unternehmensclients kompatibel sind.

Bei Age of Empires® III (AoE3) habe ich ein doppeltes Problem bemerkt. Zur Ehre des Entwicklungsteams sei gesagt, dass das Spiel mit eingeschränkten Benutzerrechten ordnungsgemäß gestartet und ausgeführt wird. Ich habe jedoch festgestellt, dass Szenarios nur langsam geladen wurden, weil eine große Menge von Protokollierungsdaten über das Netzwerk geschrieben wurde. Zudem gingen in AoE3 bei jedem Beenden des Spiels meine Konfiguration, meine gespeicherten Spiele und mein Spielstand verloren. Die Dateien befanden sich eindeutig im Ordner „Eigene Dateien“, wurden aber vom Spiel einfach nicht geladen. Dies war eine echte Enttäuschung, insbesondere angesichts der Tatsache, dass AoE3 im Vergleich zu früheren Versionen der Reihe eine viel höhere Benutzerfreundlichkeit für Standardbenutzerkonten aufweist.

Ich habe ein Spiel gesehen, bei dem solche Probleme mit Unternehmensclients zumindest anerkannt werden. Als ich Fable®: The Lost Chapters™ ausprobiert habe, wurde mir wenigstens mitgeteilt, dass „Eigene Dateien“-Remoteordner nicht unterstützt werden, und dann wurde das Spiel ordnungsgemäß beendet. Ich muss das Entwicklungsteam loben, weil es ein nicht unterstütztes Szenario erkannt und ausgeschlossen hat. Es erschien jedoch etwas merkwürdig, dass man sich angesichts der Tatsache, dass durch das Spiel lediglich ein paar MB Daten im Ordner „Eigene Dateien“ abgelegt werden sollten, die Mühe machte, den Benutzer zu stoppen.

Einfache Lösungen

Ich habe diese Probleme immer wieder und bei mehr Spielen erlebt, als ich in Erinnerung habe. Glücklicherweise gibt es für die meisten Probleme praktische Lösungen. Meine bevorzugte Lösung besteht darin, das Spiel vollständig zu entfernen und zu einem für Standardbenutzerkonten geeigneten Titel eines anderen Herausgebers aus dem gleichen Genre zu wechseln. Das mag sich erneut etwas extrem anhören. Zudem ist dies keine tolle Lösung, wenn Sie gerade 60 Euro für ein neues Spiel ausgegeben haben und es nicht zurückgeben können, weil die Verpackung bereits geöffnet ist. Schauen wir uns also Möglichkeiten zur Problembehebung bei Spielen an, die Sie bereits besitzen.Tipps für das Spielen als Benutzer mit eingeschränkten Rechten

  • Aktualisieren Sie auf Windows Vista.
  • Testen Sie vor dem Kauf die Demoversion. Dabei treten wahrscheinlich alle Probleme in Bezug auf Benutzerkonten mit minimalen Rechten zutage, die auch bei der Vollversion vorkommen.
  • Prüfen Sie die Liste der Programme, von denen bekannt ist, dass bei der Ausführung unter einem Benutzerkonto mit minimalen Rechten Probleme auftreten.
  • Suchen Sie nach Spielen, die das Logo „Designed for Windows“ tragen.
  • Aktualisieren Sie das Spiel nach der Installation und vor der Ausführung mit eingeschränkten Rechten.
  • Wenn Sie ein Spiel finden, das mit eingeschränkten Benutzerrechten nicht funktioniert, teilen Sie das Problem dem Herausgeber und dem technischen Support des Unternehmens mit.
  • Wenn es gar nicht anders geht, verwenden Sie ein lokales Poweruserkonto des Systems.

Beheben von Kopierschutzproblemen Betrachten wir zuerst das Problem mit dem Kopierschutztreiber. Kopierschutzsysteme sind heute nicht mehr wegzudenken. Dies bedeutet jedoch nicht, dass sie Benutzer ohne Administratorrechte an der Ausführung von Spielen hindern sollten! Bei den meisten Spielen wird der SafeDisc-Kopierschutzmechanismus von Macrovision verwendet, der einen Treiber installiert, der auf einen Originalspieledatenträger prüft. Standardmäßig ist der Treiber so konfiguriert, dass er bei Bedarf gestartet wird (eine Funktion, die Benutzer mit eingeschränkten Rechten nicht verwenden dürfen). Microsoft und Macrovision haben Problembehebungen zur Verfügung gestellt, ich habe jedoch eine andere Lösung gefunden:

  1. Öffnen Sie den Geräte-Manager unter Verwendung eines Administratorkontos.
  2. Wählen Sie im Menü „Ansicht“ die Option „Ausgeblendete Geräte anzeigen“.
  3. Erweitern Sie den Knoten „Nicht-PnP-Treiber“.
  4. Öffnen Sie die Eigenschaften für den Security- oder SecDrv-Treiber (siehe Abbildung 3).
  5. Ändern Sie den Starttyp in „Automatisch“.

Abbildung 3** Ermöglichen des ordnungsgemäßen Funktionierens des Kopierschutzes **(Klicken Sie zum Vergrößern auf das Bild)

Da der Treiber jetzt beim Start des Computers gestartet wird, ist er bereit, wenn der Benutzer den Datenträger zum Ausführen des Spiels einlegt.

Beheben von Dateisystem- und Registrierungszugriffsproblemen Das Voraussetzen uneingeschränkten Zugriffs auf jeden Teil des Dateisystems oder der Registrierung ist ein Problem, das bei vielen aktuellen und älteren Programmen und nicht nur bei Spielen häufig auftritt. Der Artikel von Aaron Margosis „Berechtigungsprobleme: Suchen und Beheben von LUA-Fehlern“ beschäftigt sich ausführlicher mit Lösungen für die verschiedenen Probleme, die dazu führen, dass Administratorrechte erforderlich sind.

Das Aufspüren von Zugriffsproblemen kann mitunter etwas schwierig sein. Sobald jedoch der erforderliche Satz von Dateien, Ordnern und Registrierungsschlüsseln ermittelt wurde, können die Zugriffssteuerungslisten (ACLs) relativ einfach gelockert werden, um Benutzern mit eingeschränkten Rechten die Ausführung des Spiels zu ermöglichen. Ich hatte den meisten Erfolg mit der folgenden Methode:

  1. Laden Sie die aktuellen Versionen von Filemon und Regmon von microsoft.com/technet/sysinternals herunter.
  2. Führen Sie die Tools als Administrator aus, und lassen Sie sie mit der Erfassung von Protokollen beginnen.
  3. Spielen Sie das Spiel einige Minuten lang als Administrator, und führen Sie dabei die gängigsten Aufgaben aus (Starten einer neuen Kampagne, Speichern eines Spiels, Hosten eines Netzwerkspiels usw.).
  4. Filtern Sie die Ergebnisse von Filemon und Regmon, sodass sie sich auf Zugriffe seitens des getesteten Spiels konzentrieren.
  5. Lockern Sie nach Bedarf die ACLs für die betreffenden Ordner und Registrierungsschlüssel.
  6. Führen Sie das Spiel als Benutzer ohne Administratorrechte aus, um sicherzustellen, dass es jetzt funktioniert.

Noch ein Wort der Warnung in Bezug auf das Lockern der ACLs: Öffnen Sie sie nicht zu weit (z. B. Jeder – Vollzugriff) oder auf einer zu hohen Ebene (wie HKEY_CLASSES_ROOT). Zudem sollten Berechtigungen für Systemordner wie %SYSTEMROOT% und %PROGRAMFILES% am besten nicht geändert werden, um zu vermeiden, dass Windows völlig zerstört oder das System in einem unsicheren Zustand hinterlassen wird.

Eine andere mögliche Problemumgehung besteht darin, das Spiel als lokaler Poweruser des Systems auszuführen. Dies ist nicht meine erste Wahl, aber durch Verwendung eines lokalen Kontos des Systems sind die Auswirkungen zumindest auf eine einzelne Arbeitsstation begrenzt, falls etwas schief gehen sollte. Nach meiner Erfahrung hat sich diese Lösung bei den meisten Spielen bewährt, die nur mit Administratorrechten ordnungsgemäß zu funktionieren scheinen.

Übrigens habe ich herausgefunden, dass die kurze Ausführung eines Spiels als Administrator eine praktische Methode für dessen automatische Aktualisierung darstellt. Ich führe das Spiel in der Regel als Administrator aus, rufe seine Aktualisierungsoption auf und beende es dann. Anschließend verwende ich zum eigentlichen Spielen wieder mein Konto mit eingeschränkten Rechten. (Es ist erwähnenswert, dass Windows Vista™ Benutzern mit eingeschränkten Rechten die Aktualisierung von Anwendungen gestattet, wobei vorausgesetzt wird, dass der Patch vom ursprünglichen Herausgeber signiert wurde.)

Windows Vista unterstützt auch die Lösung von Problemen mit dem Datei- und Registrierungszugriff durch Spiele und andere Anwendungen. Für Programme, die von Benutzern mit eingeschränkten Rechten ausgeführt werden, werden standardmäßig Virtualisierungsshims aktiviert, die fehlgeleitete Datei- und Registrierungszugriffe in einen benutzerspezifischen Cache umleiten. Ich habe selbst erlebt, dass in der Windows 9x-Ära entwickelte Spiele (z. B. The Neverhood), die unter Windows XP (aufgrund von Berechtigungsproblemen) nicht ordnungsgemäß ausgeführt werden, unter Windows Vista mit den Standardshims einwandfrei funktionieren. Ich freue mich darauf, einige andere problematische Spiele unter Windows Vista zu testen, habe jedoch das Gefühl, dass es schwer sein wird, ein Spiel zu finden, das Windows Vista nicht ordnungsgemäß durch ein Shim unterstützen kann.

Beheben von Firewallproblemen. Das Firewallproblem wird am besten bei der Erstinstallation des Spiels gelöst. Wenn das Installationsprogramm des Spiels nicht ausgereift genug ist, um nach den erforderlichen Firewallanpassungen zu fragen und diese zu konfigurieren, kann die folgende Methode verwendet werden, die meiner Erfahrung nach ebenfalls funktioniert:

  1. Melden Sie sich als Administrator an.
  2. Öffnen Sie die Systemsteuerung, und wählen Sie die Option „Windows-Firewall“.
  3. Wählen Sie die Option zum Hinzufügen eines Programms zur Ausnahmeliste der Firewall aus.
  4. Wählen Sie das Spiel aus der Liste aus, oder suchen Sie nach der ausführbaren Datei des Spiels, wenn Sie dazu aufgefordert werden.

Durch Hinzufügen der ausführbaren Datei des Spiels zur Ausnahmeliste der Firewall wird sichergestellt, dass dem Spiel der Zugriff auf alle Ports gestattet wird, die für sein ordnungsgemäßes Funktionieren erforderlich sind. Danach steht dem Spielspaß nichts mehr im Wege!

Beheben von Problemen mit Unternehmensclients Die Probleme, die bei Spielen auf Unternehmensclients auftreten, werden mit der Zeit verschwinden. Die Zahl der Haushalte mit mehreren Computern und Breitbandanschluss steigt, und es gibt eine wachsende Community von Benutzern, die SBS zu Hause ausführen. Im Moment wird jedoch noch eine Lösung benötigt.

In meinem besonderen Fall habe ich festgestellt, dass durch ein lokales Systembenutzerkonto mit minimalen Rechten das Problem mit dem umgeleiteten Ordner „Eigene Dateien“ umgangen wird. Sowohl „Age of Empires II“ als auch „Fable: The Lost Chapters“ funktionieren mit eingeschränkten Benutzerrechten einwandfrei, solange der Ordner „Eigene Dateien“ nicht zu einem Netzwerkordner umgeleitet wird.Ressourcen

Schlussbemerkung

Ich empfehle nachdrücklich die Ausführung mit eingeschränkten Rechten, damit Sie die Vorteile nutzen können, die mit der Ausführung ohne Administratorrechte verbunden sind. Es ist nicht immer leicht, in einer mit einem Unternehmen verbundenen Umgebung zu spielen, die auf dem Prinzip der minimalen Rechte basiert – es ist jedoch auch alles andere als unmöglich. Im Laufe der Jahre habe ich eine Menge Spiele aus allen Genres entdeckt, die mit eingeschränkten Benutzerrechten einwandfrei funktionieren. Darüber hinaus habe ich einige Lösungen gefunden, die bei einer Reihe anderer Spiele funktionieren. Spiele, die sich unter Windows XP nicht mit eingeschränkten Rechten spielen ließen, funktionieren aufgrund der Virtualisierung in Windows Vista mittlerweile wieder.

Matt Claphamist als Security Program Manager bei Microsoft tätig. Er beteiligt sich außerdem aktiv in der IT-Sicherheitscommunity von Seattle und ist Mitglied des Risikomanagementteams für ein IT-Einführungsprojekt.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.