Systemdateien sind durch SYSTEM oder TrustedInstaller geschützt - wie trotzdem ändern?

Systemdateien lassen sich seit Windows Vista nicht so ohne weiteres mehr überschreiben. „SYSTEM“ oder „TrustedInstaller“ (Windows Module Installer) soll davor schützen und sind als „Besitzer“ in Dateien und Ordnern eingetragen.

Bei einigen Programm-Installationen, zum Beispiel UltraEdit-32, die die Systemdatei notepad.exe überschreibt, kommt es oft zu Problemen oder zu Fehlermeldungen. Das Ausführen des Setup mit Hilfe von „Als Administrator ausführen“ bringt keinen Erfolg.

Als Beispiel dient die Systemdatei notepad.exe in diesem Tipp.

Die Dateirechte an der originalen notepad.exe weisen den Benutzer, SYSTEM und den Administratoren lediglich „Lese-“ und „Ausführen-„Rechte zu. Vollzugriff hat nur unter „Gruppen- oder Benutzername“ der TrustedInstaller. Selbst der Default-Administrator darf also nicht alles – weder eine Systemdatei umbenennen, ändern noch löschen.

notepad.exe – TrustedInstaller hat Vollzugriff

notepad.exe – Administratoren haben nur Lesen- und Ausführen-Rechte

So haben Viren und andere Schädlinge es schwer sich durch die Überschreibung von Systemdateien einzunisten.

Was ist der TrustedInstaller?
*oder [Weiter] mit den Sicherheitseinstellungen …*

Rechte eines „TrustedInstaller“ kann nur der windows-eigene Installer erlangen, der dazu die Signatur des zu installierenden Pakets (Service Pack oder Sicherheits-Hotfix) daraufhin untersucht, ob es von Microsoft stammt und im Originalzustand ist. TrustedInstaller.exe aktiviert Installationen, Modifikationen und Deinstallationen von Windows Updates und Komponenten. Der „TrustedInstaller“ ist kein herkömmlicher „Benutzer„, sondern ein Dienst. Dieser Dienst läuft nicht ständig, sondern nur wenn er gebraucht wird. Er ist beim Login bei Windows Updates und Systemüberprüfungen aktiv. Sollte dieser Dienst deaktiviert werden, so können keine weiteren Windows Updates installiert oder deinstalliert werden. Der TrustedInstaller-Service hat volle Rechte auf diese Ressourcen.

Der TrustedInstaller-Dienst von Vista Windows 7 und Windows 8, taucht in den „Sicherheitseinstellungen“ für Systemordner und Systemdateien auf. Der Dienst steht im Taskmanager unter „Dienste“, wenn er aktiv ist, aber nicht unter „Dienste“ (services.msc) in der „Verwaltung“ oder unter „Benutzerkonten“.

TrustedInstaller.exe sollte unter folgende Pfade zu finden sein:
C:\Windows\servicing
und

C:\Windows\winsxs\x86_microsoft-windows-trustedinstaller_31bf3856ad364e35_6.0.6000.16386_none_8ed67188503ba527

(Zahlenkombination sind nur als Beispiel zu betrachten)

TrustedInstaller im Taskmanager

Sicherheitseinstellungen ändern und Besitz übernehmen

Müssen gezwungenermaßen doch Systemdateien oder Systemordner verändert werden, gibt es aber doch eine Möglichkeit.

Softwarelösung:

Mit dem Tool TakeOwnershipEx können Sie sehr einfach den Besitz einer Datei übernehmen. Dazu geben Sie einfach den Ordner oder die Datei an, deren Besitz Sie übernehmen wollen.

TakeOwnershipEx

 

Der Weg von Hand:

Um die Datei zugänglich zu machen, müssen die „Sicherheitseinstellungen“ des Ordners oder der Datei geändert werden. Der Benutzer, der die Sicherheitseinstellungen ändern möchte muss Adminrechte besitzen.

Die „Eigenschaften“ der notepad.exe aufrufen. Die Registerkarte „Sicherheit“ aufrufen – Button „Erweitert“ anklicken.

Registerkarte Besitzer auswählen – „Aktueller Besitzer“ ist TrustedInstaller – Button „Bearbeiten…“ anklicken.

Besitzer ändern nach: Administratoren anklicken (markieren) und Button [OK].

Windows-Sicherheitsdialog mit [OK] bestätigen.

„Aktueller Besitzer“ ist nun die Gruppe Administratoren. Nun müssen noch die Berechtigungen gesetzt werden. Klicken Sie erst noch auf [OK].

Sie sind nun wieder in der Registerkarte „Besitzer“. Wählen Sie die Registerkarte „Berechtigungen“ aus.

Markieren Sie Administratoren und klicken auf den Button „Berechtigungen ändern…„.

Klicken Sie hier nochmals Administratoren an und dann auf Button „Bearbeiten…„.

Administratoren sollte unter „Name“ stehen – klicken Sie das Kästchen Zulassen/Vollzugriff an, sodass ein Häkchen erscheint und die anderen Kästchen füllt, dann auf [OK] klicken.

Es öffnet sich nach [OK] die Registerkarte „Berechtigungen„. Administratoren haben nun „Vollzugriff„. Klicken Sie auf [Übernehmen].

Danach erscheint der Windows-Sicherheitsdialog.

Nachdem Sie auf „Ja“ geklickt haben erscheint wieder die Registerkarte „Berechtigungen„, klicken Sie hier nur auf [OK].

Und nochmal auf [OK].

Jetzt erscheint die Registerkarte „Sicherheit“ – klicken Sie auf [OK].

Nun sollten die Berechtigungen von der Gruppe „Administratoren“ alle Rechte haben. Es gibt nun kein Problem mehr z.B. bei UltraEdit32-Installation, die die Systemdatei notepad.exe austauscht. TrustedInstaller und Administratoren haben beide „Vollzugriff„.

Der Vorgang mit Systemordner ist der gleiche.

Die Systemdatei notepad.exe war hier nur als Beispiel gedacht. Sollten Sie wirklich die Berechtigungen an der Systemdatei notepad.exe vornehmen wollen, können Sie die notepad.exe im Verzeichnis „C:\Windows\system32“ dafür hernehmen. Die notepad.exe, die im Verzeichnis „C:\Windows“ liegt, wird automatisch mit verändert.

Wer den „TrustedInstaller“ wieder seinen Besitz zurück geben möchte, verfährt wie mit der Gruppe „Administratoren“, nur das man bei dem „Besitzer“ händisch NT Service\TrustedInstaller eintippen muss. Das Häkchen „Vollzugriff/Zulassen“ aktivieren nicht vergessen.

Sollte der TrustedInstaller unter „Gruppen- oder Benutzernamen“ nicht mehr vorhanden sein, können Sie ihn wieder hinzufügen.

Wenn TrustedInstaller fehlt

Unter „Bearbeiten“ – „Hinzufügen“ – „Geben Sie die zu verwendenden Objektnamen ein“ – NT Service\TrustedInstaller eintippen und auf „Namen überprüfen„.

Nach [OK] ist der TrustedInstaller als Objekttyp wieder in der Auswahl.

Mit dem cacls-Befehl ginge es auch, wenn man als Administrator angemeldet ist. Es lassen sich sowohl der „Besitz“ auf den TrustedInstaller übertragen als auch „Rechte“ für ihn setzen.
Mit dem Kommandozeilentool takeown lässt sich der „TrustedInstaller“ NUR als „Besitzer“ entfernen, nicht aber wiederherstellen.

Tipp:
Für Windows Vista, Windows 7 und Windows 8 Besitz übernehmen per Kontextmenü für Ordner und Dateien
Tipp:
Kein Zugriff auf Dateien oder Ordner mehr möglich
Tipp:
Das Dienstprogramm „Cacls“ oder Vollzugriff auf „System Volume Information“ Ordner
Microsoft Hilfe & Support KB308421:
Übernehmen des Besitzes für eine Datei/einen Ordner in Windows XP