Bedrohungen und Gegenmaßnahmen

  • Artikel

Kapitel 4: Benutzerrechte

Mit Benutzerrechten können Benutzer Aufgaben auf einem Computer oder einer Domäne ausführen. Benutzerrechte umfassen Anmelderechte und Berechtigungen. Mit Anmelderechten wird gesteuert, wer autorisiert ist, sich an einem Computer anzumelden, und wie diese Anmeldung erfolgt. Mit Berechtigungen wird der Zugriff auf Computer und Domänenressourcen gesteuert. Diese Berechtigungen können die für ein bestimmtes Objekt festgelegten Berechtigungen außer Kraft setzen.

Ein Anmelderecht ist z. B. die Möglichkeit, sich an einem Computer lokal anmelden zu können. Eine Berechtigung ist z. B. die Möglichkeit, den Computer herunterfahren zu können. Beide Arten von Benutzerrechten werden Benutzern oder Benutzergruppen von Administratoren als Teil der Sicherheitseinstellungen eines Computers zugewiesen. Eine Zusammenfassung der in diesem Kapitel definierten Einstellungen finden Sie in der Microsoft® Excel®-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“, die in diesem Handbuch enthalten ist. In dieser Arbeitsmappe werden die Standardeinstellungen zum Zuweisen von Benutzerrechten dokumentiert.

Hinweis: Internet Information Server (IIS) erwartet, dass den vordefinierten, von IIS verwendeten Konten bestimmte Benutzerrechte zugewiesen werden. Durch die Einstellungen zum Zuweisen von Benutzerrechten in diesem Kapitel wird festgelegt, welche Rechte für IIS erforderlich sind. Weitere Informationen zu diesen Anforderungen finden Sie in der Liste „IIS und vordefinierte Konten (IIS 6.0)“ (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx.

Auf dieser Seite

Einstellungen zum Zuweisen von Benutzerrechten
Weitere Informationen

Einstellungen zum Zuweisen von Benutzerrechten

Die Einstellungen zum Zuweisen von Benutzerrechten können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Auf diesen Computer vom Netzwerk aus zugreifen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer eine Verbindung zum Computer über das Netzwerk herstellen können. Die Funktion ist für eine Reihe von Netzwerkprotokollen erforderlich. Hierzu zählen SMB-basierte Protokolle (Server Message Block), NetBIOS, CIFS (Common Internet File System) und COM+ (Component Object Model Plus).

Für die Einstellung Auf diesen Computer vom Netzwerk aus zugreifen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Benutzer, die über ihren Computer eine Verbindung zum Netzwerk herstellen können, haben Zugriff auf alle Ressourcen auf dem Zielcomputer, für die sie eine Berechtigung haben. Das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen ist für den Zugriff auf freigegebene Drucker und Ordner erforderlich. Wenn dieses Benutzerrecht der Gruppe Jeder zugewiesen wird und für einige der freigegebenen Ordner eine Freigabeberechtigung und eine NTFS-Berechtigung konfiguriert ist, sodass diese Gruppe auch Lesezugriff hat, kann jeder in der Gruppe auf die Dateien in den freigegebenen Ordnern zugreifen. Bei einer Neuinstallation von Microsoft Windows Server™ 2003 mit Service Pack 1 (SP1) ist dieses Szenario jedoch unwahrscheinlich, da die Freigabe- und NTFS-Standardberechtigungen in Windows Server 2003 nicht über die Gruppe Jeder verfügen. Diese Sicherheitsanfälligkeit stellt bei jenen Systemen eine größere Gefahr dar, die von Windows NT® 4.0 oder Windows 2000 aktualisiert werden, da die Standardberechtigungen für diese Betriebssysteme nicht so strikt wie die Standardberechtigungen in Windows Server 2003 sind.

Gegenmaßnahme

Schränken Sie das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen so ein, dass nur die Benutzer auf den Computer zugreifen können, die einen Serverzugang benötigen. Wenn Sie z. B. für diese Richtlinieneinstellung die Gruppen Administratoren und Benutzer festlegen, können Benutzer, die sich bei der Domäne anmelden, auf die freigegebenen Ressourcen über Server in der Domäne zugreifen, wenn Mitglieder der Gruppe Domänenbenutzer zur lokalen Gruppe Benutzer gehören.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Auf diesen Computer vom Netzwerk aus zugreifen auf Domänencontrollern für alle Benutzer entfernen, ist die Anmeldung bei der Domäne oder die Verwendung von Netzwerkressourcen für alle Benutzer unmöglich. Wenn Sie dieses Benutzerrecht auf Mitgliedsservern entfernen, können Benutzer keine Verbindung zu diesen Servern über das Netzwerk herstellen. Bei Installation optionaler Komponenten, wie z. B. ASP.NET oder Internet Information Services (IIS), müssen Sie dieses Benutzerrecht u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind. Sie sollten sicherstellen, dass autorisierte Benutzer auf allen Computern, die für eine Verbindung mit dem Netzwerk notwendig sind, über dieses Benutzerrecht verfügen.

Einsetzen als Teil des Betriebssystems

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess die Identität eines beliebigen Benutzers annehmen und dadurch Zugriff auf die dem Benutzer zugänglichen Ressourcen erlangen kann. Normalerweise erfordern nur einfache Authentifizierungsdienste dieses Benutzerrecht. Der potenzielle Zugriff ist nicht auf die mit dem Benutzer standardmäßig verknüpften Ressourcen begrenzt. Der aufrufende Prozess kann anfordern, dass dem Zugriffstoken weitere beliebige Berechtigungen hinzugefügt werden. Der aufrufende Prozess kann auch ein Zugriffstoken erstellen, das keine Primäridentität für die Überwachung in den Systemereignisprotokollen enthält.

Für die Einstellung Einsetzen als Teil des Betriebssystems sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Benutzerrecht Einsetzen als Teil des Betriebssystems ist sehr umfassend. Jeder Benutzer mit diesem Benutzerrecht hat vollständige Kontrolle über den Computer und kann alle Beweise für seine Aktivitäten löschen.

Gegenmaßnahme

Begrenzen Sie das Benutzerrecht Einsetzen als Teil des Betriebssystems auf möglichst wenige Konten. Dieses Benutzerrecht sollte normalerweise nicht einmal der Gruppe Administratoren zugewiesen werden. Wenn ein Dienst dieses Benutzerrecht erfordert, konfigurieren Sie den Dienst so, dass er sich über das lokale Systemkonto anmeldet, das grundsätzlich über diese Berechtigung verfügt. Erstellen Sie kein separates Konto mit diesem Benutzerrecht.

Mögliche Auswirkung

Die Auswirkungen sind gering oder nicht vorhanden, da das Benutzerrecht Einsetzen als Teil des Betriebssystems selten von einem anderen Konto als dem lokalen Systemkonto benötigt wird.

Hinzufügen von Arbeitsstationen zur Domäne

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Benutzer einer bestimmten Domäne einen Computer hinzufügen kann. Damit sie wirksam ist, muss sie zugewiesen werden, sodass sie auf mindestens einen Domänencontroller angewendet wird. Ein Benutzer mit diesem Benutzerrecht kann der Domäne bis zu zehn Arbeitsstationen hinzufügen. Benutzer können einen Computer auch dann einer Domäne hinzufügen, wenn sie über die Berechtigung Computerobjekte erstellen für eine Organisationseinheit oder für den Container „Computer“ im Active Directory®-Verzeichnisdienst verfügen. Benutzer mit dieser Berechtigung können der Domäne eine unbegrenzte Anzahl von Computern hinzufügen, unabhängig davon, ob sie über das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne verfügen.

Für die Einstellung Hinzufügen von Arbeitsstationen zur Domäne sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne stellt ein geringes Sicherheitsrisiko dar. Benutzer mit diesem Recht können der Domäne einen Computer hinzufügen, der nicht den Sicherheitsrichtlinien der Organisation entspricht. Wenn die Benutzer einer Organisation z. B. nicht über Administratorrechte für ihre Computer verfügen sollen, kann ein Benutzer Windows auf seinem Computer installieren und diesen anschließend der Domäne hinzufügen. Der Benutzer kennt dann das Kennwort für das lokale Administratorkonto und kann sich mit diesem Konto anmelden. Anschließend kann er sein Domänenkonto der lokalen Gruppe Administratoren hinzufügen.

Gegenmaßnahme

Konfigurieren Sie die Einstellung Hinzufügen von Arbeitsstationen zur Domäne so, dass nur autorisierte Mitglieder der IT-Abteilung über das Recht zum Hinzufügen von Computern zu Domänen verfügen.

Mögliche Auswirkung

Wenn Benutzer einer Organisation nie über Rechte zum Konfigurieren der eigenen Computer und Hinzufügen zu einer Domäne verfügt haben, hat diese Gegenmaßnahme keine Auswirkungen. In Organisationen, in denen es einigen oder allen Benutzern möglich ist, ihre Computer zu konfigurieren, muss ein formaler Prozess für derartige Prozeduren entwickelt werden. Auf vorhandene Computer hat dies keine Auswirkung, sofern sie nicht aus der Domäne entfernt und später wieder hinzugefügt werden.

Anpassen von Speicherkontingenten für einen Prozess

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer das maximale Arbeitsspeicherkontingent, das für einen Prozess zur Verfügung steht, anpassen können. Obwohl diese Funktion bei der Einstellung von Computern sehr nützlich ist, müssen Sie die Gefahr des potenziellen Missbrauchs berücksichtigen. Dieses Recht könnte für einen DoS-Angriff verwendet werden.

Für die Einstellung Anpassen von Speicherkontingenten für einen Prozess sind folgende Werte verfügbar:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Ein Benutzer mit der Berechtigung Anpassen von Speicherkontingenten für einen Prozess kann das für einen Prozess verfügbare Arbeitsspeicherkontingent verringern. Dadurch können geschäftskritische Netzwerkanwendungen langsamer werden oder fehlschlagen.

Gegenmaßnahme

Weisen Sie das Benutzerrecht Anpassen von Speicherkontingenten für einen Prozess nur Benutzern zu, die es zur Ausführung ihrer Tätigkeit unbedingt benötigen. Dies können z. B. Anwendungsadministratoren sein, die für die Datenpflege von Datenbank-Verwaltungssystemen zuständig sind, oder Domänenadministratoren, die für die Verwaltung des Organisationsverzeichnisses und seiner Infrastruktur verantwortlich sind.

Mögliche Auswirkung

In Organisationen, in denen bisher keine Benutzerrollen mit begrenzten Berechtigungen zugewiesen wurden, kann die Implementierung dieser Gegenmaßnahme zu Schwierigkeiten führen. Außerdem müssen Sie bei Installation optionaler Komponenten (z. B. ASP.NET oder IIS) das Benutzerrecht Anpassen von Speicherkontingenten für einen Prozess u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind. IIS erfordert, dass dieses Benutzerrecht den Konten „IWAM_<Computername>“, „Netzwerkdienst“ und „Dienst“ explizit zugewiesen wird. Ansonsten hat diese Gegenmaßnahme auf die meisten Computer keine Auswirkung. Wenn dieses Benutzerrecht für ein Benutzerkonto benötigt wird, kann es einem lokalen Computerkonto anstelle eines Domänenkontos zugewiesen werden.

Lokal anmelden zulassen

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Benutzer eine interaktive Sitzung auf dem Computer starten kann. Benutzer ohne dieses Recht können weiterhin eine interaktive Remotesitzung auf dem Computer starten, wenn sie über das Recht Anmelden über Terminaldienste zulassen verfügen.

Für die Einstellung Lokal anmelden zulassen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert  

Sicherheitsanfälligkeit

Jedes Konto mit dem Benutzerrecht Lokal anmelden zulassen kann für die Anmeldung an der Computerkonsole verwendet werden. Wenn Sie dieses Benutzerrecht nicht auf autorisierte Benutzer begrenzen, die sich an der Computerkonsole anmelden müssen, können nicht autorisierte Benutzer schädlichen Code herunterladen und ausführen, um ihre Berechtigungsebene zu erhöhen.

Gegenmaßnahme

Bei Domänencontrollern sollte das Benutzerrecht Lokal anmelden zulassen nur der Gruppe Administratoren zugewiesen werden. Bei anderen Serverrollen können Sicherungs-Operatoren und Hauptbenutzer hinzugefügt werden. Bei Endbenutzercomputern sollte dieses Recht auch der Gruppe Benutzer zugewiesen werden.

Wahlweise können Sie auch den Gruppen Konten-Operatoren, Server-Operatoren und Gäste das Benutzerrecht Lokal anmelden verweigern zuweisen.

Mögliche Auswirkung

Wenn Sie diese Standardgruppen entfernen, können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Bei Installation optionaler Komponenten (z. B. ASP.NET oder Internet Information Services) müssen Sie das Benutzerrecht Lokal anmelden zulassen u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind. IIS erfordert, dass dieses Benutzerrecht dem Konto „IUSR_<Computername>“ zugewiesen wird. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aktivitäten hat.

Anmeldung über Terminaldienste zulassen

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer über eine Remotedesktopverbindung am Computer anmelden können. Weisen Sie dieses Benutzerrecht keinen zusätzlichen Benutzern oder Gruppen zu. Verwenden Sie stattdessen die bewährte Methode, Benutzer der Gruppe Remotedesktopbenutzer hinzuzufügen oder aus dieser Gruppe zu entfernen, um festzulegen, welche Benutzer eine Remotedesktopverbindung zu einem Computer herstellen können.

Für die Einstellung Anmelden über Terminaldienste zulassen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Jedes Konto mit dem Benutzerrecht Anmelden über Terminaldienste zulassen kann für die Anmeldung an der Remotekonsole des Computers verwendet werden. Wenn Sie dieses Benutzerrecht nicht auf autorisierte Benutzer begrenzen, die sich an der Computerkonsole anmelden müssen, können nicht autorisierte Benutzer schädlichen Code herunterladen und ausführen, um ihre Berechtigungsebene zu erhöhen.

Gegenmaßnahme

Bei Domänencontrollern sollte das Benutzerrecht Anmelden über Terminaldienste zulassen nur der Gruppe Administratoren zugewiesen werden. Bei anderen Serverrollen und Endbenutzercomputern sollte die Gruppe Remotedesktopbenutzer hinzugefügt werden. Bei Terminalservern, die nicht im Anwendungsservermodus ausgeführt werden, muss sichergestellt werden, dass nur autorisierte IT-Mitarbeiter, die für die Remoteverwaltung der Computer zuständig sind, zu diesen beiden Gruppen gehören.

Warnung: Bei Terminalservern, die im Anwendungsservermodus ausgeführt werden, muss sichergestellt werden, dass nur Benutzer, die auf den Server zugreifen müssen, über Konten in der Gruppe Remotedesktopbenutzer verfügen. Diese vordefinierte Gruppe verfügt nämlich standardmäßig über dieses Anmelderecht.

Wahlweise können Sie auch das Benutzerrecht Anmelden über Terminaldienste verweigern den Gruppen Konten-Operatoren, Server-Operatoren und Gäste zuweisen. Sie müssen bei Verwendung dieser Methode jedoch vorsichtig sein, da Sie den Zugriff von autorisierten Administratoren blockieren könnten, die zufällig auch einer der Gruppen mit dem Benutzerrecht Anmelden über Terminaldienste verweigern angehören.

Mögliche Auswirkung

Durch Entfernen des Benutzerrechts Anmelden über Terminaldienste zulassen aus anderen Gruppen oder Ändern der Mitgliedschaft in diesen Standardgruppen können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aktivitäten hat.

Sichern von Dateien und Verzeichnissen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Berechtigungen für Dateien und Verzeichnisse umgehen können, um den Computer zu sichern. Dieses Benutzerrecht ist nur wirksam, wenn eine Anwendung versucht, über die NTFS-Sicherungs-API (z. B. das Sicherungsprogramm NTBACKUP.EXE) Zugriff zu erhalten. Andernfalls gelten die Standardberechtigungen für Dateien und Verzeichnisse.

Für die Einstellung Sichern von Dateien und Verzeichnissen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Benutzer, die berechtigt sind, eine Sicherungskopie von Daten auf einem Computer zu erstellen, können dieses Recht missbrauchen, um die gespeicherten Daten auf einem anderen Computer wiederherzustellen, der nicht zur Domäne gehört und für den sie über Administratorenrechte verfügen. Diese Benutzer können sich die Dateien aneignen und alle unverschlüsselten Daten im Sicherungssatz anzeigen.

Gegenmaßnahme

Begrenzen Sie das Benutzerrecht Sichern von Dateien und Verzeichnissen auf Mitglieder der IT-Abteilung, die im Rahmen ihrer alltäglichen Arbeit Unternehmensdaten sichern müssen. Bei Verwendung von Sicherungssoftware, die unter bestimmten Dienstkonten ausgeführt wird, sollten nur diese Konten (und nicht die IT-Mitarbeiter) über das Benutzerrecht Sichern von Dateien und Verzeichnissen verfügen.

Mögliche Auswirkung

Bei Mitgliedschaftsänderungen der Gruppen mit dem Benutzerrecht Sichern von Dateien und Verzeichnissen können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Stellen Sie sicher, dass autorisierte Sicherungs-Administratoren weiterhin Sicherungsoperationen ausführen können.

Auslassen der durchsuchenden Prüfung

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Ordner durchsuchen können, ohne dass bei der Navigation durch einen Objektpfad im NTFS-Dateisystem oder in der Registrierung die spezielle Zugangsberechtigung „Ordner durchsehen“ überprüft wird. Mit diesem Benutzerrecht kann der Benutzer nicht den Inhalt eines Ordners auflisten, sondern nur die Ordner durchsehen.

Für die Einstellung Auslassen der durchsuchenden Prüfung sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Bei der Standardkonfiguration für die Einstellung Auslassen der durchsuchenden Prüfung kann jeder Benutzer die durchsuchende Prüfung auslassen. Die Zugriffssteuerungslisten (ACLs) für das Dateisystem werden in diesem Fall von erfahrenen Windows-Systemadministratoren entsprechend konfiguriert. Die Standardkonfiguration ist nur problematisch, wenn der Administrator, der die Berechtigungen konfiguriert, die genaue Funktionsweise dieser Richtlinieneinstellung nicht versteht. Es kann z. B. von der Annahme ausgegangen werden, dass ein Benutzer, der keinen Zugriff auf einen Ordner hat, auch nicht auf Inhalte von Unterordnern zugreifen kann. Da eine solche Situation jedoch unwahrscheinlich ist, stellt diese Sicherheitsanfälligkeit nur ein geringes Risiko dar.

Gegenmaßnahme

Organisationen, die sehr großen Wert auf Sicherheit legen, können aus der Liste der Gruppen mit dem Benutzerrecht Auslassen der durchsuchenden Prüfung die Gruppe Jeder oder vielleicht sogar die Gruppe Benutzer entfernen. Die explizite Festlegung der Durchsuchungszuweisungen ist ein äußerst effektives Mittel, um den Zugriff auf vertrauliche Informationen zu regeln. (Darüber hinaus kann die in Windows Server 2003 SP1 hinzugefügte Funktion Zugriffsbasierte Aufzählung verwendet werden. Wenn Sie die zugriffsbasierte Aufzählung verwenden, können Benutzer keine Ordner oder Dateien anzeigen, für die sie keine Zugriffsberechtigung haben. Weitere Informationen zu dieser Funktion finden Sie (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/windowsserver2003/library/BookofSP1/f04862a9-3e37-4f8c-ba87-917f4fb5b42c.mspx.)

Mögliche Auswirkung

Die Betriebssysteme und viele Anwendungen von Windows wurden in der Annahme konzipiert, dass Benutzer, die einen legitimierten Zugriff auf den Computer haben, über dieses Benutzerrecht verfügen. Microsoft empfiehlt daher, dass Sie jede Zuweisungsänderung für das Benutzerrecht Auslassen der durchsuchenden Prüfung sorgfältig testen, bevor Sie eine solche Änderung an den Produktionssystemen vornehmen. Insbesondere IIS erfordert, dass dieses Benutzerrecht den Konten „Netzwerkdienst“, „Lokaler Dienst“, „IIS_WPG“, „IUSR_<Computername>“ und „IWAM_<Computername>“ zugewiesen wird. (Es muss auch dem ASPNET-Konto über seine Mitgliedschaft in der Gruppe Benutzer zugewiesen werden.) In diesem Handbuch wird empfohlen, dass Sie für diese Richtlinieneinstellung die Standardkonfiguration verwenden.

Ändern der Systemzeit

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die interne Uhrzeit des Computers einstellen können. Dieses Recht ist nicht zum Ändern der Zeitzone oder anderer Anzeigeeigenschaften der Systemzeit erforderlich.

Für die Einstellung Ändern der Systemzeit sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Benutzer mit der Berechtigung zum Einstellen der Uhrzeit auf dem Computer können verschiedene Probleme verursachen. Zeitstempel in Ereignisprotokolleinträgen oder erstellten bzw. geänderten Ordnern und Dateien sind möglicherweise nicht mehr korrekt. Zu einer Domäne gehörende Computer oder Benutzer, die sich über diese Computer bei der Domäne anmelden möchten, können sich nicht mehr authentifizieren. Da das Kerberos-Authentifizierungsprotokoll erfordert, dass die Uhrzeiten von Anforderer und Authentifikator innerhalb eines vom Administrator definieren Toleranzzeitraums synchron sind, kann ein Angreifer durch Änderung der Uhrzeit eines Computers verhindern, dass der Computer Kerberos-Tickets erhalten oder erteilen kann.

Das von diesen Ereignistypen ausgehende Risiko wird auf den meisten Domänencontrollern, Mitgliedsservern und Endbenutzercomputern dadurch minimiert, dass der Windows-Zeitdienst die Zeit automatisch mit den Domänencontrollern synchronisiert. Dies geschieht folgendermaßen:

  • Alle Clientdesktopcomputer und Mitgliedsserver verwenden den authentifizierenden Domänencontroller als eingehenden Zeitgeber.

  • Alle Domänencontroller in einer Domäne benennen den PDC-Emulationsbetriebsmaster (PDC = primärer Domänencontroller) als eingehenden Zeitgeber.

  • Alle PDC-Emulationsbetriebsmaster folgen bei Auswahl der eingehenden Zeitgeber der Domänenhierarchie.

  • Der PDC-Emulationsbetriebsmaster am Domänenstamm ist für die Organisation maßgebend. Es wird daher empfohlen, dass Sie diesen Computer so konfigurieren, dass er mit einem zuverlässigen externen Zeitserver synchronisiert wird.

Diese Sicherheitsanfälligkeit ist eine große Gefahr, wenn ein Angreifer die Möglichkeit hat, die Systemzeit zu ändern, den Windows-Zeitdienst zu stoppen oder diesen Dienst so zu konfigurieren, dass er mit einem nicht korrekten Zeitserver synchronisiert wird.

Gegenmaßnahme

Begrenzen Sie das Benutzerrecht Ändern der Systemzeit auf Benutzer, die einen zulässigen Grund haben, die Uhrzeit zu ändern, z. B. Mitglieder der IT-Abteilung.

Mögliche Auswirkung

Für die meisten Organisationen sollte dies keine Auswirkungen haben, da die Zeitsynchronisierung für alle Computer einer Domäne automatisch ausgeführt wird. Computer, die nicht zur Domäne gehören, müssen über eine externe Quelle synchronisiert werden.

Auslagerungsdatei erstellen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer eine Auslagerungsdatei erstellen und deren Größe ändern können. Insbesondere wird definiert, ob im Dialogfeld Systemeigenschaften auf der Registerkarte Erweitert im Feld Leistungsoptionen eine Auslagerungsdateigröße für ein bestimmtes Laufwerk festgelegt werden kann.

Für die Einstellung Auslagerungsdatei erstellen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert  

Sicherheitsanfälligkeit

Benutzer mit der Möglichkeit, die Auslagerungsdateigröße zu ändern, können diese stark verkleinern oder die Datei in einem stark fragmentierten Speichermedium ablegen. Dadurch kann die Computerleistung beeinträchtigt werden.

Gegenmaßnahme

Begrenzen Sie das Benutzerrecht Auslagerungsdatei erstellen auf Mitglieder der Gruppe Administratoren.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Erstellen eines Tokenobjekts

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess ein Token erstellen kann, mit dem anschließend auf beliebige lokale Ressourcen zugegriffen werden kann, wenn der Prozess NtCreateToken() oder andere APIs zur Tokenerstellung verwendet.

Für die Einstellung Erstellen eines Tokenobjekts sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Betriebssystem überprüft das Zugriffstoken des Benutzers, um die Berechtigungsebene des Benutzers zu ermitteln. Zugriffstoken werden erstellt, wenn Benutzer sich am lokalen Computer anmelden oder eine Verbindung zu einem Remotecomputer über das Netzwerk herstellen. Bei Sperrung einer Berechtigung wird die Änderung sofort erfasst. Die Änderung wirkt sich auf das Zugriffstoken des Benutzers jedoch erst aus, wenn sich der Benutzer das nächste Mal anmeldet oder eine Verbindung herstellt. Ein Benutzer mit der Berechtigung zur Tokenerstellung oder Änderung, kann die Zugriffsebene für jedes aktuell angemeldete Konto ändern. Er kann seine eigenen Berechtigungen erweitern oder eine Dienstverweigerung auslösen.

Gegenmaßnahme

Weisen Sie keinem Benutzer das Benutzerrecht Erstellen eines Tokenobjekts zu. Prozesse, die dieses Benutzerrecht erfordern, sollten das Systemkonto verwenden, das grundsätzlich über dieses Recht verfügt. Sie sollten kein separates Benutzerkonto verwenden, dem dieses Benutzerrecht zugewiesen wurde.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Globale Objekte erstellen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer globale und für alle Sitzungen verfügbare Objekte erstellen können. Benutzer können weiterhin eigene sitzungsspezifische Objekte erstellen, wenn sie nicht über dieses Benutzerrecht verfügen.

Für die Einstellung Globale Objekte erstellen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Benutzer mit der Berechtigung zur Erstellung globaler Objekte können Prozesse beeinträchtigen, die in den Sitzungen von anderen Benutzern ausgeführt werden. Diese Funktion kann zu verschiedenen Problemen führen, wie z. B. zum Fehlschlagen von Anwendungen oder zur Beschädigung von Daten.

Gegenmaßnahme

Begrenzen Sie das Benutzerrecht Globale Objekte erstellen auf Mitglieder der lokalen Gruppen Administratoren und Dienst.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Permanente freigegebene Objekte erstellen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Verzeichnisobjekte im Objekt-Manager erstellen können. Benutzer mit dieser Berechtigung können permanente freigegebene Objekte erstellen, z. B. Geräte, Semaphore und Mutexe. Dieses Benutzerrecht ist für Kernelmoduskomponenten nützlich, die den Objekt-Namespace erweitern und grundsätzlich über dieses Benutzerrecht verfügen. Es ist daher meist nicht notwendig, Benutzern dieses Benutzerrecht ausdrücklich zuzuweisen.

Für die Einstellung Permanente freigegebene Objekte erstellen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Benutzer mit dem Benutzerrecht Permanente freigegebene Objekte erstellen können neue freigegebene Objekte erstellen und vertrauliche Daten im Netzwerk offen legen.

Gegenmaßnahme

Weisen Sie keinem Benutzer das Benutzerrecht Permanente freigegebene Objekte erstellen zu. Prozesse, die dieses Benutzerrecht erfordern, sollten kein separates Benutzerkonto, sondern das Systemkonto verwenden, das grundsätzlich über dieses Recht verfügt.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Debuggen von Programmen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer einen beliebigen Prozess (einschließlich der Prozesse, die sie nicht besitzen) öffnen oder eine Verbindung zu diesem Prozess herstellen können. Mit diesem Benutzerrecht wird der Zugriff auf wichtige Komponenten des Betriebssystems ermöglicht.

Für die Einstellung Debuggen von Programmen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Die Einstellung Debuggen von Programmen kann missbraucht werden, um sensible Computerinformationen aus dem Systemspeicher zu erfassen oder um auf Kernel- oder Anwendungsstrukturen zuzugreifen und diese zu ändern. Einige Angriffstools nutzen dieses Benutzerrecht aus, um Zugriff auf die Hashwerte von Kennwörtern und weitere persönliche Sicherheitsinformationen zu erhalten oder um Rootkit-Codeeinfügungen durchzuführen. Das Benutzerrecht Debuggen von Programmen wird standardmäßig nur Administratoren zugewiesen, wodurch das von dieser Sicherheitsanfälligkeit ausgehende Risiko verringert wird.

Gegenmaßnahme

Entziehen Sie das Benutzerrecht Debuggen von Programmen allen Benutzern und Gruppen, für die dieses Recht nicht erforderlich ist.

Mögliche Auswirkung

Wenn Sie dieses Benutzerrecht entfernen, ist niemand mehr in der Lage, Programme zu debuggen. Unter normalen Umständen wird diese Funktion jedoch selten auf Produktionscomputern benötigt. Wenn das Debuggen einer Anwendung auf einem Produktionsserver erforderlich ist, verschieben Sie den Server in eine andere Organisationseinheit, und weisen Sie einer separaten Gruppenrichtlinie für diese Organisationseinheit das Benutzerrecht Debuggen von Programmen zu.

Dem Dienstkonto, das für den Clusterdienst verwendet wird, muss die Berechtigung Debuggen von Programmen zugewiesen sein. Andernfalls können die Windows-Clusterfunktionen nicht ausgeführt werden. Zusätzliche Informationen zur Konfiguration der Windows-Clusterfunktionen in Verbindung mit der Sicherung von Computern finden Sie im Microsoft Knowledge Base-Artikel 891597, „Anwenden strengerer Sicherheitseinstellungen auf einem Windows Server 2003-basierten Clusterserver“ (in englischer Sprache), unter https://support.microsoft.com/kb/891597/en-us.

Die zur Prozessverwaltung verwendeten Dienstprogramme können nur Prozesse beeinflussen, bei denen der Benutzer, der die Dienstprogramme ausführt, und der Prozesseigentümer identisch sind. Das Windows Server 2003 Resource Kit-Tool Kill.exe z. B. erfordert dieses Benutzerrecht, damit ein Administrator Prozesse beenden kann, die nicht von ihm gestartet wurden.

Darüber hinaus erfordern ältere Versionen von Update.exe (zur Installation von Windows-Produktupdates), dass das Konto, das zur Anwendung des Updates verwendet wird, über dieses Benutzerrecht verfügt. Wenn Sie einen der Patches installieren, der diese Version von Update.exe verwendet, antwortet der Computer möglicherweise nicht. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 830846, „Windows-Produktaktualisierungen reagieren nicht mehr oder beanspruchen die CPU-Ressourcen vollständig bzw. zum größten Teil“, unter https://support.microsoft.com/default.aspx?scid=830846.

Den Zugriff auf diesen Computer vom Netzwerk aus verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer eine Verbindung zum Computer über das Netzwerk herstellen können.

Für die Einstellung Zugriff vom Netzwerk auf diesen Computer verweigern sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Benutzer, die sich über das Netzwerk an einem Computer anmelden können, sind in der Lage, Listen mit Kontonamen, Gruppennamen und freigegebenen Ressourcen anzuzeigen. Benutzer mit dem Zugriffsrecht auf freigegebene Ordner und Dateien können eine Verbindung über das Netzwerk herstellen und möglicherweise Daten einsehen und ändern. Sie können dieses Benutzerrecht für Konten mit hohem Risiko explizit verweigern, um eine zusätzliche Sicherheitsebene hinzuzufügen. (Zu den Konten mit hohem Risiko zählen z. B. das lokale Gastkonto und andere Konten, die aus unternehmerischer Sicht nicht über einen Netzwerkzugriff verfügen müssen.)

Gegenmaßnahme

Weisen Sie das Benutzerrecht Zugriff vom Netzwerk auf diesen Computer verweigern folgenden Konten zu:

  • ANONYMOUS-ANMELDUNG

  • Vordefiniertes lokales Administratorkonto

  • Lokales Gastkonto

  • Vordefiniertes Supportkonto

  • Alle Dienstkonten

Eine wichtige Ausnahme sind Dienstkonten, die zum Starten eines Dienstes verwendet werden, der eine Verbindung zum Computer über das Netzwerk herstellen muss. Wenn Sie z. B. einen freigegebenen Ordner so konfigurieren, dass über einen Webserver darauf zugegriffen und der Ordnerinhalt über eine Website angezeigt werden kann, müssen Sie u. U. das Konto zulassen, das IIS ausführt. Nur auf diese Weise ist über das Netzwerk eine Anmeldung am Server mit dem freigegebenen Ordner möglich. Dieses Benutzerrecht ist zur Einhaltung von Bestimmungen besonders nützlich, wenn Sie Server und Arbeitsstationen konfigurieren müssen, auf denen vertrauliche Informationen verarbeitet werden.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Zugriff vom Netzwerk auf diesen Computer verweigern für andere Gruppen konfigurieren, können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aufgaben hat.

Anmeldung als Batchauftrag verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer über eine Batchwarteschlangeneinrichtung anmelden können. Dies ist eine Funktion in Windows Server 2003, mit der Aufträge geplant und zu einem späteren Zeitpunkt einmal oder mehrmals automatisch gestartet werden können. Dieses Benutzerrecht wird für alle Konten benötigt, mit denen geplante Aufträge über den Taskplaner gestartet werden.

Für die Einstellung Anmelden als Batchauftrag verweigern sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Konten mit dem Benutzerrecht Anmelden als Batchauftrag verweigern können zum Planen von Aufträgen verwendet werden, die extrem viel Systemressourcen beanspruchen und u. U. einen Denial-of-Service verursachen.

Gegenmaßnahme

Weisen Sie das Benutzerrecht Anmelden als Batchauftrag verweigern dem vordefinierten Supportkonto und dem lokalen Gastkonto zu.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Anmelden als Batchauftrag verweigern anderen Konten zuweisen, können Benutzer mit bestimmten Administratorrollen u. U. an der Durchführung von erforderlichen Aufgaben gehindert werden. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aufgaben hat. Wenn Sie dieses Benutzerrecht z. B. dem Konto „IWAM_<Computername>“ zuweisen, schlägt der MSM-Verwaltungspunkt fehl. Auf einem neu installierten Computer unter Windows Server 2003 gehört dieses Konto nicht zur Gruppe Gäste. Wenn der Computer jedoch von Windows 2000 auf die höhere Version aktualisiert wird, ist dieses Konto weiterhin ein Mitglied der Gruppe Gäste. Es ist daher wichtig, dass Sie wissen, welches Konto zu welcher Gruppe gehört, bevor das Benutzerrecht Anmelden als Batchauftrag verweigern einem Konto zugewiesen wird.

Anmelden als Dienst verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer als Dienst anmelden können.

Für die Einstellung Anmelden als Dienst verweigern sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Konten, bei denen die Anmeldung als Dienst möglich ist, können dazu verwendet werden, neue, nicht autorisierte Dienste zu starten, z. B. Keylogger oder andere schädliche Programme. Der Vorteil dieser Gegenmaßnahme wird dadurch geschmälert, dass nur Benutzer mit Administratorrechten Dienste konfigurieren und installieren können. Ein Angreifer, der diese Zugriffsebene bereits erreicht hat, kann den Dienst so konfigurieren, dass er mit dem Systemkonto ausgeführt wird.

Gegenmaßnahme

In diesem Handbuch wird empfohlen, das Benutzerrecht Anmelden als Dienst verweigern keinem Konto zuzuweisen. Dies ist auch die Standardkonfiguration. In Organisationen, die sehr großen Wert auf Sicherheit legen, kann dieses Benutzerrecht Gruppen und Konten zugewiesen werden, die sich nie als Dienst anmelden müssen.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Anmelden als Dienst verweigern bestimmten Konten zuweisen, können u. U. einige Dienste nicht mehr gestartet werden, was zu einem Denial-of-Service führen kann.

Lokal anmelden verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer direkt über die Computertastatur anmelden können.

Für die Einstellung Lokal anmelden verweigern sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Jedes Konto, das über die Möglichkeit zur lokalen Anmeldung verfügt, kann für die Anmeldung an der Computerkonsole verwendet werden. Wenn Sie dieses Benutzerrecht nicht auf autorisierte Benutzer beschränken, die sich an der Computerkonsole anmelden müssen, können nicht autorisierte Benutzer schädlichen Code herunterladen und ausführen, um ihre Berechtigungsebene zu erhöhen.

Gegenmaßnahme

Weisen Sie das Benutzerrecht Lokal anmelden verweigern dem vordefinierten Supportkonto zu. Bei Installation optionaler Komponenten (z. B. ASP.NET) müssen Sie dieses Benutzerrecht u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind.

Hinweis: Das Konto Support_388945a0 ermöglicht die Hilfe- und Support-Dienstkompatibilität mit signierten Skripts. Dieses Konto wird hauptsächlich dazu verwendet, den Zugriff auf signierte Skripts zu steuern. Auf diese Skripts kann innerhalb der Hilfe- und Support-Dienste zugegriffen werden. Administratoren können über dieses Konto Benutzern ohne Administratorzugriff erlauben, signierte Skripts über Links auszuführen, die in Hilfe- und Supportdiensten eingebettet sind. Diese Skripts können so programmiert werden, dass sie die Anmeldeinformationen des Kontos „Support_388945a0“ anstelle der Anmeldeinformationen des Benutzers verwenden, um auf dem lokalen Computer bestimmte Administratoraktionen durchzuführen, die andernfalls nicht von normalen Benutzerkonten unterstützt werden.

Wenn ein delegierter Benutzer auf eine Verknüpfung in den Hilfe- und Supportdiensten klickt, wird das Skript unter dem Sicherheitskontext des Kontos „Support_388945a0“ ausgeführt. Dieses Konto hat nur eingeschränkten Zugriff auf den Computer und ist in der Standardeinstellung deaktiviert.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Lokal anmelden verweigern zusätzlichen Konten zuweisen, können die Möglichkeiten für Benutzer mit bestimmten Rollen in der Umgebung begrenzt werden. Dieses Benutzerrecht muss jedoch auf Computern, die IIS 6.0 ausführen, dem ASPNET-Konto explizit zugewiesen sein. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aktivitäten hat.

Anmeldung über Terminaldienste verweigern

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer über eine Remotedesktopverbindung am Computer anmelden können.

Für die Einstellung Anmelden über Terminaldienste verweigern sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Jedes Konto mit dem Recht zur Anmeldung über Terminaldienste kann für die Anmeldung an der Remotekonsole des Computers verwendet werden. Wenn Sie dieses Benutzerrecht nicht auf autorisierte Benutzer beschränken, die sich an der Computerkonsole anmelden müssen, können nicht autorisierte Benutzer schädlichen Code herunterladen und ausführen, um ihre Berechtigungsebene zu erhöhen.

Gegenmaßnahme

Weisen Sie das Benutzerrecht Anmelden über Terminaldienste verweigern dem vordefinierten lokalen Administratorkonto und allen Dienstkonten zu. Bei Installation optionaler Komponenten (z. B. ASP.NET) müssen Sie dieses Benutzerrecht u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Anmelden über Terminaldienste verweigern anderen Gruppen zuweisen, können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Konten mit diesem Benutzerrecht können weder über Terminaldienste noch über Remoteunterstützung eine Verbindung zum Computer herstellen. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aufgaben hat.

Computer und Benutzerkonten für Delegierungszwecke vertrauen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Einstellung Für Delegierungszwecke vertraut für einen Benutzer oder ein Computerobjekt in Active Directory ändern können. Benutzer oder Computer, denen dieses Benutzerrecht gewährt wird, müssen auch Schreibzugriff auf die Kontosteuerungsflags des Objekts haben.

Die Funktion zur Authentifizierungsdelegierung wird von mehrschichtigen Client-/Serveranwendungen verwendet. Sie ermöglicht einem Front-End-Dienst die Verwendung der Anmeldeinformationen eines Clients zur Authentifizierung bei einem Back-End-Dienst. Für diese Konfiguration müssen sowohl der Client als auch der Server unter Konten ausgeführt werden, denen für Delegierungszwecke vertraut wird.

Für die Einstellung Computer und Benutzerkonten für Delegierungszwecke vertrauen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Bei Missbrauch des Benutzerrechts Computer und Benutzerkonten für Delegierungszwecke vertrauen können nicht autorisierte Benutzer die Identität von anderen Benutzern im Netzwerk annehmen. Ein Angreifer kann diese Berechtigung ausnutzen, um Zugriff auf Netzwerkressourcen zu erhalten und zu bewirken, dass die Vorgänge nach einer Sicherheitsverletzung nur schwer nachvollzogen werden können.

Gegenmaßnahme

Das Benutzerrecht Computer und Benutzerkonten für Delegierungszwecke vertrauen sollte nur zugewiesen werden, wenn eindeutig feststeht, dass diese Funktion benötigt wird. Bei Zuweisung dieses Rechts sollten Sie sich mit der eingeschränkten Delegierung vertraut machen, damit Sie die Funktionsweise der delegierten Konten steuern können.

Hinweis: Es besteht kein Anlass, dieses Benutzerrecht einem Benutzer auf einem Mitgliedsserver oder einer Arbeitsstation der Domäne zuzuweisen, da es in diesen Kontexten keine Bedeutung hat. Dieses Benutzerrecht ist nur für Domänencontroller und eigenständige Computer relevant.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Erzwingen des Herunterfahrens von einem Remotesystem aus

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer einen Computer von einem Remotestandort im Netzwerk aus herunterfahren können.

Für die Einstellung Erzwingen des Herunterfahrens von einem Remotesystem aus sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Jeder Benutzer, der zum Herunterfahren eines Computers berechtigt ist, kann u. U. einen Denial-of-Service verursachen. Daher sollte dieses Benutzerrecht streng beschränkt werden.

Gegenmaßnahme

Begrenzen Sie das Benutzerrecht Erzwingen des Herunterfahrens von einem Remotesystem aus auf die Gruppe Administratoren oder andere ausdrücklich zugewiesene Rollen, für die diese Funktion erforderlich ist (z. B. Mitarbeiter im Betriebszentrum ohne Verwaltungsaufgaben).

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Erzwingen des Herunterfahrens von einem Remotesystem aus aus der Gruppe Server-Operatoren entfernen, können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aktivitäten hat.

Generieren von Sicherheitsüberwachungen

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess Überwachungseinträge im Sicherheitsprotokoll erzeugen kann. Anhand der Informationen im Sicherheitsprotokoll können Sie nicht autorisierte Computerzugriffe verfolgen.

Für die Einstellung Generieren von Sicherheitsüberwachungen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Konten mit Schreibzugriff auf das Sicherheitsprotokoll können von einem Angreifer verwendet werden, um dieses Protokoll mit sinnlosen Ereignissen zu füllen. Wenn der Computer zum bedarfsabhängigen Überschreiben von Ereignissen konfiguriert ist, kann der Angreifer mit dieser Methode Beweise für seine nicht autorisierten Aktivitäten entfernen. Wenn der Computer so konfiguriert ist, dass er herunterfährt, wenn er nicht in das Sicherheitsprotokoll schreiben kann, und wenn keine automatische Sicherungskopie der Protokolldateien angefertigt wird, kann mit dieser Methode ein Denial-of-Service verursacht werden.

Gegenmaßnahme

Stellen Sie sicher, dass nur den Dienst- und Netzwerkdienstkonten das Benutzerrecht Generieren von Sicherheitsüberwachungen zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Annehmen der Clientidentität nach Authentifizierung

Mit dem Benutzerrecht Annehmen der Clientidentität nach Authentifizierung können die im Auftrag eines Benutzers ausgeführten Programme die Identität dieses Benutzers (oder eines anderen angegebenen Kontos) annehmen und Vorgänge in seinem Namen ausführen. Wenn dieses Benutzerrecht für diese Art von Identitätsannahme erforderlich ist, kann ein nicht autorisierter Benutzer einen Client nicht überzeugen, eine Verbindung zu einem von ihm erstellten Dienst zur Identitätsannahme des Clients herzustellen, z. B. durch einen Remoteprozeduraufruf (RPC) oder Named Pipes. Andernfalls kann der nicht autorisierte Benutzer seine Berechtigungen auf Verwaltungs- oder Systemebene erhöhen.

In der Standardeinstellung wird die vordefinierte Gruppe Dienst den Zugriffstokens der durch den Dienststeuerungs-Manager gestarteten Dienste hinzugefügt. Den Zugriffstokens von COM-Servern, die durch die COM-Infrastruktur gestartet werden und so konfiguriert sind, dass sie unter einem bestimmten Konto ausgeführt werden, wird die Gruppe Dienst ebenfalls hinzugefügt. Dadurch wird diesen Diensten bei ihrem Start dieses Benutzerrecht zugewiesen.

Außerdem kann ein Benutzer die Identität eines Zugriffstokens annehmen, wenn eine der folgenden Bedingungen erfüllt ist:

  • Das zu imitierende Zugriffstoken ist für diesen Benutzer bestimmt.

  • Der Benutzer in dieser Anmeldesitzung hat sich im Netzwerk mit expliziten Anmeldeinformationen angemeldet, um das Zugriffstoken zu erstellen.

  • Die erforderliche Ebene liegt unterhalb der Ebene „Identität wechseln“, wie z. B. die Ebene „Anonym“ oder „Identifizieren“.

Aufgrund dieser Faktoren muss den Benutzern dieses Benutzerrecht normalerweise nicht zugewiesen werden.

Für die Einstellung Annehmen der Clientidentität nach Authentifizierung sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Ein Angreifer mit dem Benutzerrecht Annehmen der Clientidentität nach Authentifizierung kann einen Client dazu bringen, eine Verbindung zu einem vom Angreifer erstellten Dienst herzustellen, und anschließend die Identität des Clients annehmen, um seine Berechtigungen auf die Stufe des Clients zu erhöhen.

Gegenmaßnahme

Stellen Sie sicher, dass auf Mitgliedsservern nur den Gruppen Administratoren und Dienst das Benutzerrecht Annehmen der Clientidentität nach Authentifizierung zugewiesen wird. Für Computer, die IIS 6.0 ausführen, muss dieses Benutzerrecht der Gruppe „IIS_WPG“ zugewiesen sein, die dieses Recht dem Konto „Netzwerkdienst“ erteilt.

Mögliche Auswirkung

In den meisten Fällen hat diese Konfiguration keine Auswirkungen. Bei Installation optionaler Komponenten (z. B. ASP.NET oder IIS) müssen Sie das Benutzerrecht Annehmen der Clientidentität nach Authentifizierung u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind (z. B. IUSR_<Computername>, IIS_WPG, ASP.NET oder IWAM_<Computername>).

Anheben der Zeitplanungspriorität

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Basisprioritätsklasse eines Prozesses erhöhen können. (Das Erhöhen der relativen Priorität innerhalb einer Prioritätsklasse ist kein privilegierter Vorgang.) Die mit dem Betriebssystem gelieferten Verwaltungsprogramme erfordern dieses Benutzerrecht nicht, es ist jedoch u. U. für Softwareentwicklungsprogramme erforderlich.

Für die Einstellung Anheben der Zeitplanungspriorität sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Ein Benutzer mit diesem Benutzerrecht kann die Zeitplanungspriorität eines Prozesses auf Echtzeit erhöhen. Dadurch bleibt für alle anderen Prozesse wenig Verarbeitungszeit, und es kann zu einem Denial-of-Service kommen.

Gegenmaßnahme

Stellen Sie sicher, dass nur Administratoren das Benutzerrecht Anheben der Zeitplanungspriorität zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Laden und Entfernen von Gerätetreibern

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Gerätetreiber dynamisch laden und entfernen können. Das Benutzerrecht ist nicht erforderlich, wenn ein signierter Treiber für die neue Hardware bereits in der Datei Driver.cab auf dem Computer vorhanden ist.

Für die Einstellung Laden und Entfernen von Gerätetreibern sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Gerätetreiber werden als hoch privilegierter Code ausgeführt. Ein Benutzer mit dem Benutzerrecht Laden und Entfernen von Gerätetreibern kann schädlichen Code, der als Gerätetreiber getarnt ist, versehentlich installieren. Administratoren sollten mit größter Vorsicht vorgehen und nur Treiber mit bestätigten digitalen Signaturen installieren.

Hinweis: Sie müssen über dieses Benutzerrecht verfügen und ein Mitglied der Gruppe Administratoren oder Hauptbenutzer sein, um einen neuen Treiber für einen lokalen Drucker zu installieren bzw. einen lokalen Drucker zu verwalten und Standardwerte für Optionen wie beispielsweise die Duplexdruckoption einzustellen. Die Bedingung, dass Benutzer sowohl über das Benutzerrecht verfügen als auch Mitglied der Gruppe Administratoren oder Hauptbenutzer sein müssen, ist eine neue Anforderung unter Windows XP und Windows Server 2003.

Gegenmaßnahme

Weisen Sie das Benutzerrecht Laden und Entfernen von Gerätetreibern auf Mitgliedsservern nur der Gruppe Administratoren zu. Auf Domänencontrollern weisen Sie dieses Benutzerrecht nur der Gruppe Domänen-Admins zu.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Laden und Entfernen von Gerätetreibern aus der Gruppe Druck-Operatoren oder aus anderen Konten entfernen, können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aufgaben hat.

Seiten im Speicher sperren

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess Daten im physischen Speicher ablegen kann, wodurch der Computer daran gehindert wird, die Daten in einen virtuellen Speicher auf der Festplatte auszulagern. Wenn Sie dieses Benutzerrecht zuweisen, kann die Computerleistung erheblich beeinträchtigt werden.

Für die Einstellung Seiten im Speicher sperren sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Benutzer mit dem Benutzerrecht Seiten im Speicher sperren können mehreren Prozessen physischen Speicher zuweisen, wobei wenig oder gar kein Arbeitsspeicher für andere Prozesse übrig bleibt und ein Denial-of-Service verursacht werden kann.

Gegenmaßnahme

Weisen Sie keinem Konto das Benutzerrecht Seiten im Speicher sperren zu.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Anmelden als Stapelverarbeitungsauftrag

Durch diese Richtlinieneinstellung wird festgelegt, ob sich Benutzer über eine Batchwarteschlangeneinrichtung (z. B. den Taskplanerdienst) anmelden können. Wenn ein Administrator den Assistenten für geplante Tasks verwendet, um einen Task unter einem bestimmten Benutzernamen und Kennwort auszuführen, wird diesem Benutzer automatisch das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag zugewiesen. Zum Zeitpunkt des geplanten Tasks meldet der Taskplanerdienst den Benutzer als Stapelverarbeitungsauftrag (und nicht als interaktiven Benutzer) an. Der Task wird dann im Sicherheitskontext des Benutzers ausgeführt.

Für die Einstellung Anmelden als Stapelverarbeitungsauftrag sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag stellt eine Sicherheitsanfälligkeit mit geringem Risiko dar. Für die meisten Organisationen reichen die Standardeinstellungen aus.

Gegenmaßnahme

Dieses Benutzerrecht sollte vom Computer automatisch verwaltet werden, wenn Sie zulassen möchten, dass geplante Tasks für bestimmte Benutzerkonten ausgeführt werden. Wenn Sie den Taskplaner nicht auf diese Weise verwenden möchten, konfigurieren Sie das Benutzerrecht Anmelden als Stapelverarbeitungsauftrag nur für das lokale Dienstkonto und das lokale Unterstützungskonto (Support_388945a0). Für IIS-Server müssen Sie diese Richtlinie lokal (und nicht durch domänenbasierte Gruppenrichtlinien) konfigurieren, damit Sie sicherstellen können, dass die lokalen Konten „IUSR_<Computername>“ und „IWAM_<Computername>“ über dieses Anmelderecht verfügen.

Mögliche Auswirkung

Wenn Sie die Einstellung Anmelden als Stapelverarbeitungsauftrag durch domänenbasierte Gruppenrichtlinien festlegen, kann der Computer dieses Benutzerrecht nicht den für geplante Aufträge verwendeten Konten im Taskplaner zuweisen. Bei Installation optionaler Komponenten (z. B. ASP.NET oder IIS) müssen Sie dieses Benutzerrecht u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind. IIS erfordert, dass dieses Benutzerrecht der Gruppe „IIS_WPG“ und den Konten „IUSR_<Computername>“, „ASPNET“ und „IWAM_<Computername>“ zugewiesen wird. Wenn das Benutzerrecht dieser Gruppe und diesen Konten nicht zugewiesen wird, kann IIS einige COM-Objekte nicht ausführen, die für eine ordnungsgemäße Funktionsweise erforderlich sind.

Als Dienst anmelden

Durch diese Richtlinieneinstellung wird festgelegt, ob sich ein Sicherheitsprinzipal als Dienst anmelden kann. Dienste können so konfiguriert werden, dass sie unter den Konten „Lokales System“, „Lokaler Dienst“ oder „Netzwerkdienst“ ausgeführt werden. Diese Konten haben ein vordefiniertes Recht zur Anmeldung als Dienst. Allen Diensten, die unter einem separaten Benutzerkonto ausgeführt werden, muss dieses Benutzerrecht zugewiesen werden.

Für die Einstellung Als Dienst anmelden sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Benutzerrecht Als Dienst anmelden ist sehr umfassend, da Konten mit diesem Recht Netzwerkdienste oder ständig auf dem Computer ausgeführte Dienste starten können, auch wenn kein Benutzer an der Konsole angemeldet ist. Das Risiko wird jedoch dadurch verringert, dass nur Benutzer mit Verwaltungsrechten Dienste installieren und konfigurieren können. Ein Angreifer, der bereits diese Zugriffsebene erreicht hat, kann den Dienst so konfigurieren, dass er mit dem lokalen Systemkonto ausgeführt wird.

Gegenmaßnahme

Der Standardsatz an Sicherheitsprinzipalen mit dem Benutzerrecht Als Dienst anmelden ist auf die Konten „Lokales System“, „Lokaler Dienst“ und „Netzwerkdienst“ begrenzt. Bei diesen Konten handelt es sich ausschließlich um vordefinierte lokale Konten. Die Anzahl der anderen Konten mit diesem Benutzerrecht sollte möglichst gering gehalten werden.

Mögliche Auswirkung

Bei den meisten Computern handelt es sich hierbei um die Standardkonfiguration. Bei dieser treten keine negativen Auswirkungen auf. Bei Installation optionaler Komponenten (z. B. ASP.NET oder IIS) müssen Sie jedoch das Benutzerrecht Als Dienst anmelden u. U. den zusätzlichen Konten zuweisen, die für diese Komponenten erforderlich sind. IIS erfordert, dass dieses Benutzerrecht dem Benutzerkonto „ASPNET“ explizit zugewiesen wird.

Verwalten von Überwachungs- und Sicherheitsprotokoll

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Objektzugriff-Überwachungsoptionen für einzelne Ressourcen (z. B. Dateien, Active Directory-Objekte und Registrierungsschlüssel) angeben können. Objektzugriffsüberwachungen werden nur ausgeführt, wenn Sie diese im Bereich Überwachungsrichtlinie unter Sicherheitseinstellungen, Lokale Richtlinien aktivieren. Ein Benutzer mit diesem Benutzerrecht kann das Sicherheitsereignisprotokoll anzeigen und aus der Ereignisanzeige löschen.

Für die Einstellung Verwalten von Überwachungs- und Sicherheitsprotokoll sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Die Möglichkeit zur Verwaltung des Sicherheitsereignisprotokolls ist ein umfassendes Benutzerrecht, das genauestens überwacht werden sollte. Jeder Benutzer mit diesem Benutzerrecht kann das Sicherheitsprotokoll löschen und wichtige Beweise für nicht autorisierte Aktivitäten beseitigen.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Gruppe Administratoren das Benutzerrecht Verwalten von Überwachungs- und Sicherheitsprotokoll zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Firmware-Umgebungsvariablen ändern

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer Systemumgebungsvariablen durch einen Prozess (über eine API) oder durch einen Benutzer (über die Systemeigenschaften) ändern können.

Für die Einstellung Firmware-Umgebungsvariablen ändern sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Jeder Benutzer mit dem Benutzerrecht Firmware-Umgebungsvariablen ändern kann durch entsprechende Einstellungskonfiguration den Ausfall einer Hardwarekomponente verursachen. Die Folge wäre eine Beschädigung von Daten oder ein Denial-of-Service.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Gruppe Administratoren das Benutzerrecht Firmware-Umgebungsvariablen ändern zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Wartungsaufgaben für Speichermedien ausführen

Durch diese Richtlinieneinstellung wird festgelegt, ob Nicht-Administratoren oder Remotebenutzer Verwaltungsaufgaben für Datenträger oder Festplatten durchführen können (z. B. vorhandene Datenträger defragmentieren, Datenträger erstellen oder entfernen und das Tool zur Datenträgerbereinigung ausführen). Windows Server 2003 überprüft dieses Benutzerrecht im Zugriffstoken eines Benutzers, wenn ein im Sicherheitskontext des Benutzers ausgeführter Prozess SetFileValidData() aufruft.

Für die Einstellung Wartungsaufgaben für Speichermedien ausführen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Ein Benutzer mit dem Benutzerrecht Wartungsaufgaben für Speichermedien ausführen kann einen Datenträger löschen und dadurch Datenverluste oder einen Denial-of-Service verursachen.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Gruppe Administratoren das Benutzerrecht Wartungsaufgaben für Speichermedien ausführen zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Einzelprozessprofil erstellen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Leistung von Anwendungsprozessen überprüfen können. Dieses Benutzerrecht ist normalerweise nicht erforderlich, um das MMC-Snap-In „Leistung“ verwenden zu können (MMC = Microsoft Management Console). Jedoch müssen Sie über dieses Benutzerrecht verfügen, wenn der Systemmonitor so konfiguriert wurde, dass Daten mit der Windows-Verwaltungsinstrumentation (WMI) gesammelt werden.

Für die Einstellung Einzelprozessprofil erstellen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Benutzerrecht Einzelprozessprofil erstellen stellt ein geringes Sicherheitsrisiko dar. Angreifer mit diesem Benutzerrecht können die Leistung eines Computers überwachen und wichtige Prozesse identifizieren, auf die ein direkter Angriff erfolgen soll. Der Angreifer kann u. U. auch die auf dem Computer ausgeführten Prozesse und somit die zu umgehenden Gegenmaßnahmen (z. B. Antivirensoftware, Eindringungserkennungssysteme) identifizieren oder feststellen, welche anderen Benutzer an einem Computer angemeldet sind.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Gruppe Administratoren das Benutzerrecht Einzelprozessprofil erstellen zugewiesen wird.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Einzelprozessprofil erstellen aus der Gruppe Hauptbenutzer oder aus anderen Konten entfernen, können die Möglichkeiten für Benutzer mit bestimmten Administratorrollen in der Umgebung begrenzt werden. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aufgaben hat.

Erstellen eines Profils der Systemleistung

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Leistung von Computersystemprozessen überprüfen können. Diese Berechtigung wird vom MMC-Snap-In „Leistung“ nur angefordert, wenn es für die Datensammlung mit WMI konfiguriert ist. Dieses Benutzerrecht ist normalerweise nicht erforderlich, um das Snap-In „Leistung“ verwenden zu können. Jedoch müssen Sie über dieses Benutzerrecht verfügen, wenn der Systemmonitor so konfiguriert wurde, dass Daten mit WMI gesammelt werden.

Für die Einstellung Systemleistungsprofil erstellen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Benutzerrecht Systemleistungsprofil erstellen stellt ein geringes Sicherheitsrisiko dar. Angreifer mit diesem Benutzerrecht können die Leistung eines Computers überwachen und wichtige Prozesse identifizieren, auf die ein direkter Angriff erfolgen soll. Der Angreifer kann u. U. auch die auf dem Computer ausgeführten Prozesse und somit die zu umgehenden Gegenmaßnahmen (z. B. Antivirensoftware oder Eindringungserkennungssysteme) identifizieren.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Gruppe Administratoren das Benutzerrecht Systemleistungsprofil erstellen zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Entfernen eines Computers aus der Dockingstation

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer eines tragbaren Computers im Menü Start auf PC trennen klicken können, um den Computer abzudocken.

Für die Einstellung Entfernen eines Computers aus der Dockingstation sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Jeder Benutzer mit dem Benutzerrecht Entfernen eines Computers aus der Dockingstation kann einen tragbaren Computer aus der Dockingstation entfernen. Der Wert dieser Gegenmaßnahme wird durch folgende Faktoren geschmälert:

  • Wenn ein Angreifer den Computer neu starten kann, hat er die Möglichkeit, ihn aus der Dockingstation zu entfernen (nach dem Start des BIOS, jedoch bevor das Betriebssystem gestartet wird).

  • Diese Einstellung hat keine Auswirkungen auf Server, da diese normalerweise nicht an Dockingstationen angeschlossen sind.

  • Außerdem kann der Angreifer den Computer mitsamt der Dockingstation stehlen.

Gegenmaßnahme

Stellen Sie sicher, dass nur den lokalen Gruppen Administratoren und Hauptbenutzer das Benutzerrecht Entfernen eines Computers aus der Dockingstation zugewiesen wird.

Mögliche Auswirkung

Diese Konfiguration hat nur geringe Auswirkungen, da dies die Standardkonfiguration ist. Wenn die Benutzer in der Organisation jedoch keine Mitglieder der Gruppe Hauptbenutzer oder Administratoren sind, können sie ihre tragbaren Computer nicht aus der Dockingstation entfernen, ohne sie zuvor zu beenden. Daher müssen Sie u. U. das Benutzerrecht Entfernen eines Computers aus der Dockingstation der lokalen Gruppe Benutzer für tragbare Computer zuweisen.

Ersetzen eines Prozessebenentokens

Durch diese Richtlinieneinstellung wird festgelegt, ob ein übergeordneter Prozess das mit einem untergeordneten Prozess verknüpfte Zugriffstoken ersetzen kann.

Für die Einstellung Ersetzen eines Prozessebenentokens sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Ein Benutzer mit dem Benutzerrecht Ersetzen eines Prozessebenentokens kann Prozesse mit einer anderen Benutzeridentität starten. Mit dieser Methode kann ein Benutzer nicht autorisierte Aktivitäten auf dem Computer unbemerkt ausführen. (Auf Windows 2000-Computern ist für die Verwendung des Benutzerrechts Ersetzen eines Prozessebenentokens auch das Benutzerrecht Anpassen von Speicherkontingenten für einen Prozess erforderlich, das weiter oben in diesem Kapitel erläutert wurde.)

Gegenmaßnahme

Stellen Sie sicher, dass nur den Konten „Lokaler Dienst“ und „Netzwerkdienst“ das Benutzerrecht Ersetzen eines Prozessebenentokens zugewiesen wird.

Mögliche Auswirkung

Bei den meisten Computern handelt es sich hierbei um die Standardkonfiguration. Bei dieser treten keine negativen Auswirkungen auf. Bei Installation optionaler Komponenten (z. B. ASP.NET oder IIS) müssen Sie jedoch u. U. das Benutzerrecht Ersetzen eines Prozessebenentokens zusätzlichen Konten zuweisen. IIS z. B. erfordert, dass dieses Benutzerrecht den Konten „Dienst“, „Netzwerkdienst“ und „IWAM_<Computername>“ explizit zugewiesen wird.

Wiederherstellen von Dateien und Verzeichnissen

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer bei der Wiederherstellung von gesicherten Dateien und Verzeichnissen die Berechtigungen für Dateien und Verzeichnisse umgehen können und ob sie als Objektbesitzer gültige Sicherheitsprinzipale festlegen können.

Für die Einstellung Wiederherstellen von Dateien und Verzeichnissen sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Ein Angreifer mit dem Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen kann sensible Daten auf einem Computer wiederherstellen und die aktuellen Daten überschreiben. Dies kann zum Verlust von wichtigen Daten, zur Datenbeschädigung oder zu einem Denial-of-Service führen. Außerdem kann ein Angreifer ausführbare Dateien, die von legitimierten Administratoren oder Systemdiensten verwendet werden, mit Versionen überschreiben, die schädlichen Code enthalten, um sich selbst erhöhte Berechtigungen zu erteilen, Daten zu beschädigen oder Hintertüren für ständigen Computerzugriff zu installieren.

Hinweis: Trotz Konfiguration dieser Gegenmaßnahme kann ein Angreifer weiterhin Daten auf einem Computer wiederherstellen, wenn dieser zu einer vom Angreifer gesteuerten Domäne gehört. Daher ist es wichtig, dass Organisationen Speichermedien für Sicherheitskopien besonders gut schützen.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Gruppe Administratoren das Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen zugewiesen wird, es sei denn in Ihrer Organisation sind klar definierte Rollen für Mitarbeiter festgelegt, die für das Sichern und Wiederherstellen von Daten zuständig sind.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Wiederherstellen von Dateien und Verzeichnissen aus der Gruppe Sicherungs-Operatoren und aus anderen Konten entfernen, können einige Benutzer u. U. bestimmte delegierte Aufgaben nicht mehr durchführen. Stellen Sie sicher, dass diese Änderung keine negativen Auswirkungen auf die Arbeitsbedingungen der Mitarbeiter in der Organisation hat.

System herunterfahren

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer den lokalen Computer herunterfahren können.

Für die Einstellung System herunterfahren sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Recht, Domänencontroller herunterzufahren, sollte auf eine kleine Gruppe von vertrauenswürdigen Administratoren beschränkt werden. Obwohl das Benutzerrecht System herunterfahren voraussetzt, dass sich der Benutzer beim Server anmelden kann, sollten Sie die zum Herunterfahren eines Domänencontrollers berechtigten Konten und Gruppen besonders sorgfältig auswählen.

Wenn ein Domänencontroller heruntergefahren wird, ist er nicht mehr verfügbar, um Anmeldungen zu verarbeiten, Gruppenrichtlinien bereitzustellen und LDAP-Anfragen (Lightweight Directory Access Protocol) zu beantworten. Durch das Herunterfahren von Domänencontrollern mit FSMO-Rollen (Flexible Single Master Operations) können Sie wichtige Domänenfunktionen deaktivieren, z. B. das Verarbeiten von Anmeldungen für neue Kennwörter – die Emulationsrolle des primären Domänencontrollers (PDC).

Gegenmaßnahme

Stellen Sie sicher, dass auf Mitgliederservern nur Administratoren und Sicherungs-Operatoren das Benutzerrecht System herunterfahren zugewiesen wird und dass auf Domänencontrollern nur Administratoren über dieses Benutzerrecht verfügen.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht System herunterfahren aus diesen Standardgruppen entfernen, können die delegierten Möglichkeiten für zugewiesene Rollen in der Umgebung begrenzt werden. Sie müssen sicherstellen, dass dies keine negativen Auswirkungen auf delegierte Aktivitäten hat.

Synchronisieren von Verzeichnisdienstdaten

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Prozess alle Objekte und Eigenschaften im Verzeichnis unabhängig von den auf die Objekte und Eigenschaften angewendeten Schutzmaßnahmen lesen kann. Diese Berechtigung ist zur Verwendung der LDAP-Verzeichnissynchronisierungsdienste (dirsync) erforderlich.

Für die Einstellung Synchronisieren von Verzeichnisdienstdaten sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Das Benutzerrecht Synchronisieren von Verzeichnisdienstdaten betrifft Domänencontroller. Nur Domänencontroller sollten Verzeichnisdienstdaten synchronisieren können. Domänencontroller verfügen grundsätzlich über dieses Benutzerrecht, da der Synchronisierungsprozess im Kontext des Systemkontos auf den Domänencontrollern ausgeführt wird. Ein Angreifer mit diesem Benutzerrecht kann auf alle im Verzeichnis gespeicherten Daten zugreifen. Mit diesen Informationen kann der Angreifer weitere Angriffe ausführen oder sensible Daten wie Telefonnummern oder Adressen offen legen.

Gegenmaßnahme

Stellen Sie sicher, dass keinem Konto das Benutzerrecht Synchronisieren von Verzeichnisdienstdaten zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Übernehmen des Besitzes an Dateien und Objekten

Durch diese Richtlinieneinstellung wird festgelegt, ob Benutzer die Besitzrechte für ein zu sicherndes Objekt übernehmen können. Hierzu zählen Active Directory-Objekte, NTFS-Dateien und -Ordner, Drucker, Registrierungsschlüssel, Dienste, Prozesse und Threads.

Für die Einstellung Übernehmen des Besitzes an Dateien und Objekten sind folgende Werte möglich:

  • Benutzerdefinierte Kontenliste

  • Nicht definiert

Sicherheitsanfälligkeit

Jeder Benutzer mit dem Benutzerrecht Übernehmen des Besitzes an Dateien und Objekten kann unabhängig von den vom Objekt geforderten Berechtigungen Kontrolle über ein Objekt erlangen und beliebige Änderungen am Objekt vornehmen. Solche Änderungen können zur Offenlegung von Daten, Datenbeschädigung oder einem Denial-of-Service führen.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Gruppe Administratoren das Benutzerrecht Übernehmen des Besitzes an Dateien und Objekten zugewiesen wird.

Mögliche Auswirkung

Keine. Hierbei handelt es sich um die Standardkonfiguration.

Weitere Informationen

Die folgenden Links bieten weitere Informationen zum Zuweisen von Benutzerrechten unter Windows Server 2003 und Windows XP.

In diesem Beitrag

Download

Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)

Benachrichtigung über Neuerungen

Melden Sie sich an, um sich über Updates und neue Versionen zu informieren

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge

 Dd443751.pageLeft(de-de,TechNet.10).gif 5 von 14 Dd443751.pageRight(de-de,TechNet.10).gif