Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken beschrieben.

Referenzen

Durch diese Richtlinieneinstellung wird die Stärke der standardmäßigen besitzverwalteten Zugriffssteuerungsliste (Discretionary Access Control List, DACL) für Objekte festgelegt. Windows verwaltet eine globale Liste freigegebener Systemressourcen, z. B. MS-DOS-Gerätenamen, Mutexe und Semaphore. Mithilfe dieser Liste können Objekte von Prozessen ausfindig gemacht und gemeinsam genutzt werden. Jeder Objekttyp wird mit einer Standard-DACL erstellt, die definiert, wer mit welcher Berechtigung auf die Objekte zugreifen kann. Wenn diese Richtlinieneinstellung aktiviert ist, ist die Standard-DACL stärker. Sie erlaubt Nicht-Administratoren zwar das Lesen, aber nicht die Änderung freigegebener Objekte, die sie nicht selbst erstellt haben.

Mögliche Werte

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Bewährte Methoden

  • Es wird empfohlen, diese Richtlinie auf Aktiviert festzulegen.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Nicht definiert

Standardeinstellungen für eigenständige Server

Aktiviert

Effektive Standardeinstellungen für DC

Aktiviert

Effektive Standardeinstellungen für Mitgliedsserver

Aktiviert

Effektive Standardeinstellungen für Clientcomputer

Aktiviert

 

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Diese Richtlinieneinstellung ist standardmäßig aktiviert, um Schutz vor bekannten Sicherheitslücken zu bieten, die bei festen Links oder symbolischen Verknüpfungen verwendet werden können. Feste Links sind echte Verzeichniseinträge im Dateisystem. Bei festen Links kann über unterschiedliche Dateinamen auf dieselben Daten in einem Dateisystem Bezug genommen werden. Symbolische Verknüpfungen sind Textdateien, die einen Zeiger auf die Datei bereitstellen, der vom Betriebssystem als Pfad zu einer anderen Datei oder einem anderen Verzeichnis interpretiert und verfolgt wird. Da symbolische Verknüpfungen eine separate Datei darstellen, können sie unabhängig vom Zielspeicherort vorhanden sein. Wenn eine symbolische Verknüpfung gelöscht wird, wirkt sich dies nicht auf den Zielspeicherort aus. Wenn diese Einstellung deaktiviert ist, können böswillige Benutzer eine Datendatei zerstören, indem Sie einen Link erstellen, der einer vom System automatisch erstellten temporären Datei ähnelt (z. B. eine Protokolldatei mit fortlaufendem Namen). In Wirklichkeit verweist der Link aber auf die Datendatei, die der böswillige Benutzer zerstören möchte. Wenn das System Dateien mit diesem Namen schreibt, werden die Daten überschrieben. Durch Aktivieren von Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken wird ein Angreifer an der missbräuchlichen Nutzung von Programmen gehindert, die Dateien mit vorhersagbaren Namen erstellen. Dies geschieht, indem der Schreibzugriff auf nicht selbst erstellte Objekte untersagt wird.

Gegenmaßnahme

Aktivieren Sie die Einstellung Systemobjekte: Standardberechtigungen globaler Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken.

Mögliche Auswirkung

Keine. Dies ist die Standardkonfiguration.

Verwandte Themen

Sicherheitsoptionen