Systemeinstellungen: optionale Subsysteme

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Systemeinstellungen: optionale Subsysteme beschrieben.

Referenzen

Diese Richtlinieneinstellung bestimmt, von welchen Subsystemen Ihre Anwendungen unterstützt werden. Mithilfe dieser Sicherheitseinstellung können Sie so viele Subsysteme angeben, wie von Ihrer Umgebung gefordert werden.

Das Subsystem bringt jedoch auch ein Sicherheitsrisiko mit sich, das möglicherweise von Anmeldung zu Anmeldung fortbesteht. Wenn ein Benutzer einen Prozess startet und sich dann abmeldet, könnte der nächste Benutzer, der sich beim System anmeldet, auf den vom vorherigen Benutzer gestarteten Prozess zugreifen. Dies ist gefährlich, weil der vom ersten Benutzer gestartete Prozess die Systembenutzerrechte dieses Benutzers beibehalten kann. Der zweite Benutzer führt also alle Aktionen in diesem Prozess unter den Benutzerrechten des ersten Benutzers aus. Dadurch ist es schwierig zu verfolgen, von wem die Prozesse und Objekte erstellt werden, was jedoch für die Forensik nach Sicherheitsvorfällen entscheidend ist.

Mögliche Werte

• Benutzerdefinierte Liste der Subsysteme

• Nicht definiert

Bewährte Methoden

• Legen Sie diese Richtlinieneinstellung auf einen NULL-Wert fest. Der Standardwert ist POSIX, sodass Anwendungen, die auf das POSIX-Subsystem angewiesen sind, nicht mehr ausgeführt werden. Microsoft Services für UNIX 3.0 installieren beispielsweise eine aktualisierte Version des POSIX-Subsystems. Setzen Sie diese Richtlinieneinstellung in der Gruppenrichtlinie für alle Server zurück, die die Services für UNIX 3.0 verwenden.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Das POSIX-Subsystem ist ein IEEE (Institute of Electrical und elektronische-Entwicklern)-Standard, durch den eine Reihe von Betriebssystemdiensten definiert werden. Das POSIX-Subsystem ist erforderlich, wenn der Server Anwendungen unterstützt, die dieses Subsystem verwenden.

Das POSIX-Subsystem bringt jedoch ein Sicherheitsrisiko in Zusammenhang mit Prozessen mit sich, das möglicherweise von Anmeldung zu Anmeldung fortbesteht. Wenn ein Benutzer einen Prozess startet und sich dann abmeldet, besteht die Möglichkeit, dass der nächste Benutzer, der sich bei dem Computer anmeldet, auf den Prozess des vorherigen Benutzers zugreifen könnte. Dadurch könnte der zweite Benutzer mit den Berechtigungen des ersten Benutzers Aktionen für den Prozess ausführen.

Gegenmaßnahme

Konfigurieren Sie die Einstellung Systemeinstellungen: optionale Subsysteme mit einem NULL-Wert. Der Standardwert lautet POSIX.

Mögliche Auswirkung

Auf dem POSIX-Subsystem basierende Anwendungen sind nicht mehr betriebsbereit. Microsoft Services für UNIX (SFU) installieren beispielsweise eine aktualisierte Version des erforderlichen POSIX-Subsystems, sodass Sie diese Einstellungen in der Gruppenrichtlinie für alle Server neu konfigurieren müssen, die SFU verwenden.

Verwandte Themen

Sicherheitsoptionen