DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Richtlinieneinstellung DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax beschrieben.
Referenz
Diese Richtlinieneinstellung ermöglicht es Ihnen, zusätzliche computerweite Maßnahmen zum Steuern des Zugriffs auf alle DCOM (Distributed Component Object Model)-Anwendungen auf einem Gerät festzulegen. Mit diesen Steuerungen können das Aufrufen, Aktivieren und Starten von Anforderungen auf dem Gerät eingeschränkt werden. Sie können sich diese Zugriffssteuerungen einfach als zusätzliche Zugriffsprüfung vorstellen, die anhand einer geräteweiten Zugriffssteuerungsliste (ACL) bei jedem Aufrufen, Aktivieren oder Starten eines COM-Servers ausgeführt wird. Wird die Zugriffsprüfung nicht bestanden, wird das Aufrufen, Aktivieren oder Starten verweigert. (Diese Prüfung erfolgt zusätzlich zu jeder Zugriffsprüfung, die für die serverspezifischen ACLs ausgeführt wird.) Im Grunde wird damit ein Mindeststandard für die Autorisierung sichergestellt, der für den Zugriff auf einen COM-Server eingehalten werden muss. Mit dieser Richtlinieneinstellung werden die Zugriffsberechtigungen für Aufrufrechte gesteuert.
Diese geräteweiten ACLs ermöglichen das Außerkraftsetzen schwacher Sicherheitseinstellungen, die von einer Anwendung über die CoInitializeSecurity-Funktion oder anwendungsspezifische Sicherheitseinstellungen angegeben werden. Sie bieten einen Sicherheitsmindeststandard, der eingehalten werden muss, ungeachtet der Einstellungen des jeweiligen Servers.
Mit den ACLs verfügt der Administrator zudem über einen zentralen Ort zum Festlegen einer allgemeinen Autorisierungsrichtlinie, die für alle COM-Server auf dem Gerät gilt.
Bei dieser Richtlinieneinstellung haben Sie zwei Möglichkeiten, eine ACL anzugeben. Sie können die Sicherheitsbeschreibung in SDDL eingeben, oder Sie können Benutzern und Gruppen Berechtigungen für den lokalen Zugriff oder den Remotezugriff gewähren oder verweigern. Wir empfehlen, dass Sie die ACL-Inhalte, die mit dieser Einstellung angewendet werden sollen, über die integrierte Benutzeroberfläche angeben. Die ACL-Standardeinstellungen variieren in Abhängigkeit von der ausgeführten Windows-Version.
Mögliche Werte
User-defined input der SDDL-Darstellung der Gruppen und Berechtigungen
Wenn Sie die Benutzer oder Gruppen angeben, denen Berechtigungen zugewiesen werden sollen, wird das Feld für die Sicherheitsbeschreibung mit der SDDL (Security Descriptor Definition Language)-Darstellung dieser Gruppen und Berechtigungen aufgefüllt. Benutzern und Gruppen können explizit die Berechtigungen „Zulassen“ oder „Verweigern“ für den lokalen Zugriff und für den Remotezugriff gewährt werden.
Leer
Hiermit wird angegeben, wie die lokale Sicherheitsrichtlinie den Schlüssel für die Richtlinienerzwingung löscht. Mit diesem Wert wird die Richtlinie gelöscht und anschließend auf „Nicht definiert“ festgelegt. Der Wert „Leer“ wird mit dem ACL-Editor zum Leeren der Liste festgelegt; anschließend muss auf „OK“ geklickt werden.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Leer |
Standardrichtlinie für Domänencontroller |
Leer |
Standardeinstellungen für eigenständige Server |
Leer |
Effektive Standardeinstellungen für DC |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Die Registrierungseinstellungen, die durch Aktivieren der Richtlinieneinstellung DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax erstellt werden, haben Vorrang gegenüber den früheren Registrierungseinstellungen, wenn diese Richtlinieneinstellung konfiguriert wurde. Der RPC (Remoteprozeduraufruf)-Dienst überprüft die neuen Registrierungsschlüssel im Abschnitt „Richtlinien“ auf Computereinschränkungen, und die betreffenden Registrierungseinträge haben Vorrang gegenüber den vorhandenen Registrierungsschlüsseln unter OLE. Das heißt, dass zuvor vorhandene Registrierungseinstellungen nicht mehr wirksam sind, und wenn Sie die vorhandenen Einstellungen bearbeiten, werden Gerätezugriffsberechtigungen für Benutzer nicht geändert. Gehen Sie beim Konfigurieren der Liste der Benutzer und Gruppen mit Bedacht vor.
Wenn dem Administrator aufgrund vorgenommener Änderungen im Windows-Betriebssystem die Berechtigung für den Zugriff auf DCOM-Anwendungen verweigert wird, kann er den DCOM-Zugriff auf den Computer mit der Richtlinieneinstellung DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax verwalten. Der Administrator kann mithilfe dieser Einstellung angeben, welche Benutzer und Gruppen die DCOM-Anwendung auf dem Computer lokal und remote aufrufen können. Dadurch wird die Steuerung der DCOM-Anwendung für den Administrator und die Benutzer wiederhergestellt. Öffnen Sie dazu die Einstellung DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax, und klicken Sie auf Sicherheit bearbeiten. Geben Sie die einzuschließenden Benutzer oder Gruppen sowie die Computerzugriffsberechtigungen für die betreffenden Benutzer oder Gruppen an. Dadurch wird die Einstellung definiert, und der entsprechende SDDL-Wert wird festgelegt.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Viele COM-Anwendungen enthalten einen bestimmten sicherheitsspezifischen Code (z. B. zum Aufrufen von „CoInitializeSecurity“), es gelten jedoch schwache Einstellungen, die den nicht authentifizierten Zugriff auf den Prozess zulassen. Ohne die Anwendung zu ändern, können Administratoren diese Einstellungen nicht außer Kraft setzen, um eine höhere Sicherheit in früheren Windows-Versionen zu erzwingen. Ein Angreifer könnte versuchen, die schwache Sicherheit in einer einzelnen Anwendung zu missbrauchen, indem er seinen Angriff über COM-Aufrufe führt.
Die COM-Infrastruktur enthält zudem die Remote Procedure Call Services (RPCSS), einen Systemdienst, der während des Computerstarts und danach ausgeführt wird. Dieser Dienst verwaltet die Aktivierung von COM-Objekten und die Tabelle der ausgeführten Objekte; zudem stellt er Hilfsdienste für das DCOM-Remoting bereit. Er macht RPC-Schnittstellen verfügbar, die remote aufgerufen werden können. Da einige COM-Server den nicht authentifizierten Remotezugriff zulassen, können diese Schnittstellen von beliebigen Personen aufgerufen werden, u. a. auch von nicht authentifizierten Benutzern. Daher kann RPCSS von böswilligen Benutzern mit nicht authentifizierten Remotecomputern angegriffen werden.
Gegenmaßnahme
Um einzelne COM-Anwendungen oder -Dienste zu schützen, legen Sie die Einstellung DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax auf eine geeignete geräteweite ACL fest.
Mögliche Auswirkung
Windows implementiert standardmäßige COM-ACLs im Rahmen ihrer Installation. Wenn die Standardeinstellungen für diese ACLs geändert werden, schlagen einige Anwendungen oder Komponenten, die mit DCOM kommunizieren, möglicherweise fehl. Wenn Sie einen COM-Server implementieren und die Standardeinstellungen außer Kraft setzen, vergewissern Sie sich, dass die von der ACL zugewiesenen anwendungsspezifischen Aufrufberechtigungen die gewünschten Berechtigungen für die entsprechenden Benutzer darstellen. Wenn dies nicht der Fall ist, müssen Sie die ACL für anwendungsspezifische Berechtigungen ändern, um den entsprechenden Benutzern Aktivierungsrechte zu gewähren, sodass Anwendungen und Windows-Komponenten nicht fehlschlagen, die DCOM verwenden.