DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax

Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax beschrieben.

Referenz

Diese Richtlinieneinstellung ähnelt der Einstellung DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax, da sie Ihnen das Definieren zusätzlicher computerweiter Maßnahmen gestattet, die den Zugriff auf alle DCOM-Anwendungen auf einem Gerät steuern. Die in dieser Richtlinieneinstellung angegeben ACLs steuern jedoch lokale Anfragen und Remoteanfragen für den COM-Start (keine Zugriffsanforderungen) auf dem Gerät. Stellen Sie sich diese Zugriffssteuerung einfach als weitere Zugriffsprüfung vor, die anhand einer geräteweiten ACL bei jedem Start eines COM-Servers ausgeführt wird. Wird die Zugriffsprüfung nicht bestanden, wird das Aufrufen, Aktivieren oder Starten verweigert. (Diese Prüfung erfolgt zusätzlich zu jeder Zugriffsprüfung, die für die serverspezifischen ACLs ausgeführt wird.) Im Grunde wird damit ein Mindeststandard für die Autorisierung sichergestellt, der für das Starten eines COM-Servers eingehalten werden muss. Die Richtlinieneinstellung DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax unterscheidet sich insofern, als dass sie eine Zugriffmindestprüfung bereitstellt, die bei Zugriffsversuchen auf einen bereits gestarteten COM-Server angewendet wird.

Diese geräteweiten ACLs ermöglichen das Außerkraftsetzen schwacher Sicherheitseinstellungen, die von einer Anwendung über CoInitializeSecurity oder anwendungsspezifische Sicherheitseinstellungen angegeben werden. Sie bieten einen Sicherheitsmindeststandard, der eingehalten werden muss, ungeachtet der Einstellungen des jeweiligen COM-Servers. Mit den ACLs verfügt der Administrator über einen zentralen Ort zum Festlegen einer allgemeinen Autorisierungsrichtlinie, die für alle COM-Server gilt.

Mit der Einstellung DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax haben Sie zwei Möglichkeiten, eine ACL anzugeben. Sie können die Sicherheitsbeschreibung in SDDL eingeben, oder Sie können Benutzern und Gruppen Berechtigungen für den lokalen Zugriff oder den Remotezugriff gewähren oder verweigern. Wir empfehlen, dass Sie die ACL-Inhalte, die mit dieser Einstellung angewendet werden sollen, über die integrierte Benutzeroberfläche angeben. Die ACL-Standardeinstellungen variieren in Abhängigkeit von der ausgeführten Windows-Version.

Mögliche Werte

• Leer

  Hiermit wird angegeben, wie die lokale Sicherheitsrichtlinie den Schlüssel für die Richtlinienerzwingung löscht. Mit diesem Wert wird die Richtlinie gelöscht und anschließend auf „Nicht definiert“ festgelegt. Der Wert „Leer“ wird mit dem ACL-Editor zum Leeren der Liste festgelegt; anschließend muss auf „OK“ geklickt werden.

• User-defined input der SDDL-Darstellung der Gruppen und Berechtigungen

  Wenn Sie die Benutzer oder Gruppen angeben, denen Berechtigungen zugewiesen werden sollen, wird das Feld für die Sicherheitsbeschreibung mit der SDDL (Security Descriptor Definition Language)-Darstellung dieser Gruppen und Berechtigungen aufgefüllt. Benutzern und Gruppen können explizit die Berechtigungen „Zulassen“ oder „Verweigern“ sowohl für den lokalen Zugriff als auch für den Remotezugriff gewährt werden.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.

Gruppenrichtlinie

Die Registrierungseinstellungen, die durch diese Richtlinie erstellt werden, haben Vorrang gegenüber früheren Registrierungseinträgen in diesem Bereich. Der RPC (Remoteprozeduraufruf)-Dienst (RpcSs) überprüft die neuen Registrierungsschlüssel im Abschnitt „Richtlinien“ auf Computereinschränkungen, und diese Registrierungseinträge haben Vorrang gegenüber den vorhandenen Registrierungsschlüsseln unter OLE.

Wenn Ihnen aufgrund vorgenommener Änderungen an DCOM im Windows-Betriebssystem die Berechtigung zum Aktivieren und Starten von DCOM-Anwendungen verweigert wird, kann mit dieser Einstellung das Aktivieren und Starten von DCOM-Anwendungen auf dem Gerät gesteuert werden.

Sie können mit der Richtlinieneinstellung DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax festlegen, welche Benutzer und Gruppen DCOM-Anwendungen auf dem Gerät lokal und remote starten und aktivieren können. Dadurch wird die Steuerung der DCOM-Anwendung für den Administrator und bestimmte Benutzer wiederhergestellt. Öffnen Sie dazu die Einstellung DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax, und klicken Sie auf Sicherheit bearbeiten. Geben Sie die einzuschließenden Gruppen sowie die Gerätestartberechtigungen für die betreffenden Gruppen an. Dadurch wird die Einstellung definiert, und der entsprechende SDDL-Wert wird festgelegt.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Viele COM-Anwendungen enthalten einen bestimmten sicherheitsspezifischen Code (z. B. zum Aufrufen von „CoInitializeSecurity“), es gelten jedoch schwache Einstellungen, die den nicht authentifizierten Zugriff auf den Prozess zulassen. Ohne die Anwendung zu ändern, können Sie diese Einstellungen nicht außer Kraft setzen, um eine höhere Sicherheit in früheren Windows-Versionen zu erzwingen. Ein Angreifer könnte versuchen, die schwache Sicherheit in einer einzelnen Anwendung zu missbrauchen, indem er seinen Angriff über COM-Aufrufe führt.

Die COM-Infrastruktur enthält zudem die Remote Procedure Call Services (RPCSS), einen Systemdienst, der während des Computerstarts und stets danach ausgeführt wird. Dieser Dienst verwaltet die Aktivierung von COM-Objekten und die Tabelle der ausgeführten Objekte; zudem stellt er Hilfsdienste für das DCOM-Remoting bereit. Er macht RPC-Schnittstellen verfügbar, die remote aufgerufen werden können. Da einige COM-Server die nicht authentifizierte Remoteaktivierung von Komponenten zulassen, können diese Schnittstellen von beliebigen Personen aufgerufen werden, u. a. auch von nicht authentifizierten Benutzern. Daher kann RPCSS von böswilligen Benutzern mit nicht authentifizierten Remotecomputern angegriffen werden.

Gegenmaßnahme

Um einzelne COM-Anwendungen oder -Dienste zu schützen, legen Sie diese Einstellung auf eine geeignete computerweite ACL fest.

Mögliche Auswirkung

Windows implementiert standardmäßige COM-ACLs im Rahmen ihrer Installation. Wenn die Standardeinstellungen für diese ACLs geändert werden, schlagen einige Anwendungen oder Komponenten, die mit DCOM kommunizieren, möglicherweise fehl. Wenn Sie einen COM-Server implementieren und die Standardeinstellungen außer Kraft setzen, vergewissern Sie sich, dass die von der ACL zugewiesenen anwendungsspezifischen Startberechtigungen Aktivierungsberechtigungen für die entsprechenden Benutzer enthalten. Wenn dies nicht der Fall ist, müssen Sie die ACL für anwendungsspezifische Startberechtigungen ändern, um den entsprechenden Benutzern Aktivierungsrechte zu gewähren, sodass Anwendungen und Windows-Komponenten nicht fehlschlagen, die DCOM verwenden.

Verwandte Themen

Sicherheitsoptionen