Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind beschrieben.
Referenz
Mit dieser Richtlinieneinstellung werden Public Key Infrastructure (PKI)-Signaturüberprüfungen für alle interaktiven Anwendungen durchgesetzt, die erhöhte Rechte anfordern. Durch Angabe von Zertifikaten können Sie im Speicher für vertrauenswürdige Herausgeber auf den lokalen Computern steuern, welche Apps ausgeführt werden dürfen.
Ein vertrauenswürdiger Herausgeber ist ein Zertifikataussteller, den der Benutzer des Computers als vertrauenswürdig eingestuft hat und dessen Zertifikatdetails dem Store für vertrauenswürdige Herausgeber hinzugefügt wurden.
Windows verwaltet Zertifikate im Zertifikatspeicher. Diese Speicher können im Dateisystem oder in der Registrierung als Container dargestellt oder als physische Speicher wie z. B. Smartcards implementiert werden. Zertifikatstores sind mit dem Computerobjekt verknüpft oder gehören einem bestimmten Benutzer, der auf diesem Computer einen Sicherheitskontext und ein Profil besitzt. Zusätzlich können Dienste Zertifikatstores besitzen. Ein Zertifikatspeicher enthält häufig zahlreiche Zertifikate, die von einer Reihe verschiedener Zertifizierungsstellen (CAs) ausgestellt worden sein können.
Wenn die Zertifikatpfaderkennung gestartet wird, versucht Windows, die ausstellende Zertifizierungsstelle für die Zertifikate zu finden, und entwickelt einen Zertifikatpfad zum vertrauenswürdigen Stammzertifikat. Zwischenzertifikate sind als Teil des Anwendungsprotokolls enthalten oder werden aus der Gruppenrichtlinie oder über URLs abgerufen, die in der Erweiterung „Zugriff auf Stelleninformationen“ (Authority Information Access, AIA) angegeben werden. Wenn der Pfad erstellt wurde, wird jedes Zertifikat im Pfad hinsichtlich der Gültigkeit in Bezug auf verschiedene Parameter überprüft, z. B. Name, Zeit, Signatur, Sperrstatus und andere Einschränkungen.
Mögliche Werte
Aktiviert
Erzwingt die Überprüfung der PKI-Zertifizierungskette für eine bestimmte ausführbare Datei, bevor diese ausgeführt werden darf.
Deaktiviert
Erzwingt keine Überprüfung der PKI-Zertifizierungskette für eine bestimmte ausführbare Datei, bevor diese ausgeführt werden darf.
Bewährte Methoden
- Die bewährten Methoden sind von den Zielen hinsichtlich Sicherheit und Leistung abhängig.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Computers in Kraft.
Gruppenrichtlinie
Alle Überwachungsfunktionen sind in die Gruppenrichtlinie integriert. Sie können diese Einstellungen auf der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Snap-In „Lokale Sicherheitsrichtlinie“ für eine Domäne, Website oder Organisationseinheit (Organizational Unit, OU) konfigurieren, bereitstellen und verwalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Geistiges Eigentum, persönlich identifizierbare Informationen und andere vertraulichen Daten werden in der Regel von Anwendungen auf dem Computer geändert, und für den Zugriff auf die Informationen sind erhöhte Rechte erforderlich. Benutzer und Administratoren vertrauen grundsätzlich Anwendungen, die mit diesen Informationsquellen verwendet werden, und geben ihre Anmeldeinformationen an. Wenn eine dieser Anwendungen durch eine unerwünschte Anwendung ersetzt wird, die anscheinend mit der vertrauenswürdigen Anwendung identisch ist, könnten die vertraulichen Daten gefährdet werden. Darüber hinaus würden auch die Administratoranmeldeinformationen gefährdet.
Gegenmaßnahme
Aktivieren Sie Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind.
Mögliche Auswirkung
Das Aktivieren dieser Einstellung erfordert, dass Sie eine PKI-Infrastruktur besitzen und Ihre Unternehmensadministratoren den Store für vertrauenswürdige Herausgeber mit den Zertifikaten für die zulässigen Anwendungen aufgefüllt haben. Einige ältere Anwendungen sind nicht signiert und können nicht in Umgebungen verwendet werden, die mit dieser Einstellung abgesichert sind. Sie sollten die Anwendungen sorgfältig in einer Präproduktionsumgebung testen, bevor Sie diese Einstellung implementieren.
Die Steuerung der auf den Desktops und der Hardware installierten Anwendungen, die Ihrer Domäne beitreten, sollte einen ähnlichen Schutz vor den Risiken wie diese Einstellung bieten. Darüber hinaus stellt der Grad an Schutz, den diese Einstellung bietet, keine Zusicherung dar, dass alle unterwünschten Anwendungen gefunden werden.