Windows Vista Security P2

Chia sẻ: Vong Phat | Ngày: | Loại File: PDF | Số trang:20

0
43
lượt xem
4
download

Windows Vista Security P2

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Beschreibung Mit dieser Richtlinie wird festgelegt, ob Standardadministratorenkonten (gemeint sind das lokale Standardadministratorenkonto und das Konto des Domänenadministrators) erhöhte Rechte ebenfalls nur durch explizite Betätigung erhalten. Bei aktivierter Richtlinie ist ebenfalls eine Betätigung erforderlich, bei deaktivierter Richtlinie nicht (was gleich-zeitig bedeutet, dass diese Konten beim Einsatz „angreifbarer“ werden).

Chủ đề:
Lưu

Nội dung Text: Windows Vista Security P2

  1. 1 Benutzerkontensteuerung Abbildung 1.18 Steuerung über Gruppenrichtlinien, Teil 1 Richtlinie Beschreibung Administratorbestätigungsmodus Mit dieser Richtlinie wird festgelegt, ob Standard- für das integrierte Administra- administratorenkonten (gemeint sind das lokale Standard- torenkonto administratorenkonto und das Konto des Domänen- administrators) erhöhte Rechte ebenfalls nur durch explizite Be- tätigung erhalten. Bei aktivierter Richtlinie ist ebenfalls eine Be- tätigung erforderlich, bei deaktivierter Richtlinie nicht (was gleich- zeitig bedeutet, dass diese Konten beim Einsatz „angreifbarer“ werden). Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Grundsätzlich sollten die Standard- administratorenkonten nicht für die Administration oder gar für die tägliche Arbeit genutzt werden (bei Windows Vista ist das lokale Administratorenkonto standardmäßig deaktiviert). Da in der Pra- xis für die Verwaltung leider immer noch oft das Standard- Domänenadministratorenkonto eingesetzt wird, sollte diese Richt- linie sicherheitshalber aktiviert werden, um auch beim Einsatz dieses Kontos optimalen Schutz zu genießen. Alle Administratoren im Admi- Nur wenn diese Richtlinie aktiviert ist, ist die Benutzerkonten- nistratorbestätigungsmodus aus- steuerung auch tatsächlich aktiv. Bei deaktivierter Richtlinie ste- führen hen somit keine Funktionen der Benutzerkontensteuerung (siche- re Rechteerhöhung bei Bedarf, Split-Token-Prozess, Dateisys- 22
  2. 1.5 Steuerung mittels Gruppenrichtlinien tem- und Registrierungsvirtualisierung) zur Verfügung. Standardeinstellungen: Aktiviert Empfohlene Einstellung: Um die Sicherheit des Systems zu er- höhen und zu ermöglichen, dass auch Administratoren stets nur mit Standardbenutzerrechten arbeiten, sollte diese Richtlinie im- mer aktiviert werden. Anwendungsinstallation erkennen Wenn diese Richtlinie aktiviert ist, wird die Installation von An- und erhöhte Rechte anfordern wendungen heuristisch erkannt und dem Benutzer ermöglicht, seine Rechte für die Installation zu erhöhen. Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Da Benutzer in Unternehmen lediglich mit Standardrechten arbeiten sollten und Software von Admi- nistratoren installiert bzw. verteilt wird, sollte diese Richtlinie de- aktiviert werden. Wenn ein Benutzer versucht, eine Anwendung zu installieren, wird ihm dadurch keine Möglichkeit geboten, seine Rechte für den Installationsprozess zu erhöhen. Bei Benutzeraufforderung nach Wenn diese Richtlinie aktiviert ist, wechselt das System bei der erhöhten Rechten zum sicheren Benutzeraufforderung nach erhöhten Rechten vom interaktiven Desktop wechseln Desktop zum sicheren Desktop. Der Prozess der Benutzerrech- teerhöhung wird daher isoliert und lässt sich in keiner Weise be- absichtigt oder unbeabsichtigt (z.B. durch einen Virus) automati- sieren. Wird die Richtlinie deaktiviert, wird der Rechteerhö- hungsprozess auf dem interaktiven Desktop gestartet, wodurch eine Interaktion mit anderen Anwendungen möglich wird. Standardeinstellungen: Aktiviert Empfohlene Einstellung: Diese Einstellung sollte unbedingt akti- viert werden, um sicherzustellen, dass lediglich der Benutzer sel- ber den Entscheid treffen kann, die Benutzerrechte entsprechend zu erhöhen. Die Benutzerrechte können so nicht ohne Wissen des Benutzers erhöht werden (beispielsweise durch Viren, Skrip- te oder sonstigen Code). Datei- und Registrierungsschreib- Wenn diese Richtlinie aktiviert ist, wird die Virtualisierung von Da- fehler an Einzelbenutzerstandorte tei- und Registrierungsschreibfehlern aktiviert. Dabei werden virtualisieren fehlgeschlagene Schreibversuche in den Virtual Store des Benut- zers umgeleitet, sodass Anwendungen, die nicht Vista-konform entwickelt worden sind, trotzdem lauffähig sind. Bei deaktivierter Richtlinie können Anwendungen möglicherweise nicht korrekt ausgeführt werden. Standardeinstellungen: Aktiviert 23
  3. 1 Benutzerkontensteuerung Empfohlene Einstellung: Diese Richtlinie sollte aktiviert bleiben, sodass Anwendungen möglichst uneingeschränkt ausgeführt werden können. Nur ausführbare Dateien herauf- Falls auf Windows Vista-Rechnern Anwendungen nur dann mit stufen, die signiert und validiert erhöhten Rechten ausgeführt werden dürfen, wenn sie eine digi- sind tale Signatur besitzen, kann diese Option aktiviert werden. Bei Aktivierung wird beim Start jeder Anwendung, die erhöhte Rechte benötigt, geprüft, ob diese digital signiert ist und ob dem Ausstel- ler des Zertifikats vertraut wird. Ist dies der Fall, können die Rechte erhöht und die Anwendung ohne Einschränkungen aus- geführt werden, ansonsten wird die Ausführung verhindert. Bleibt die Richtlinie deaktiviert, können alle Anwendungen, die erhöhte Rechte fordern – auch diejenigen ohne digitale Signatur –, aus- geführt werden. Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Digitale Signaturen für Anwendungen sind heute noch nicht sehr verbreitet. Damit sichergestellt werden kann, dass alle Anwendungen einwandfrei ausgeführt werden können, wird diese Richtlinie im Normalfall deaktiviert. Falls keine Anwendungen eingesetzt werden, die erhöhte Rechte benötigen, bzw. solche Anwendungen über digitale Signaturen verfügen, kann die Richtlinie natürlich aktiviert werden. Nur erhöhte Rechte für UIAccess- Bei UIAccess-Anwendungen handelt es sich um Anwendungen, Anwendungen, die an sicheren die auf „fremde“ Fenster zugreifen können, d.h., sie können mit Orten installiert sind anderen Anwendungen zusammenarbeiten. Dazu müssen sie im Manifest den Eintrag „UIAccess = True“ aufweisen und über eine digitale Signatur verfügen (das ist für alle Anwendungen, die eine UIAccess-Integritätsebene anfordern, Pflicht). Wenn diese An- wendungen jetzt noch an einem sicheren Ort installiert sind – bei sicheren Orten handelt es sich um die Verzeichnisse %Program- Files% und %System32% –, dann erfüllen sie alle Anforderungen dieser Richtlinie. Wird die Richtlinie aktiviert, können diese An- wendungen erhöhte Rechte anfordern, ansonsten nicht. Standardeinstellungen: Aktiviert Empfohlene Einstellung: Aktivieren Sie diese Richtlinie für höchs- te Sicherheit. Somit wird sichergestellt, dass nur „saubere“ An- wendungen in andere Prozesse eingreifen können und das Sys- tem optimal geschützt ist. Anmerkung: Erinnern Sie sich noch an das Tool „SigCheck.exe“, mit dessen Hilfe man Manifestinformationen anzeigen kann? 24
  4. 1.5 Steuerung mittels Gruppenrichtlinien Weiter vorne in diesem Buch wird anhand eines Beispiels das Manifest eines Vista-konformen Programms angezeigt. Unter an- derem ist darin ersichtlich, ob für dieses Programm UIAccess zu- gelassen ist oder nicht. Die meisten Programme haben im Mani- fest einen „False“-Eintrag, was Ihnen den Zugriff auf andere Fenster unmöglich macht. Die Bildschirmtastatur allerdings hat einen „True“-Eintrag. Diesen können Sie mithilfe des Befehls „Sigcheck.exe –m c:\windows\system32\osk.exe“ anzeigen. Der Befehl ist natürlich auch für andere ausführbare Dateien nutzbar. Verhalten der Anhebungsauffor- Diese Richtlinie legt fest, wie Windows Vista bei Standardbenut- derung für Standardbenutzer zern reagiert, wenn für einen bestimmten Prozess (z.B. Konfigu- ration der Windows-Firewall) erhöhte Rechte notwendig sind. Mit der Option „Anforderungen für erhöhte Rechte automatisch ab- lehnen“ wird die Rechteerhöhung für Standardbenutzer verwei- gert und ein entsprechender Fehler angezeigt. Falls Standardbe- nutzer ihre Rechte erhöhen dürfen, kann dies mit der Option „Auf- forderung zur Eingabe der Anmeldeinformationen“ erreicht wer- den. Benutzer erhalten dabei die Möglichkeit, Benutzernamen und Kennwort eines Administratorenkontos einzugeben und so erhöhte Rechte zu erhalten. Standardeinstellungen: „Anforderungen für erhöhte Rechte auto- matisch ablehnen“ Empfohlene Einstellung: Für Unternehmen macht die Option „An- forderungen für erhöhte Rechte automatisch ablehnen“ Sinn, weil dadurch Standardbenutzer keine Möglichkeit haben, ihre Rechte zu erhöhen. Administratoren melden sich unter Windows Vista grundsätzlich mit Administratorenkonten an und benötigen dieses Recht – weil es nur für Standardbenutzer Gültigkeit hat – daher nicht. Verhalten der Benutzeraufforde- Diese Richtlinie legt fest, wie Windows Vista bei Benutzern mit rung mit erhöhten Rechten für Administratorenrechten reagiert, wenn für einen bestimmten Pro- Administratoren im Administrator- zess (z.B. Konfiguration der Windows-Firewall) erhöhte Rechte bestätigungsmodus notwendig sind. Mit der Option „Erhöhte Rechte ohne Eingabeaufforderung“ wer- den dem Benutzer die erhöhten Rechte ohne weiteren Eingriff er- teilt, wodurch aber die Systemsicherheit beeinträchtigt werden könnte. Die Option „Aufforderung zur Eingabe der Zustimmung“ zeigt dem Benutzer beim Erhöhungsprozess ein Fenster, über das er seine Zustimmung geben muss („Fortsetzen“). Dieses Fenster wird optimal mittels sicherem Desktop angezeigt, sodass dieser Prozess nicht automatisiert oder ohne Wissen des Benut- 25
  5. 1 Benutzerkontensteuerung zers bestätigt werden kann. Bei Aktivierung der Option „Aufforde- rung zur Eingabe der Anmeldeinformationen“ wird der Benutzer aufgefordert, die Anmeldeinformationen eines entsprechenden Administratorenkontos einzugeben, selbst dann, wenn das aktuell verwendete Konto über Administrationsrechte verfügt. Standardeinstellungen: „Aufforderung zur Eingabe der Zustim- mung“ Empfohlene Einstellung: Aus Sicherheitsgründen sollte die Erhö- hung von Rechten immer manuell durch den Benutzer bestätigt werden. Ob dies lediglich eine manuelle Bestätigung ist („Fortset- zen“) oder eine erneute Eingabe der Anmeldeinformationen, spielt grundsätzlich keine Rolle. Aus Gründen der Anwendbarkeit ist die Option „Aufforderung zur Eingabe der Zustimmung“ eine gute Wahl. Im privaten Umfeld weichen einige Standardeinstellungen der aufgeführten Richtlinien ab und sind somit nicht genau gleich wie im Firmenumfeld. Wechseln Sie in einer Gruppenrichtlinie zum Pfad Computerkonfiguration\ Administrative Vorlagen\Windows-Komponenten\Benutzerschnittstelle für Anmelde- informationen. Dort steht noch einmal eine interessante Richtlinie für die Verwaltung der Benutzerkontensteuerung zur Verfügung. Abbildung 1.19 Steuerung über Gruppenrichtlinien, Teil 2 26
  6. 1.6 Deaktivieren der Benutzerkontensteuerung Richtlinie Beschreibung Bei Ausführung mit erhöhten Wenn Rechte erhöht werden müssen, ist unter Umständen (je Rechten Administratorenkonten nach Konfiguration der Benutzerkontensteuerung) die explizite auflisten Anmeldung mit einem Administratorenkonto erforderlich. Wenn diese Richtlinie aktiviert ist, werden verfügbare lokale Administra- torenkonten aufgelistet. Bei deaktivierter Richtlinie kann kein Konto ausgewählt werden, und Benutzername sowie Kennwort müssen explizit eingegeben werden. Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Diese Einstellung sollte deaktiviert wer- den, sodass keine Informationen über lokale Administratorenkon- ten preisgegeben werden. Benutzer müssen in diesem Fall nicht nur das Kennwort eines Kontos kennen, sondern auch den Be- nutzernamen. 1.6 Deaktivieren der Benutzerkontensteuerung Warum überspringen Sie diesen Abschnitt nicht einfach? Sie sollten die Benutzerkonten- steuerung unbedingt aktiviert lassen, wenn Sie einen sicheren, bequemen Betrieb von Win- dows Vista anstreben. Aber bitte, wenn Sie das nicht möchten, lesen Sie weiter ... Die Benutzerkontensteuerung kann auf verschiedene Arten deaktiviert werden. Auch wenn Sie das nicht wirklich tun sollten, stehen verschiedene Möglichkeiten zur Verfügung. Eine Möglichkeit haben Sie bereits kennengelernt: die Konfiguration der Benutzerkontensteue- rung mithilfe von Gruppenrichtlinien. Dadurch lassen sich einzelne Komponenten (bei- spielsweise nur die Virtualisierung von Dateien und Registrierungseinträgen) oder aber die gesamte Funktion vollständig deaktivieren. Eine weitere Möglichkeit der Deaktivierung bietet das Tool „Msconfig.exe“. Dies lässt sich einfach über das Startmenü ausführen. Über den Reiter „Tools“ stehen verschiedene Werkzeuge zur Verfügung, unter anderem „Benutzerkontensteuerung deaktivieren“. Mar- kieren Sie diesen Eintrag, und klicken Sie auf die Schaltfläche Starten. Nach Ausführung des Befehls muss der Rechner neu gestartet werden. Über den gleichen Weg lässt sich die Funktion mit dem Werkzeug „Benutzerkontensteuerung aktivieren“ wieder starten (was mir persönlich wiederum weitaus besser gefällt). 27
  7. 1 Benutzerkontensteuerung Abbildung 1.20 Benutzerkontensteuerung mit „msconfig.exe“ deaktivieren Eine andere Möglichkeit bietet die lokale Benutzerverwaltung. Wechseln Sie dazu über Systemsteuerung, Benutzerkonten, Benutzerkonten zur Benutzerverwaltung, und wäh- len Sie den Menüpunkt Benutzerkontensteuerung ein- oder ausschalten. Löschen Sie die Option „Benutzerkontensteuerung verwenden, um zum Schutz des Computers beizutra- gen“. Auch hier ist ein Neustart notwendig, um die Einstellung zu übernehmen. Abbildung 1.21 Benutzerkontensteuerung über die Benutzerverwaltung deaktivieren 28
  8. 1.7 Für Entwickler 1.7 Für Entwickler Für Anwendungsentwickler ist die Benutzerkontensteuerung ebenfalls entscheidend. Wenn Anwendungen für den Betrieb unter Windows Vista entwickelt werden, sollten diese un- bedingt von Anfang an Vista-konform programmiert werden. Dazu hat Microsoft einen Guide veröffentlicht, der über folgende URL heruntergeladen werden kann: http://www.microsoft.com/downloads/details.aspx?familyid=ba73b169-a648-49af-bc5e- a2eebb74c16b&displaylang=en 1.8 Rückblick Nachdem wir uns die verschiedenen Bereiche angesehen haben, dürfte klar sein, dass ein Arbeiten unter Windows Vista mit Standardbenutzerrechten durchaus realistisch ist. Falls Benutzer für Aktivitäten mehr Rechte benötigen, können diese bei Bedarf erhöht werden. Wenn Anwendungen wegen mangelnder Rechte nicht oder nicht vollständig ausgeführt werden können, kommt die Virtualisierung von Windows Vista zum Zug und ermöglicht mithilfe von Umleitungen in einer Virtual Store ein korrektes Ausführen. Die Benutzer- kontensteuerung dient also nicht ausschließlich der Erhöhung der Sicherheit, sondern auch der Bequemlichkeit. Ein Arbeiten mit einem Betriebssystem soll ja nicht nur sicher sein, sondern auch praktisch. Mithilfe der Benutzerkontensteuerung ist Microsoft hier ein opti- maler Mix gelungen. Für höchstmögliche Sicherheit sollte die Benutzerkontensteuerung unbedingt aktiviert bleiben und anhand der Empfehlungen in diesem Kapitel konfiguriert werden. Letztlich stellt sich aber dennoch die Frage, ob Administratoren tatsächlich nur ein einziges Konto verwenden (das durch den Split-Token-Prozess geschützt wird) oder besser doch mit zwei Konten arbeiten sollten (jeweils eines davon als Standardbenutzer konfiguriert, das für die tägliche Arbeit verwendet wird, und ein zweites mit Administratorenrechten, das ausschließlich für die Rechteerhöhung eingesetzt wird). Für höchstmögliche Sicherheit sollten Administratoren zwei Konten nutzen. Das macht die Rechteerhöhung zwar ein bisschen aufwendiger, weil jeweils Benutzername und Kennwort des Administratorenkon- tos eingegeben werden müssen, aber dafür erreichen Sie damit höchstmögliche Sicherheit. 29
  9. 2 Integritätskontrolle mit Verbindlichkeitsstufen Ein mit Vista (zumindest in der Microsoft-Welt) neu eingeführtes Konzept stellen die sog. Verbindlichkeitsstufen dar. Nebst vielen anderen Sicherheitsfunktionen ist diese wohl ei- ner der aufsehenerregendsten, aber gleichzeitig auch unbekanntesten. Viele Administrato- ren merken anhand verweigerter Rechte, dass sie unter Windows Vista möglicherweise nicht mehr Vollzugriff auf alle Objekte besitzen, und das liegt unter anderem (aber nicht ausschließlich) an diesen neu eingeführten Verbindlichkeitsstufen. 2.1 Der neue Schutzmechanismus von Windows Vista Was aber hat es mit der neuen Sicherheitsfunktion genau auf sich? Unter Windows Vista wurden vier Basis-Verbindlichkeitsstufen eingeführt (und noch zwei erweiterte), um Ob- jekte, Prozesse oder Benutzer unterzubringen. Das bedeutet, dass alle Objekte einer dieser Verbindlichkeitsstufen angehören. Die Idee hinter dem Konzept ist, dass Objekte einer Stufe nur begrenzten oder gar keinen Zugriff auf Objekte höher gelegener Stufen erhalten. So wird das Betriebssystem zusätzlich gehärtet, weil es dadurch viel schwieriger wird, un- bemerkt eine Anwendung wie beispielsweise Malware oder einen Virus in einem System zu integrieren. Benutzer und Anwendungen arbeiten dabei auf einer verhältnismäßig tiefen Stufe, wobei wichtige Prozesse des Betriebssystems auf höheren Stufen arbeiten und so vor unbefugtem Zugriff oder vor Manipulation geschützt sind. Das detaillierte Verhalten, wie auf Objekte oder Prozesse höherer Verbindlichkeitsstufen zugegriffen werden kann, lässt sich konfigurieren. Dazu kommen wir allerdings ein bisschen später. Zusammenfassend könnte man sagen, dass die neue Funktion nebst den bekannten NTFS- Rechten eine weitere (mächtige) Sicherheitsschicht einführt, um das Betriebssystem vor unbefugtem Zugriff zu schützen – diese geht aber bedeutend weiter, weil nicht nur Objekte wie Dateien, Ordner oder Registrierungseinträge, sondern auch Prozesse und Benutzer da- von betroffen sind. Wie aber werden Zugriffe jetzt tatsächlich realisiert? Welche der bei- den Sicherheitsstufen hat denn nun Vorrang, und wie werden die effektiven Rechte für ei- 31
  10. 2 Integritätskontrolle mit Verbindlichkeitsstufen nen Zugriff berechnet? Das ist relativ einfach: Bevor NTFS-Rechte überhaupt verifiziert werden, ist der Zugriff von den Verbindlichkeitsstufen und deren Richtlinien abhängig. Bei einem Zugriff wird zuerst geprüft, ob sich das Zielobjekt (z.B. eine Datei) auf der glei- chen oder einer tieferen Ebene wie das Quellobjekt (z.B. ein Prozess) befindet. Ist dies der Fall, ist seitens der Verbindlichkeitsstufen keine Einschränkung vorhanden, und es werden anschließend die konfigurierten NTFS-Rechte überprüft, um den detaillierten Zugriff zu steuern. Befindet sich das Zielobjekt hingegen auf einer höheren Verbindlichkeitsstufe als das Quellobjekt, ist nur ein eingeschränkter Zugriff (oder unter Umständen gar kein Zugriff) möglich. Wenn beispielsweise auf ein Objekt einer höheren Stufe zugegriffen werden soll, kann es sein, dass kein Schreibzugriff darauf möglich ist, obwohl das eigene Benutzerkonto über volle Zugriffsrechte verfügt. Alle Objekte werden mit einer Richtlinie versehen, die beschreibt, welche Möglichkeiten bestehen, um auf andere Objekte höherer Stufen zuzugreifen. Aber dazu gleich mehr. 2.2 Verfügbare Verbindlichkeitsstufen und Richtlinien Windows Vista kennt folgende Verbindlichkeitsstufen für die Zuweisung zu Objekten: Niedrig Auf dieser Ebene läuft beispielsweise der Prozess des Internet Explorers (sofern der ge- schützte Modus aktiviert ist). Das bedeutet, dass jegliche Aktivitäten des Browsers, inkl. Subprozesse, auf dieser Stufe ausgeführt werden. Da Prozesse einer Stufe stan- dardmäßig nicht über Schreibrechte auf Objekte der höheren Stufen verfügen, kann demnach Code, der über eine Webseite ausgeführt werden soll, auf dem lokalen System keinen Schaden anrichten. Mittel Die meisten Objekte unter Windows Vista werden auf dieser Verbindlichkeitsstufe ausgeführt. Dies gilt auch für Standardbenutzerkonten. Hoch Wenn ein Standardbenutzer seine Rechte erhöht, wird auch die Verbindlichkeitsstufe für den jeweiligen Prozess erhöht, und zwar auf „Hoch“. System Auf dieser Verbindlichkeitsstufe laufen systemnahe Prozesse und Dienste, die mit ei- nem der Konten „Lokales System“ oder „Lokaler Dienst“ gestartet sind. Effektiv existieren noch zwei weitere Stufen, die allerdings fast nirgends sichtbar sind. Es handelt sich um folgende: Nicht vertrauenswürdig Alle anonymen Aktivitäten werden auf dieser Stufe ausgeführt. Dabei handelt es sich um die tiefstmögliche Verbindlichkeitsstufe, die Windows Vista kennt. 32
  11. 2.3 Verbindlichkeitsstufen für Objekte Installer Installations- und Deinstallationsprozesse werden teilweise (nicht immer) auf dieser Ebene ausgeführt. Das kann notwendig sein, um systemnahe Software aus dem System zu deinstallieren. Windows Vista kennt folgende Richtlinien der Verbindlichkeitsstufen für die Zuweisung an Objekte: No Read Up No Write Up No Execute Up Die Richtlinie „No Read Up“ auf einem Objekt verhindert, dass dieses Lesevorgänge auf höher gelegene Objekte durchführen kann. „No Write Up“ hingegen ermöglicht Lese- zugriffe, allerdings wird das Schreiben auf Objekte höherer Stufen verhindert. „No Execu- te Up“ schlussendlich verhindert, dass ausführbare Dateien gestartet werden können. In den meisten Fällen ist ein Objekt für die Richtlinie “No Write Up” konfiguriert. Das be- deutet, dass Objekte keinen Schreibzugriff auf andere Objekte höherer Verbindlichkeits- stufen haben. Sie können wohl Informationen lesen, diese aber nicht verändern. Für viele Prozesse hingegen gilt die Richtlinie „No Read Up“, sodass diese nicht in der Lage sind, Informationen von Objekten auf höheren Stufen auszulesen. Diese Richtlinien lassen sich bei Bedarf natürlich beliebig verändern. Was bedeutet das jetzt aber in Zusammenhang mit NTFS-Rechten? Welchen Einfluss haben diese auf effektive Objektzugriffsrechte? Die ef- fektiven Rechte auf Objekte werden aus einer Kombination von Verbindlichkeitsstufen, den eben erwähnten Richtlinien und den konfigurierten NTFS-Rechten ermittelt. Bei ei- nem Zugriff werden immer zuerst die Verbindlichkeitsstufen und die verfügbaren Richtli- nien geprüft. Wenn beispielsweise ein Zugriff auf ein Objekt einer höheren Stufe erfolgt und die Richtlinie „No Write Up“ Gültigkeit hat, ist der Schreibzugriff grundsätzlich ein- geschränkt. Erst jetzt werden die NTFS-Rechte des Objekts geprüft. Selbst wenn der Be- nutzer, der auf das Objekt zugreifen will, über volle Zugriffsrechte (Vollzugriff) verfügt, wird er das Objekt nicht verändern können, weil die Richtlinie diesen Vorgang nicht zu- lässt. Kennen Sie schon die Situation, dass Sie Objekte auch als Administrator nicht löschen konn- ten? Das kann unter anderem daran liegen, dass Sie von Verbindlichkeitsstufen bzw. der dazu konfigurierten Richtlinien eingeschränkt worden sind. 2.3 Verbindlichkeitsstufen für Objekte Schauen wir uns zuerst Objekte wie Dateien, Ordner und Registrierungsschlüssel an. Alle Objekte, die Windows Vista sichern kann (Objekte, die sich auf einer NTFS-Partition be- finden, aber auch Registrierungsschlüssel), verfügen über eine sog. SACL, eine „System Access Control List“. Diese wurde in früheren Windows-Versionen ausschließlich ver- 33
  12. 2 Integritätskontrolle mit Verbindlichkeitsstufen wendet, um die Überwachung eines Objekts, beispielsweise erfolgreiche Löschvorgänge in einem Ordner, auszuzeichnen. Den gleichen Bereich eines Objekts verwendet Windows Vista nun, um die Verbindlichkeitsstufe eines Objekts zu speichern. Wichtig hierbei ist a- ber zu wissen, dass die Verbindlichkeitsstufe in der SACL über die grafische Oberfläche nicht angezeigt werden kann – dafür sind spezielle Werkzeuge notwendig. Unter Windows Vista gehören die meisten Objekte der Verbindlichkeitsstufe „Mittel“ an. Da Vista allerdings sehr viele Objekte verwaltet, ist nicht jedes einzelne Objekt für diese Verbindlichkeitsstufe konfiguriert worden, das würde einen zu großen Aufwand mit sich bringen, besonders auch dann, wenn Service Packs o.Ä. eingespielt werden. Vielmehr weist Windows Vista einem Systemobjekt, das keine explizit konfigurierte Verbindlich- keitsstufe aufweist, immer automatisch die Stufe „Mittel“ zu. Andere Objekte des Be- triebssystems verfügen über eine konfigurierte Stufe, z.B. explizit „niedrig“ oder explizit „hoch“. Für diese Objekte wird die zugewiesene Stufe – wie bereits erwähnt – in der SACL gespeichert. Mithilfe verschiedener Tools kann die Verbindlichkeitsstufe eines Objekts angezeigt wer- den. Die beste Übersicht bietet das Tool „Accesschk.exe“ von Microsoft (ehemals Sysin- ternals), das zum freien Download auf der Microsoft-Webseite zur Verfügung steht. Mit diesem Tool können die Verbindlichkeitsstufen von Dateien, Ordnern und Registrierungs- schlüsseln angezeigt werden. Ebenfalls angezeigt werden die konfigurierten Richtlinien für die jeweiligen Objekte. Abbildung 2.1 “Accesschk.exe“ zur Anzeige von Verbindlichkeitsstufen Ein anderes Tool für die Darstellung von Verbindlichkeitsstufen ist „Icacls.exe“, das mit Windows Vista mitgeliefert wird. Der Nachteil dieses Werkzeugs ist allerdings, dass bei 34
  13. 2.3 Verbindlichkeitsstufen für Objekte Systemobjekten, die keine explizit konfigurierte Verbindlichkeitsstufe haben (und dem- nach der Stufe „Mittel“ angehören), keine Verbindlichkeitsstufe angezeigt wird. Das ist ein bisschen verwirrend. Abbildung 2.2 „Icacls.exe“ zur Anzeige von Verbindlichkeitsstufen Verbindlichkeitsstufen von Objekten können bei Bedarf angepasst werden. Allerdings ist bei diesem Prozess Vorsicht geboten, weil durch Fehlmanipulation einerseits das Betriebs- system einem erhöhten Risiko ausgesetzt wird, andererseits aber auch Funktionalität beein- trächtigt werden könnte. Wenn – aus welchem Grund auch immer – die Verbindlichkeits- stufe eines Objekts verändert werden muss, sollte dieser Vorgang zuvor ausführlich getes- tet werden. Wie lässt sich aber nun die Stufe eines Objekts ändern? Dazu benötigen Sie einerseits Werkzeuge, beispielsweise „icacls.exe“ von Microsoft. Andererseits wird aber auch die entsprechende Berechtigung benötigt (die standardmäßig keinem Konto zugewiesen ist!), um Verbindlichkeitsstufen anzupassen. Schauen wir uns zuerst die Berechtigung an: 1. Starten Sie den lokalen GPO-Editor (gpedit.msc). Alternativ lässt sich dieses Recht na- türlich auch über einen Domänen-GPO konfigurieren. 2. Wechseln Sie zum Abschnitt Computerkonfiguration\Windows-Einstellungen\ Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten. 3. Editieren Sie die Richtlinie „Verändern einer Objektbezeichnung“. Fügen Sie der Richtlinie eine beliebige Gruppe hinzu, die das Recht zur Änderung von Verbindlich- keitsstufen erhalten soll. Übernehmen Sie anschließend die neuen Richtlinieneinstel- lungen. 35
  14. 2 Integritätskontrolle mit Verbindlichkeitsstufen Abbildung 2.3 Rechtezuweisung für das Ändern von Verbindlichkeitsstufen Nachdem Sie nun das Recht besitzen, Verbindlichkeitsstufen zu ändern, möchten wir dies auch gleich testen. Damit keine Systemdateien beeinträchtigt werden, erstellen Sie dazu eine neue Datei. 1. Erstellen Sie auf dem lokalen Windows Vista-Gerät eine neue Datei, und zeigen Sie anschließend mit dem Tool „Accesschk.exe“ von Microsoft die Verbindlichkeitsstufe der Datei an. Wie für alle Objekt wird auch der neuen Datei die Stufe „Mittel“ zuge- wiesen. Abbildung 2.4 Datei erstellen und Verbindlichkeitsstufe anzeigen 2. Ändern Sie nun die Stufe mithilfe des Tools „icacls.exe“ auf „Hoch“. Dabei ist es wichtig, dass der Command Prompt, in dem der Befehl ausgeführt wird, im Adminis- tratorenmodus gestartet wird (Rechtsklick, „Als Administrator ausführen). Nur so lässt sich die Stufe auch tatsächlich auf „Hoch“ setzen. Wird der Befehl als Standardbenut- zer ausgeführt, schlägt er fehl, weil dieser auf der Stufe „Mittel“ arbeitet und dadurch kein Schreibrecht auf Objekte höherer Stufen besitzt. Im folgenden Screenshot wird 36
  15. 2.3 Verbindlichkeitsstufen für Objekte sowohl der fehlgeschlagene als auch der erfolgreiche Versuch des Erhöhungsprozesses gezeigt. Abbildung 2.5 “Icacls.exe“ zur Erhöhung von Verbindlichkeitsstufen (Fehlschlag und Erfolg) 3. Zeigen Sie nach erfolgreicher Erhöhung die neue Verbindlichkeitsstufe des Objekts an. Diese ist jetzt auf „Hoch“ festgelegt. Abbildung 2.6 Anzeigen der neuen Verbindlichkeitsstufe 4. Versuchen Sie im letzten Schritt, die Datei über den Windows Explorer zu löschen. Sie werden bemerken, dass für Löschung der Datei die Rechte des Standard-Tokens nicht ausreichen werden (weil Standardbenutzer auf der Stufe „Mittel“ arbeiten) und daher erhöht werden müssen. Nur wenn sich der Benutzer auch auf der hohen Verbindlich- keitsstufe befindet, kann die Datei tatsächlich gelöscht werden. Ein Standardbenutzer könnte diese Datei nicht löschen, selbst dann nicht, wenn er über volle Zugriffsrechte verfügt. Erinnern Sie sich? Die Richtlinie „No Write Up“ verhindert genau das. 37
  16. 2 Integritätskontrolle mit Verbindlichkeitsstufen Abbildung 2.7 Rechteerhöhung für das Löschen einer Datei Verbindlichkeitsstufen haben – wie in diesem Beispiel gezeigt – Vorrang vor NTFS- Berechtigungen. Wenn demnach ein Benutzer auf Objekte höherer Verbindlichkeitsstufen zugreifen will, spielen die NTFS-Rechte erst in zweiter Instanz bzw. gar keine Rolle, weil der Zugriff evt. bereits durch die höhere Verbindlichkeitsstufe bzw. die konfigurierte Richtlinie blockiert wird. 2.4 Verbindlichkeitsstufen für Prozesse Widmen wir uns nun den Prozessen. Auch diese werden je einer Verbindlichkeitsstufe zu- geordnet und haben daher nur beschränkte Rechte für den Zugriff auf Objekte und andere Prozesse. Bestes Beispiel für einen solchen Prozess ist „Iexplore.exe“, der Prozess des In- ternet Explorers. Sofern der Internet Explorer 7 im geschützten Modus ausgeführt wird (was das genau bedeutet, werden wir uns später anschauen), wird der Prozess in der Stufe „Niedrig“ ausgeführt. Alle Funktionen des Browsers, beispielsweise Subprozesse oder sonstige Aktivitäten, werden dadurch auch in der Stufe „Niedrig“ ausgeführt. Da fast alle Dateien, Prozesse usw. von Windows Vista mindestens der Verbindlichkeitsstufe „Mittel“ zugewiesen sind und die Richtlinie „Write Up“ Schreibprozesse auf Objekte höherer Stu- fen verhindert, bedeutet dies gleichzeitig, dass Malware, die möglicherweise über den In- ternet Explorer heruntergeladen wird und installiert werden soll (natürlich ohne dass der Nutzer etwas davon bemerkt), nicht auf dem System installiert werden kann, weil die Se- tup-Routine nicht auf Betriebssystemobjekte zugreifen kann. Das Betriebssystem genießt demnach gegenüber dem Internet einen sehr hohen Schutz. Man spricht beim geschützten Modus des Internet Explorers daher auch von einer sog. „Sandbox“, weil der Prozess keine Möglichkeit hat, den isolierten Bereich zu verlassen. Wenn durch Benutzerintervention eine Tätigkeit ausgeführt wird, bei der die „Sandbox“ verlassen werden muss, beispielsweise wenn eine Datei von einer Webseite gezielt gespei- chert werden soll, wird dies über einen zweiten Prozess erledigt, der für den aktuellen Vorgang der Stufe „Mittel“ zugeordnet wird und so mehr Möglichkeiten hat. 38
  17. 2.4 Verbindlichkeitsstufen für Prozesse Wenn der geschützte Modus nicht aktiviert ist, wird der Prozess „Iexplore.exe“ auf der Stufe „Mittel“ ausgeführt, was wiederum bedeutet, dass das lokale Betriebssystem nicht mehr den gleichen Schutz genießt. Aus diesem Grund sollte der Internet Explorer unbe- dingt immer im geschützten Modus betrieben werden. Mit dem Tool „Process Explorer“ von Microsoft (ehemals Sysinternals) lässt sich die Ver- bindlichkeitsstufe von Prozessen anzeigen. Das Tool ist kostenfrei verfügbar und kann über die Microsoft-Webseite heruntergeladen werden. Abbildung 2.8 Internet Explorer im geschützten Modus mit niedriger Verbindlichkeitsstufe Andere, besonders systemnahe Prozesse werden in der Verbindlichkeitsstufe „System“ ausgeführt. Dadurch genießen sie vor ungewünschten Eingriffen einen hohen Schutz des Betriebssystems. Folgender Screenshot zeigt als Beispiel den Dienst „Aufgabenplanung“, dessen Prozess in dieser Verbindlichkeitsstufe ausgeführt wird. 39
  18. 2 Integritätskontrolle mit Verbindlichkeitsstufen Abbildung 2.9 Der Dienst „Aufgabenplanung“ in der Verbindlichkeitsstufe „System“ 2.5 Verbindlichkeitsstufen von Benutzerkonten Benutzerkonten sind auch einer Verbindlichkeitsstufe zugeordnet. Ein normaler Benutzer mit Standardrechten arbeitet dabei auf der Stufe „Mittel“. Ein Konto mit administrativen Rechten standardmäßig auch, kann aber bei Bedarf die Rechte und dadurch auch die Ver- bindlichkeitsstufe auf „Hoch“ erhöhen (siehe Benutzerkontensteuerung). Wo aber wird die Information der Verbindlichkeitsstufe bei Benutzern gespeichert? Die Speicherung erfolgt im Token des Benutzer, das bei der Anmeldung generiert wird. Das Token beinhaltet dem- nach neben der SID des Benutzerkontos, den SIDs der Gruppen, denen das Konto zuge- ordnet ist, und den Privilegien des Benutzers nun auch die Verbindlichkeitsstufe. Bei ei- nem Administrator, der bekanntlich über zwei Tokens verfügt (siehe Benutzerkontensteue- rung, Split-Token-Prozess), weisen beide Tokens eine Angabe der Verbindlichkeitsstufe auf. Das Standard-Token weist die Verbindlichkeitsstufe „Mittel“ auf, das Admin-Token die Stufe „Hoch“. Mithilfe des Tools „Whoami.exe“, das mit Windows Vista mitgeliefert wird, lässt sich die Stufe eines Benutzerkontos darstellen. Starten Sie dazu die Eingabeaufforderung im nor- malen Modus, und führen Sie den Befehl aus. 40
  19. 2.5 Verbindlichkeitsstufen von Benutzerkonten Abbildung 2.10 Auszug eines Benutzer-Tokens (Standard-Token) Es ist ersichtlich, dass der Benutzer auf der mittleren Verbindlichkeitsstufe arbeitet. An- ders sieht es aus, wenn die Eingabeaufforderung im Administratorenmodus gestartet wird (Rechtsklick, „Als Administrator ausführen“). Abbildung 2.11 Auszug eines Benutzer-Tokens (Admin-Token) 41
Đồng bộ tài khoản