Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Grundsätzlich sollten die Standard-administratorenkonten nicht für die Administration oder gar für die tägliche Arbeit genutzt
Trang 11 Benutzerkontensteuerung
22
Abbildung 1.18 Steuerung über Gruppenrichtlinien, Teil 1
Administratorbestätigungsmodus
für das integrierte
Administra-torenkonto
Mit dieser Richtlinie wird festgelegt, ob administratorenkonten (gemeint sind das lokale Standard-administratorenkonto und das Konto des Domänen-administrators) erhöhte Rechte ebenfalls nur durch explizite
tätigung erhalten Bei aktivierter Richtlinie ist ebenfalls eine
Be-tätigung erforderlich, bei deaktivierter Richtlinie nicht (was gleich-zeitig bedeutet, dass diese Konten beim Einsatz angreifbarer werden)
Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Grundsätzlich sollten die Standard-administratorenkonten nicht für die Administration oder gar für die tägliche Arbeit genutzt werden (bei Windows Vista ist das lokale Administratorenkonto standardmäßig deaktiviert) Da in der Pra-xis für die Verwaltung leider immer noch oft das Standard-Domänenadministratorenkonto eingesetzt wird, sollte diese Richt-linie sicherheitshalber aktiviert werden, um auch beim Einsatz dieses Kontos optimalen Schutz zu genießen.
Alle Administratoren im
Admi-nistratorbestätigungsmodus
aus-führen
Nur wenn diese Richtlinie aktiviert ist, ist die Benutzerkonten-steuerung auch tatsächlich aktiv Bei deaktivierter Richtlinie ste-hen somit keine Funktionen der Benutzerkontensteuerung
(siche-re Rechteerhöhung bei Bedarf, Split-Token-Prozess,
Trang 2Dateisys-1.5 Steuerung mittels Gruppenrichtlinien
tem- und Registrierungsvirtualisierung) zur Verfügung
Standardeinstellungen: Aktiviert Empfohlene Einstellung: Um die Sicherheit des Systems zu er-höhen und zu ermöglichen, dass auch Administratoren stets nur mit Standardbenutzerrechten arbeiten, sollte diese Richtlinie im-mer aktiviert werden
Anwendungsinstallation erkennen
und erhöhte Rechte anfordern
Wenn diese Richtlinie aktiviert ist, wird die Installation von An-wendungen heuristisch erkannt und dem Benutzer ermöglicht, seine Rechte für die Installation zu erhöhen
Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Da Benutzer in Unternehmen lediglich mit Standardrechten arbeiten sollten und Software von Admi-nistratoren installiert bzw verteilt wird, sollte diese Richtlinie de-aktiviert werden Wenn ein Benutzer versucht, eine Anwendung
zu installieren, wird ihm dadurch keine Möglichkeit geboten, seine Rechte für den Installationsprozess zu erhöhen
Bei Benutzeraufforderung nach
erhöhten Rechten zum sicheren
Desktop wechseln
Wenn diese Richtlinie aktiviert ist, wechselt das System bei der Benutzeraufforderung nach erhöhten Rechten vom interaktiven Desktop zum sicheren Desktop Der Prozess der Benutzerrech-teerhöhung wird daher isoliert und lässt sich in keiner Weise be-absichtigt oder unbebe-absichtigt (z.B durch einen Virus) automati-sieren Wird die Richtlinie deaktiviert, wird der Rechteerhö-hungsprozess auf dem interaktiven Desktop gestartet, wodurch eine Interaktion mit anderen Anwendungen möglich wird
Standardeinstellungen: Aktiviert Empfohlene Einstellung: Diese Einstellung sollte unbedingt akti-viert werden, um sicherzustellen, dass lediglich der Benutzer sel-ber den Entscheid treffen kann, die Benutzerrechte entsprechend
zu erhöhen Die Benutzerrechte können so nicht ohne Wissen des Benutzers erhöht werden (beispielsweise durch Viren,
Skrip-te oder sonstigen Code)
Datei- und
Registrierungsschreib-fehler an Einzelbenutzerstandorte
virtualisieren
Wenn diese Richtlinie aktiviert ist, wird die Virtualisierung von Da-tei- und Registrierungsschreibfehlern aktiviert Dabei werden fehlgeschlagene Schreibversuche in den Virtual Store des Benut-zers umgeleitet, sodass Anwendungen, die nicht Vista-konform
Trang 31 Benutzerkontensteuerung
24
Empfohlene Einstellung: Diese Richtlinie sollte aktiviert bleiben, sodass Anwendungen möglichst uneingeschränkt ausgeführt werden können
Nur ausführbare Dateien
herauf-stufen, die signiert und validiert
sind
Falls auf Windows Vista-Rechnern Anwendungen nur dann mit erhöhten Rechten ausgeführt werden dürfen, wenn sie eine digi-tale Signatur besitzen, kann diese Option aktiviert werden Bei Aktivierung wird beim Start jeder Anwendung, die erhöhte Rechte benötigt, geprüft, ob diese digital signiert ist und ob dem Ausstel-ler des Zertifikats vertraut wird Ist dies der Fall, können die Rechte erhöht und die Anwendung ohne Einschränkungen aus-geführt werden, ansonsten wird die Ausführung verhindert Bleibt die Richtlinie deaktiviert, können alle Anwendungen, die erhöhte Rechte fordern auch diejenigen ohne digitale Signatur , aus-geführt werden
Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Digitale Signaturen für Anwendungen sind heute noch nicht sehr verbreitet Damit sichergestellt werden kann, dass alle Anwendungen einwandfrei ausgeführt werden können, wird diese Richtlinie im Normalfall deaktiviert Falls keine Anwendungen eingesetzt werden, die erhöhte Rechte benötigen, bzw solche Anwendungen über digitale Signaturen verfügen, kann die Richtlinie natürlich aktiviert werden
Nur erhöhte Rechte für
UIAccess-Anwendungen, die an sicheren
Orten installiert sind
Bei UIAccess-Anwendungen handelt es sich um Anwendungen, die auf fremde Fenster zugreifen können, d.h., sie können mit anderen Anwendungen zusammenarbeiten Dazu müssen sie im Manifest den Eintrag UIAccess = True aufweisen und über eine digitale Signatur verfügen (das ist für alle Anwendungen, die eine UIAccess-Integritätsebene anfordern, Pflicht) Wenn diese An-wendungen jetzt noch an einem sicheren Ort installiert sind bei sicheren Orten handelt es sich um die Verzeichnisse %Program-Files% und %System32% , dann erfüllen sie alle Anforderungen dieser Richtlinie Wird die Richtlinie aktiviert, können diese An-wendungen erhöhte Rechte anfordern, ansonsten nicht
Standardeinstellungen: Aktiviert Empfohlene Einstellung: Aktivieren Sie diese Richtlinie für
höchs-te Sicherheit Somit wird sichergeshöchs-tellt, dass nur saubere An-wendungen in andere Prozesse eingreifen können und das Sys-tem optimal geschützt ist
Anmerkung: Erinnern Sie sich noch an das Tool SigCheck.exe, mit dessen Hilfe man Manifestinformationen anzeigen kann?
Trang 41.5 Steuerung mittels Gruppenrichtlinien
Weiter vorne in diesem Buch wird anhand eines Beispiels das Manifest eines Vista-konformen Programms angezeigt Unter an-derem ist darin ersichtlich, ob für dieses Programm UIAccess zu-gelassen ist oder nicht Die meisten Programme haben im Mani-fest einen False-Eintrag, was Ihnen den Zugriff auf andere Fenster unmöglich macht Die Bildschirmtastatur allerdings hat einen True-Eintrag Diesen können Sie mithilfe des Befehls
Sigcheck.exe m c:\windows\system32\osk.exe anzeigen Der Befehl ist natürlich auch für andere ausführbare Dateien nutzbar
Verhalten der
Anhebungsauffor-derung für Standardbenutzer
Diese Richtlinie legt fest, wie Windows Vista bei Standardbenut-zern reagiert, wenn für einen bestimmten Prozess (z.B Konfigu-ration der Windows-Firewall) erhöhte Rechte notwendig sind Mit der Option Anforderungen für erhöhte Rechte automatisch ab-lehnen wird die Rechteerhöhung für Standardbenutzer verwei-gert und ein entsprechender Fehler angezeigt Falls Standardbe-nutzer ihre Rechte erhöhen dürfen, kann dies mit der Option Auf-forderung zur Eingabe der Anmeldeinformationen erreicht wer-den Benutzer erhalten dabei die Möglichkeit, Benutzernamen und Kennwort eines Administratorenkontos einzugeben und so erhöhte Rechte zu erhalten
Standardeinstellungen: Anforderungen für erhöhte Rechte auto-matisch ablehnen
Empfohlene Einstellung: Für Unternehmen macht die Option An-forderungen für erhöhte Rechte automatisch ablehnen Sinn, weil dadurch Standardbenutzer keine Möglichkeit haben, ihre Rechte
zu erhöhen Administratoren melden sich unter Windows Vista grundsätzlich mit Administratorenkonten an und benötigen dieses Recht weil es nur für Standardbenutzer Gültigkeit hat daher nicht.
Verhalten der
Benutzeraufforde-rung mit erhöhten Rechten für
Administratoren im
Administrator-bestätigungsmodus
Diese Richtlinie legt fest, wie Windows Vista bei Benutzern mit Administratorenrechten reagiert, wenn für einen bestimmten Pro-zess (z.B Konfiguration der Windows-Firewall) erhöhte Rechte notwendig sind
Mit der Option Erhöhte Rechte ohne Eingabeaufforderung wden dem Benutzer die erhöhten Rechte ohne weiteren Eingriff er-teilt, wodurch aber die Systemsicherheit beeinträchtigt werden könnte Die Option Aufforderung zur Eingabe der Zustimmung
Trang 51 Benutzerkontensteuerung
26
zers bestätigt werden kann Bei Aktivierung der Option Aufforde-rung zur Eingabe der Anmeldeinformationen wird der Benutzer aufgefordert, die Anmeldeinformationen eines entsprechenden Administratorenkontos einzugeben, selbst dann, wenn das aktuell verwendete Konto über Administrationsrechte verfügt
Standardeinstellungen: Aufforderung zur Eingabe der Zustim-mung
Empfohlene Einstellung: Aus Sicherheitsgründen sollte die Erhö-hung von Rechten immer manuell durch den Benutzer bestätigt werden Ob dies lediglich eine manuelle Bestätigung ist (Fortset-zen) oder eine erneute Eingabe der Anmeldeinformationen, spielt grundsätzlich keine Rolle Aus Gründen der Anwendbarkeit ist die Option Aufforderung zur Eingabe der Zustimmung eine gute Wahl.
Im privaten Umfeld weichen einige Standardeinstellungen der aufgeführten Richtlinien ab und sind somit nicht genau gleich wie im Firmenumfeld
Wechseln Sie in einer Gruppenrichtlinie zum Pfad Computerkonfiguration\
Administrative Vorlagen\Windows-Komponenten\Benutzerschnittstelle für Anmelde-informationen Dort steht noch einmal eine interessante Richtlinie für die Verwaltung der
Benutzerkontensteuerung zur Verfügung
Abbildung 1.19 Steuerung über Gruppenrichtlinien, Teil 2
Trang 61.6 Deaktivieren der Benutzerkontensteuerung
Bei Ausführung mit erhöhten
Rechten Administratorenkonten
auflisten
Wenn Rechte erhöht werden müssen, ist unter Umständen (je nach Konfiguration der Benutzerkontensteuerung) die explizite Anmeldung mit einem Administratorenkonto erforderlich Wenn diese Richtlinie aktiviert ist, werden verfügbare lokale Administra-torenkonten aufgelistet Bei deaktivierter Richtlinie kann kein Konto ausgewählt werden, und Benutzername sowie Kennwort müssen explizit eingegeben werden
Standardeinstellungen: Deaktiviert Empfohlene Einstellung: Diese Einstellung sollte deaktiviert wer-den, sodass keine Informationen über lokale Administratorenkon-ten preisgegeben werden Benutzer müssen in diesem Fall nicht nur das Kennwort eines Kontos kennen, sondern auch den Be-nutzernamen.
Warum überspringen Sie diesen Abschnitt nicht einfach? Sie sollten die
Benutzerkonten-steuerung unbedingt aktiviert lassen, wenn Sie einen sicheren, bequemen Betrieb von
Win-dows Vista anstreben Aber bitte, wenn Sie das nicht möchten, lesen Sie weiter
Die Benutzerkontensteuerung kann auf verschiedene Arten deaktiviert werden Auch wenn
Sie das nicht wirklich tun sollten, stehen verschiedene Möglichkeiten zur Verfügung Eine
Möglichkeit haben Sie bereits kennengelernt: die Konfiguration der
Benutzerkontensteue-rung mithilfe von Gruppenrichtlinien Dadurch lassen sich einzelne Komponenten
(bei-spielsweise nur die Virtualisierung von Dateien und Registrierungseinträgen) oder aber die
gesamte Funktion vollständig deaktivieren
Eine weitere Möglichkeit der Deaktivierung bietet das Tool Msconfig.exe Dies lässt
sich einfach über das Startmenü ausführen Über den Reiter Tools stehen verschiedene
Werkzeuge zur Verfügung, unter anderem Benutzerkontensteuerung deaktivieren
Mar-kieren Sie diesen Eintrag, und klicken Sie auf die Schaltfläche Starten Nach Ausführung
des Befehls muss der Rechner neu gestartet werden Über den gleichen Weg lässt sich die
Funktion mit dem Werkzeug Benutzerkontensteuerung aktivieren wieder starten (was
mir persönlich wiederum weitaus besser gefällt)
Trang 71 Benutzerkontensteuerung
28
Abbildung 1.20 Benutzerkontensteuerung mit msconfig.exe deaktivieren
Eine andere Möglichkeit bietet die lokale Benutzerverwaltung Wechseln Sie dazu über
Systemsteuerung, Benutzerkonten, Benutzerkonten zur Benutzerverwaltung, und
wäh-len Sie den Menüpunkt Benutzerkontensteuerung ein- oder ausschalten Löschen Sie die
Option Benutzerkontensteuerung verwenden, um zum Schutz des Computers beizutra-gen Auch hier ist ein Neustart notwendig, um die Einstellung zu übernehmen
Abbildung 1.21 Benutzerkontensteuerung über die Benutzerverwaltung deaktivieren
Trang 81.7 Für Entwickler
Für Anwendungsentwickler ist die Benutzerkontensteuerung ebenfalls entscheidend Wenn
Anwendungen für den Betrieb unter Windows Vista entwickelt werden, sollten diese
un-bedingt von Anfang an Vista-konform programmiert werden Dazu hat Microsoft einen
Guide veröffentlicht, der über folgende URL heruntergeladen werden kann:
http://www.microsoft.com/downloads/details.aspx?familyid=ba73b169-a648-49af-bc5e-a2eebb74c16b&displaylang=en
Nachdem wir uns die verschiedenen Bereiche angesehen haben, dürfte klar sein, dass ein
Arbeiten unter Windows Vista mit Standardbenutzerrechten durchaus realistisch ist Falls
Benutzer für Aktivitäten mehr Rechte benötigen, können diese bei Bedarf erhöht werden
Wenn Anwendungen wegen mangelnder Rechte nicht oder nicht vollständig ausgeführt
werden können, kommt die Virtualisierung von Windows Vista zum Zug und ermöglicht
mithilfe von Umleitungen in einer Virtual Store ein korrektes Ausführen Die
Benutzer-kontensteuerung dient also nicht ausschließlich der Erhöhung der Sicherheit, sondern auch
der Bequemlichkeit Ein Arbeiten mit einem Betriebssystem soll ja nicht nur sicher sein,
sondern auch praktisch Mithilfe der Benutzerkontensteuerung ist Microsoft hier ein
opti-maler Mix gelungen
Für höchstmögliche Sicherheit sollte die Benutzerkontensteuerung unbedingt aktiviert
bleiben und anhand der Empfehlungen in diesem Kapitel konfiguriert werden Letztlich
stellt sich aber dennoch die Frage, ob Administratoren tatsächlich nur ein einziges Konto
verwenden (das durch den Split-Token-Prozess geschützt wird) oder besser doch mit zwei
Konten arbeiten sollten (jeweils eines davon als Standardbenutzer konfiguriert, das für die
tägliche Arbeit verwendet wird, und ein zweites mit Administratorenrechten, das
ausschließlich für die Rechteerhöhung eingesetzt wird) Für höchstmögliche Sicherheit
sollten Administratoren zwei Konten nutzen Das macht die Rechteerhöhung zwar ein
bisschen aufwendiger, weil jeweils Benutzername und Kennwort des
Administratorenkon-tos eingegeben werden müssen, aber dafür erreichen Sie damit höchstmögliche Sicherheit
Trang 102 Integritätskontrolle mit
Verbindlichkeitsstufen
Ein mit Vista (zumindest in der Microsoft-Welt) neu eingeführtes Konzept stellen die sog
Verbindlichkeitsstufen dar Nebst vielen anderen Sicherheitsfunktionen ist diese wohl
ei-ner der aufseheei-nerregendsten, aber gleichzeitig auch unbekanntesten Viele
Administrato-ren merken anhand verweigerter Rechte, dass sie unter Windows Vista möglicherweise
nicht mehr Vollzugriff auf alle Objekte besitzen, und das liegt unter anderem (aber nicht
ausschließlich) an diesen neu eingeführten Verbindlichkeitsstufen
Was aber hat es mit der neuen Sicherheitsfunktion genau auf sich? Unter Windows Vista
wurden vier Basis-Verbindlichkeitsstufen eingeführt (und noch zwei erweiterte), um
Ob-jekte, Prozesse oder Benutzer unterzubringen Das bedeutet, dass alle Objekte einer dieser
Verbindlichkeitsstufen angehören Die Idee hinter dem Konzept ist, dass Objekte einer
Stufe nur begrenzten oder gar keinen Zugriff auf Objekte höher gelegener Stufen erhalten
So wird das Betriebssystem zusätzlich gehärtet, weil es dadurch viel schwieriger wird,
un-bemerkt eine Anwendung wie beispielsweise Malware oder einen Virus in einem System
zu integrieren Benutzer und Anwendungen arbeiten dabei auf einer verhältnismäßig tiefen
Stufe, wobei wichtige Prozesse des Betriebssystems auf höheren Stufen arbeiten und so
vor unbefugtem Zugriff oder vor Manipulation geschützt sind Das detaillierte Verhalten,
wie auf Objekte oder Prozesse höherer Verbindlichkeitsstufen zugegriffen werden kann,
lässt sich konfigurieren Dazu kommen wir allerdings ein bisschen später
Zusammenfassend könnte man sagen, dass die neue Funktion nebst den bekannten
NTFS-Rechten eine weitere (mächtige) Sicherheitsschicht einführt, um das Betriebssystem vor