in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachte
Trang 2Windows Vista Security
Trang 4Marcel Zehner
Windows
Vista Security
Trang 5Der Autor:
Marcel Zehner, smart dynamic ag, Bern
Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet Dennoch sind Fehler nicht ganz auszuschließen Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflich- tung oder Garantie irgendeiner Art verbunden Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen oder Teilen davon entsteht
Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw frei von Schutzrechten Dritter sind Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbe- zeichnungen usw in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften
Bibliografische Information Der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der
Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im
Internet über http://dnb.d-nb.de abrufbar
Dieses Werk ist urheberrechtlich geschützt
Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages
in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) auch nicht für Zwecke der Unterrichtsgestaltung reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, ver- vielfältigt oder verbreitet werden
© 2007 Carl Hanser Verlag München
Gesamtlektorat: Fernando Schneider
Sprachlektorat: Sandra Gottmann, Münster-Nienberge
Herstellung: Monika Kraus
Umschlagdesign: Marc Müller-Bremer, Rebranding, München
Umschlaggestaltung: MCP · Susanne Kraus GbR, Holzkirchen
Datenbelichtung, Druck und Bindung: Kösel, Krugzell
Ausstattung patentrechtlich geschützt Kösel FD 351, Patent-Nr 0748702
Printed in Germany
ISBN 978-3-446-41356-6
www.hanser.de/computer
Trang 6Einleitung 1
1 Benutzerkontensteuerung 5
1.1 Lokales Administratorenkonto deaktiviert! 6
1.2 Standardbenutzerrechte ein entscheidender Vorteil! 8
1.3 Verwaltung von Windows Vista Rechteerhöhung bei Bedarf! 9
1.4 Anwendungen mit Standardbenutzerrechten ausführen eine wahre Herausforderung! 13
1.5 Steuerung mittels Gruppenrichtlinien 21
1.6 Deaktivieren der Benutzerkontensteuerung 27
1.7 Für Entwickler 29
1.8 Rückblick 29
2 Integritätskontrolle mit Verbindlichkeitsstufen 31
2.1 Der neue Schutzmechanismus von Windows Vista 31
2.2 Verfügbare Verbindlichkeitsstufen und Richtlinien 32
2.3 Verbindlichkeitsstufen für Objekte 33
2.4 Verbindlichkeitsstufen für Prozesse 38
2.5 Verbindlichkeitsstufen von Benutzerkonten 40
2.6 Rückblick 42
3 Internet Explorer 7 43
3.1 Umfassender Schutz durch mehrere Sicherheitsschichten 43
3.1.1 Schutzschicht 1 Adressleistensicherheit und IDN-Unterstützung 44
3.1.2 Schutzschicht 2 Sicherheitsstatusanzeige, Zertifikatsverwaltung und Phishing-Filter 45
3.1.3 Schutzschicht 3 Warnung bei unsicheren Einstellungen 52
3.1.4 Schutzschicht 4 Reduzierte Angriffsoberfläche 54
3.1.5 Schutzschicht 5 ActiveX Opt-In 54
3.1.6 Schutzschicht 6 Dateiausführungsverhinderung (Data Execution Prevention, DEP) 55
3.1.7 Schutzschicht 7 Geschützter Modus 56
Trang 7VI
3.1.8 Webseite mit IE7-Demos 57
3.2 Weitere Sicherheitseinstellungen 58
3.2.1 Sicherheitszonen 58
3.2.2 Datenschutzeinstellungen 61
3.2.3 Zertifikatsverwaltung 63
3.2.4 Löschen von persönlichen Informationen 65
3.3 Konfiguration über Gruppenrichtlinien 65
3.4 Installation von ActiveX-Elementen steuern 67
3.5 Rückblick 71
4 Schützen von Daten und Betriebssystemdateien 73
4.1 Das NTFS-Dateisystem 73
4.1.1 Lokale Sicherheit auf Datei- und Ordnerebene Jumpstart und Refresh! 75
4.1.2 Besitzer von Systemobjekten 76
4.1.3 Umleitungen im Dateisystem 78
4.1.4 Verbindlichkeitsstufen Sie erinnern sich? 80
4.1.5 Kontrolle ist gut, Überwachung ist besser 81
4.2 Das verschlüsselte Dateisystem (Encrypting File System, EFS) 87
4.2.1 Lösungen ohne Zertifizierungsstelle 90
4.2.2 Lösungen mit einer Windows Server-Zertifizierungsstelle 98
4.2.3 Steuerung über Gruppenrichtlinien 112
4.2.4 Noch etwas zum Abschluss von EFS 116
4.3 Partitionsverschlüsselung mit BitLocker 116
4.3.1 BitLocker einrichten 120
4.3.2 BitLocker über die Kommandozeile verwalten 126
4.3.3 Wiederherstellung 127
4.3.4 Schlüsselspeicherung im Active Directory 128
4.3.5 Gruppenrichtlinien für BitLocker-Konfiguration 132
4.4 Rückblick 136
5 Update-Management 137
5.1 Automatische Updates über Microsoft Update 138
5.2 Windows Server Update Services (WSUS) 142
5.2.1 Installation von WSUS 142
5.2.2 WSUS-Basiskonfiguration 147
5.2.3 Computergruppen 154
5.2.4 WSUS-Clients konfigurieren 155
5.2.5 WSUS-Clients registrieren 159
5.2.6 Updates verwalten 159
5.3 Rückblick 161
6 Sicherer Netzwerkbetrieb 163
6.1 Netzwerkverbindungen 163
6.1.1 LAN-Verbindungen 165
6.1.2 WLAN-Verbindungen 170
6.1.3 Virtuelle private Netzwerke (VPN) 180
Trang 86.2 Die Windows-Firewall 183
6.2.1 Netzwerktypen für Netzwerke festlegen 186
6.2.2 Die Standardkonsole der Windows-Firewall 188
6.2.3 Die erweiterte Konsole der Windows-Firewall 191
6.2.4 Firewall-Konfiguration mithilfe von Gruppenrichtlinien 205
6.3 IPsec ohne Firewall 205
6.3.1 IPsec-Konfiguration über Gruppenrichtlinien 210
6.4 Rückblick 211
7 Erweiterter Schutz vor Malware und Viren 213
7.1 Automatische Updates 217
7.2 Echtzeitschutz zum Erkennen neuer unerwünschter Programme 218
7.3 Manuelle Scans zum Suchen nach bereits installierten Spyware-Programmen 219
7.4 Verlauf 220
7.5 Extras 221
7.5.1 Optionen 222
7.5.2 Microsoft SpyNet 224
7.5.3 Unter Quarantäne 226
7.5.4 Software-Explorer 227
7.6 Informationen in der Ereignisanzeige 228
7.7 Konfiguration über Gruppenrichtlinien 229
7.8 Rückblick 232
8 Windows-Dienste absichern 233
8.1 Dienst- und Systemkonten 233
8.2 Viele Dienste standardmäßig nicht ausgeführt 237
8.3 Dienste werden mit tiefstmöglichen Rechten und isoliert ausgeführt 237
8.4 Dienste können für den Netzwerkbetrieb eingeschränkt werden 241
8.5 Isolation der Session 0 242
8.6 Rückblick 244
9 Hardware und Treiber 245
9.1 Neue Gruppenrichtlinieneinstellungen 246
9.2 Treibersignaturen 253
9.3 Rückblick 255
10 Benutzerkonten und Kennwörter 257
10.1 Übersicht zur Benutzerauthentifizierung 257
10.1.1 Kennwortspeicherung 258
10.1.2 Übertragung über das Netzwerk 259
10.2 Schutz der lokalen Benutzerdatenbank von Windows Vista 264
10.3 Kennwortrichtlinien und Kontosperrung 265
10.4 Dienstkonten 271
10.5 Ausbildung, Ausbildung, Ausbildung 271
10.6 Rückblick 272
Trang 9VIII
11 Verschiedene Sicherheitseinstellungen 273
11.1 Kernel Patch Protection (PatchGuard) 273
11.2 Code-Integrität 274
11.3 Address Space Layout Randomization (ASLR) 275
11.4 Remotedesktopverbindungen 276
11.5 Software Restriction Policies 279
11.6 Rückblick 285
Register 287
Trang 10Sicherheit, Sicherheit, Sicherheit Überall in der Welt der Informationstechnologie geht es
nur noch um dieses eine Thema Nur noch? Natürlich nicht, aber Sicherheit ist mittlerweile
zum Top Concern, also zum Thema Nummer eins, vieler Firmen geworden In einer
vernetzten Welt, in der jeder mit jedem kommunizieren kann, alle erdenklichen
Informati-onen in öffentlichen Netzwerken abgerufen werden können und Firmennetzwerke von
je-dem Punkt dieser Welt aus zugänglich sind, existiert auch eine Reihe von Risiken Und
diese Risiken sind enorm Ereignisse wie beispielsweise das Täuschen von Benutzern, der
Zugriff auf fremde Informationen oder das Außerkraftsetzen von Diensten gehören leider
mittlerweile zur Tagesordnung Unter dem Deckmantel des Internets lässt sich leicht eine
kriminelle Tat begehen, ohne dass es möglich ist, jemals herauszufinden, woher und von
wem ein Angriff ausgeübt worden ist
Aber damit müssen wir lernen zu leben, und in naher Zukunft wird sich das bestimmt nicht
zum Besseren ändern Was aber kann dagegen unternommen werden? Wie kann man sich
schützen, um die Angriffsfläche der eigenen Firmeninfrastruktur zu minimieren? Wie kann
ich meine Firma schützen und sicher machen? Die Kurzantwort auf diese Frage lautet: Ihr
Netzwerk wird niemals sicher sein es lässt sich bestenfalls optimal schützen Selbst wenn
Sie jedes verfügbare Sicherheitstool dieser Welt installieren, wird das der Fall sein
Wes-halb das denn nun wieder? Nun, Sicherheit ist komplex, vielschichtig und dynamisch In
einem Sicherheitskonzept müssen deshalb verschiedenste Bereiche, Komponenten und
Prozesse eingebunden werden, die weit über die Grenzen der Informationstechnologie
hin-ausreichen Technische Sicherheit in der IT reicht dabei bei Weitem nicht aus Deshalb
wird das Buch, das Sie in den Händen halten (oder natürlich das PDF, das Sie lesen), auch
nicht alle Bereiche abdecken können Das soll es aber auch nicht Es soll sich auf einen
einzigen Bereich fokussieren, und das ist das Client-Betriebssystem Windows Vista
Sicherheit bei Client-Betriebssystemen
Mit diesem Buch möchte ich Ihnen, liebe Leserinnen und Leser, die neuen
Abwehrmecha-nismen, die Windows Vista bietet, ein bisschen genauer aufzeigen und erklären, wie diese
in einer Firmenumgebung eingesetzt werden können, um die Gesamtsicherheit der
IT-Landschaft entscheidend zu erhöhen Dabei geht es mir einerseits darum aufzuzeigen,
Trang 112
che Mechanismen Windows Vista für den Schutz des Betriebssystems bietet und wie Sie diese konfigurieren können, andererseits aber auch darum, dass Sie verstehen, was diese Einstellungen genau bedeuten Ich bin überzeugt, dass umfangreiches und tiefes Sicher-heitsdenken und -verständnis nur dann möglich ist, wenn auch die Hintergründe von Diensten, Konfigurationen oder von was auch immer verständlich sind Ich zeige Ihnen daher in diesem Buch auch auf, wie Windows Vista mit Ihren Konfigurationen umgeht und was hinter den Kulissen alles vor sich geht
Ein nicht unwesentlicher Baustein einer solchen Sicherheitsarchitektur stellen Clients dar Clients sind diejenigen Komponenten, die am häufigsten vertreten sind (in den meisten Fällen jedenfalls), und sie werden unter anderem genutzt, um mit unbekannten Partnern zu kommunizieren Wie bitte? Unbekannte Partner? Viele Clients arbeiten mit Internetres-sourcen, und dabei handelt es sich um Webserver, Webseiten und Webdienste, die nicht vertrauenswürdig, meistens komplett unbekannt sind Dieser Kommunikationspfad vom internen Netzwerk zur Außenwelt ist nicht vertrauenswürdig und muss ganz besonders ge-sichert werden, einerseits mit zentralen Komponenten wie beispielsweise einer Firewall- oder Proxy-Infrastruktur, andererseits aber auch auf dem Endgerät selber, nämlich dem Client Es ist auch möglich, dass mobile Clients das firmeninterne Netzwerk verlassen und sich mit fremden, unbekannten Netzwerken verbinden Was in diesem Zustand dann genau passiert, lässt sich nicht detailliert nachvollziehen Fakt ist aber, dass diese Geräte zu ei-nem späteren Zeitpunkt wieder am Firmennetzwerk angebunden werden Da nicht bekannt ist, was in der Zwischenzeit mit diesen Geräten passiert ist, besteht auch hier ein erhöhtes Risiko
Die Liste mit solchen Beispielen lässt sich fast endlos weiterführen Wichtig ist mir sönlich, dass die gezeigten Beispiele zum Nachdenken anregen Gibt es solche Szenarien auch in meiner Firma? Wie arbeiten unsere Anwender mit ihren Clients? Habe ich über-haupt in irgendeiner Art und Weise die Kontrolle über meine Clients? Sind meine Anwen-der geschult, und wissen sie, wie sie sich verhalten müssen? Im Ungang mit E-Mail? Im Umgang mit dem Internet?
per-Technische Sicherheit ist nicht ausreichend
Wie aber kann Windows Vista hier ansetzen, um die Sicherheit eines Clients und dadurch des gesamten Netzwerks entscheidend zu verbessern? Bevor wir uns das anschauen, ist etwas ganz besonders zu erwähnen: Die beste Konfiguration, die höchsten Sicherheitsein-stellungen und die umfangreichste Überwachung sind unter Umständen wertlos, wenn Be-nutzer sich falsch verhalten Einfaches Beispiel gefällig? Ein Benutzer erhält einen Anruf von einer unbekannten Person, die behauptet, dass sie seit Kurzem in der Helpdeskabtei-lung arbeitet So weit nichts Außergewöhnliches Wenn dieser Anrufer den Benutzer auf-fordert, ihm sein Kennwort zwecks Verifizierung am Telefon durchzugeben, wird es schon kritischer Viele Benutzer werden dem Wunsch des Anrufers vom Helpdesk der in Wirk-lichkeit jemand ganz anderes ist und die Absicht hat, an sensitive Firmendaten zu gelangen
nachkommen und ihm ihr Kennwort bedenkenlos mitteilen Sie denken, das kann in Ihrer Firma nicht passieren? Versuchen Sie es! Und Sie werden erstaunt sein über den Erfolg
Trang 12Aber Moment einmal, ich habe ja eine Firewall, einen Virenscanner, eine
Anti-Spy-Lösung und erst noch ein superkomplexes Administratorenkennwort Eigentlich kann da
nichts passieren Wenn eine fremde Person nennen wir sie einmal Angreifer mit der
gezeigten Methode an ein Kennwort eines Unternehmens kommt, ist das schon äußerst
kri-tisch Angriffe sind oft mehrstufig und eine erfolgreiche Authentifizierung an einem
frem-den Netzwerk oft der beste Einstiegspunkt, um frem-den Angriff später auszuweiten Und das
gezeigte Beispiel ist nur eines von vielen, um Benutzer zum falschen Handeln zu bringen
Diese Technik wird im Übrigen als Social Engineering bezeichnet und ist heute weit
verbreitet, um Netzwerke bzw Firmen anzugreifen
Mit diesem kleinen Beispiel möchte ich lediglich aufzeigen, dass technische Sicherheit
nicht alles ist Nichtsdestotrotz ist sie sehr wichtig, um den Schutz einer Infrastruktur zu
vervollständigen Und jetzt kommt (endlich) Windows Vista zum Zug!
Sicherheit mit Windows Vista
Noch vor ein paar Jahren hat sich im Bereich Netzwerksicherheit alles fast ausschließlich
um das Thema Firewall gedreht, andere Themen waren nicht oder nur begrenzt relevant
Die Zeiten haben sich aber geändert, und das Sicherheitsdenken hat sich bis zu den
Endge-räten ausgeweitet Schließlich soll Sicherheit ja mehrschichtig sein, um es einem
potenziel-len Angreifer schwieriger zu machen, erfolgreich zu werden Und genau hier setzt
Win-dows Vista an Mit neuen Sicherheitsmechanismen, die Clients schützen können, um das
Gesamtsicherheitskonzept eines Unternehmens zu vervollständigen Dazu hat Microsoft in
den letzten Jahren einiges auf den Kopf gestellt, um mit Windows Vista wirklich das
si-cherste Windows-Betriebssystem aller Zeiten auf den Markt zu bringen Das hört sich
vielleicht ein bisschen übertrieben an und sehr marketingorientiert, ist aber tatsächlich so
Windows Vista ist das erste Betriebssystem, das vollständig nach dem neuen Security
De-velopment Lifecycle entwickelt worden ist Dabei wird die Sicherheit anders als bei
älte-ren Betriebssystemen und Produkten von Anfang an in den Entwicklungsprozess
integ-riert Sicherheit ist demnach nicht einfach ein simples Add-On, sondern fester
Bestand-teil des Produkts Dazu aber später mehr
Wer sollte dieses Buch lesen?
Für wen hat dieses Buch einen Nutzen? Wer sollte es lesen und sich mit den Inhalten
ver-traut machen? Nun, dieses Buch ist primär auf Tätigkeitsbereiche von System Engineers,
Administratoren und technischen Projektleitern, die im Firmenumfeld arbeiten, fokussiert
Es geht primär darum, die neuen Sicherheitsmechanismen von Windows Vista zu
durch-leuchten und Ihnen anhand vieler Beispiele zu erklären, wie einzelne Funktionen
imple-mentiert sind, warum sie in das neue Betriebssystem eingebettet worden sind und natürlich
wie alles richtig konfiguriert wird Auch Heimanwender werden von den Inhalten dieses
Buches profitieren, allerdings werden diese einige Funktionen, die ausschließlich für den
privaten Bereich relevant sind, also Funktionen wie beispielsweise Windows Mail oder
Windows Kalender, vermissen Diese Programme werden im Firmenumfeld kaum
einge-setzt und werden daher nicht berücksichtigt Das Buch ist so hoffe ich zumindest
Trang 13Wie ich bereits in der Einleitung erwähnt habe, ist Sicherheit ein dynamischer Prozess Was heute relativ sicher ist, kann morgen absolut unsicher sein, was heute aktuell ist, kann übermorgen veraltet sein Wie lange die Inhalte in diesem Buch Gültigkeit haben bzw wie lange sie für den Leser wertvoll sind, lässt sich natürlich nicht mit Bestimmtheit sagen Fakt ist allerdings, dass die erwähnten Technologien mit größter Wahrscheinlichkeit wäh-rend der gesamten Lebensdauer von Windows Vista aktuell bleiben werden Natürlich werden einige Komponenten aktualisiert, vielleicht auch erweitert werden, aber diese Neu-erungen bauen auf den heute aktuellen Informationen auf Sie verlieren demnach kein Know-how, keine investierte Zeit und auch kein Geld Mit einer Webseite zum Buch möchten wir Ihr Know-how aber regelmäßig auffrischen, und so erhalten Sie die Möglich-keit, sich kostenlos über Neuerungen in diesem Bereich zu informieren Verwenden Sie dazu lediglich folgende URL: http://www.zehni.ch/vistasecurity
Danksagungen
Ich schreibe diese Zeilen (und den Großteil des Buchs) kurz nach der Durchführung der TechEd in Orlando/USA im Juni 2007 Ich bin seit zwei Wochen in den Vereinigten Staa-ten, um mir einerseits die letzten Informationen für dieses Buch aus erster Hand bei Micro-soft zu beschaffen, andererseits um das Manuskript zum Buch fertigzustellen Meine Fami-lie meine Lebenspartnerin Valerie sowie unsere beiden Kinder Jana-Alena und Linus sind in der Schweiz geblieben, damit ich mich voll auf die bevorstehende Aufgabe kon-zentrieren kann Für dieses Verständnis möchte ich den dreien danken Ich vermisse euch und freue mich, bald wieder zu Hause zu sein!
Ebenfalls bedanken möchte ich mich bei allen Technical Readers alles gute Freunde von mir , die viel Zeit investiert haben, um meine geschriebenen Texte kritisch zu analy-sieren und mir wertvolles Feedback zu geben Besten Dank an dieser Stelle, ich hoffe, ihr seid auch beim nächsten Buch wieder so engagiert dabei!
Auch das Team des Carl Hanser Verlags soll nicht unerwähnt bleiben Allen, besonders aber meinem Lektor Fernando Schneider, der die Idee zu diesem Buch hatte und mir den entscheidenden Anstoß zum Schreiben gegeben hat, möchte ich herzlich danken Ich freue mich über viele weitere Bücher!
So, und jetzt gehts los
Trang 141 Benutzerkontensteuerung
Eines der wohl meisterwähntesten und aufsehenerregendsten Features von Windows Vista
ist die Benutzerkontensteuerung (User Account Control, UAC) Bereits lange vor dem
Launch von Windows Vista wurde viel über diese neue Funktion berichtet, die dem
neues-ten Clientbetriebssystem mehr Sicherheit einhauchen soll, und auch heute wird bei
Auf-zählungen der Windows Vista-Highlights oft zuerst die Benutzerkontensteuerung erwähnt
Grundsätzlich geht es bei dieser Funktion darum, dass Benutzer für tägliche Aufgaben
kei-ne Administrationsrechte mehr benötigen Microsoft hat bereits bei früheren Releases von
Windows-Betriebssystemen darauf hingewiesen, dass Benutzer mit normalen
Benutzer-rechten anstelle von lokalen AdministrationsBenutzer-rechten arbeiten können, allerdings hat sich
das in der Praxis alles andere als bewährt Mit normalen Benutzerrechten lässt sich ein
System nicht wirklich sinnvoll nutzen, weil essenzielle Aktivitäten schlicht nicht
wahrge-nommen werden können Mit normalen Benutzerrechten lässt sich beispielsweise unter
Windows XP keine vollständige Wireless-Einrichtung inkl WEP/WPA-Konfiguration
vor-nehmen, genauso bei Eingriffen in die Energieoptionen Konfigurationsänderung
Fehlan-zeige! Auch sind viele Anwendungen nicht oder nur eingeschränkt ausführbar, weil diese
möglicherweise Konfigurationsänderungen an Orten speichern, an denen Standardbenutzer
keine Rechte besitzen
Um dieses Problem zu umgehen, haben sich viele Administratoren entschieden, Benutzern
lokale Administrationsrechte zuzuweisen, sodass diese uneingeschränkt mit ihren
Syste-men arbeiten können Aus Sicht der Produktivität und Nutzbarkeit in erster Linie sicher ein
Vorteil, sicherheitstechnisch aber ein großer Nachteil Durch die permanent hohen nein,
höchstmöglichen Rechte, die Anwender besitzen, wird es für Angreifer, Malware oder
Viren deutlich einfacher, ein System zu kompromittieren, weil der immer aktive
Administ-ratorenkontext eine breite Angriffsfläche ohne Einschränkungen bietet Installationen oder
Konfigurationsänderungen können so ohne große Probleme und Kenntnis des Anwenders
erfolgen und einen Rechner innerhalb kürzester Zeit zu einer Virenschleuder oder einem
Zombie umfunktionieren
Trang 151 Benutzerkontensteuerung
6
1.1 Lokales Administratorenkonto deaktiviert!
Eine wichtige Neuerung, die eigentlich nichts mit der Benutzerkontensteuerung zu tun hat, ist die Tatsache, dass das lokale Administratorenkonto unter Windows Vista standardmäßig deaktiviert ist Wie soll denn ein Windows Vista-Rechner ohne aktives Administratorenkonto administriert werden? Ganz einfach: Beim Setup des Betriebssystems wird ein zusätzliches Konto angelegt, das über Administratorenrechte verfügt und somit die volle Verwaltungshoheit über den Rechner besitzt Weshalb das so ist? Um sich erfolgreich an einem System anzumelden, benötigt man einen gültigen Anmeldenamen und das zugehörige Kennwort Bei allen Betriebssystemen vor Windows Vista hatte der Administrator und somit das heikelste Benutzerkonto eines Systems jeweils den Anmeldenamen Administrator Somit war immer bereits eine der beiden benötigten Informationen für eine erfolgreiche Anmeldung mit den höchstmöglichen Rechten vorhanden, und es musste nur noch das entsprechende Kennwort ausfindig gemacht werden Eine Umbenennung des Kontos und somit auch des Anmeldenamens hatte hier Abhilfe geschafft
Tatsächlich? Nun, wenn man es genau betrachtet, nur begrenzt Jedes Benutzerkonto abhängig davon, ob es sich dabei um ein lokales Konto oder ein Domänenkonto handelt) besitzt eine Security-ID (SID) die eindeutig sein muss Alles, was nun irgendetwas mit Be-rechtigungen zu tun hat, wird über diese SID abgehandelt, sei es der Zugriff auf Ressour-cen oder das Anwenden eines bestimmten Rechts Bei dem zweiten Teil dieser SID handelt
(un-es sich um die Relative ID (RID), und die ist bei jedem Standardadministratorenkonto weils 500 Ein Konto kann umbenannt oder verschoben werden (nur in einer Active Direc-tory-Domäne), aber die SID und daher auch die RID bleiben immer unverändert, wodurch eine Identifizierung relativ einfach ist Unabhängig davon, ob das mit integrierten Tools, mit Werkzeugen von Drittherstellern oder mit Skripten erfolgt, ist das Resultat immer das gleiche: Sie wissen anschließend, bei welchem Konto es sich um das Standardadministra-torenkonto handelt Und das ist schlecht Folgendes Beispiel zeigt die Informationsbe-schaffung mithilfe von WMIC (Windows Management Instrumentation Console), einem Werkzeug, das mit Windows Vista (und auch mit früheren Betriebssystemen) mitgeliefert wird