title image


Smiley NACHTRAG
Standardsicherheitseinstellungen

Die Standardsicherheitseinstellungen für Windows 2000 lassen sich anhand der Berechtigungen beschreiben, die vier Standardgruppen ("Administratoren", "Hauptbenutzern", "Benutzern" und "Sicherungsoperatoren") und drei Sondergruppen erteilt werden.



Administratoren



Die Mitglieder der Gruppe "Administratoren" sind berechtigt, alle vom Betriebssystem unterstützten Funktionen auszuführen. Die Standardsicherheitseinstellungen sehen keine Beschränkung der Administratorrechte für den Zugriff auf die Registrierung oder Dateisystemobjekte vor. Administratoren können sich selbst alle Rechte gewähren, die sie nicht bereits standardmäßig besitzen.



Im Idealfall sollten Administratorrechte nur für die folgenden Aufgaben eingesetzt werden:



Installation des Betriebssystems und seiner Komponenten (wie Hardwaretreiber, Systemdienste usw.).

Installation von Service Packs und Windows Packs.

Aktualisieren des Betriebssystems.

Reparieren des Betriebssystems.

Konfigurieren wichtiger Betriebssystemparameter (wie Kennwortrichtlinien, Zugriffssteuerung, Überwachungsrichtlinien, Konfiguration des Kernelmodustreibers usw.).

Übernahme des Besitzes von Dateien, auf die kein Zugriff mehr möglich ist.

Verwalten der Sicherheits- und Überprüfungsprotokolle.

Sichern und Wiederherstellen des Systems (falls diese Aufgabe nicht von Sicherungsoperatoren wahrgenommen wird).

In der Praxis müssen für die Installation und Ausführung von Programmen, die für frühere Windows-Versionen geschrieben wurden, häufig Administratorkonten verwendet werden.



Benutzer



Die Gruppe "Benutzer" stellt die sicherste Umgebung zur Ausführung von Programmen dar. Bei einem mit NTFS formatierten Datenträger sind die Standardsicherheitseinstellungen eines neu eingerichteten (nicht aber eines aktualisierten) Systems so konzipiert, dass Mitglieder dieser Gruppe nicht negativ auf die Integrität des Betriebssystems und der installierten Anwendungen einwirken können. Die Benutzer können weder Einstellungen in der Registrierung noch Betriebssystem- oder Programmdateien bearbeiten. Ein Benutzer kann zwar eine Arbeitsstation herunterfahren, nicht jedoch einen Server. Benutzer können lokale Gruppen zwar erstellen, sind jedoch nur zur Verwaltung der lokalen Gruppen berechtigt, die von ihnen selbst erstellt wurden. Benutzer können zertifizierte Windows 2000-Programme ausführen, die von Administratoren installiert bzw. eingesetzt wurden. Sie haben die volle Kontrolle über alle eigenen Datendateien (%userprofile%) und ihren Teil in der Registrierung (HKEY_CURRENT_USER).



Mitglieder der Gruppe "Benutzer" sind nicht berechtigt, Anwendungen zu installieren, die von anderen Mitgliedern dieser Gruppe ausgeführt werden können (dies verhindert die Einschleusung von Trojanischen Pferden). Auch können die Benutzer nicht auf die privaten Daten oder die Desktopeinstellungen anderer Benutzer zugreifen.



Zum Schutz eines Windows 2000-Systems sollte ein Administrator:



Sicherstellen, dass alle Endbenutzer nur der Gruppe "Benutzer" angehören.

Programme einsetzen, die von Mitgliedern der Gruppe "Benutzer" erfolgreich ausgeführt werden können (etwa zertifizierte Windows 2000-Programme).

Mitglieder der Gruppe "Benutzer" werden die meisten Programme aus früheren Windows-Versionen nicht ausführen können, weil frühere Windows-Versionen entweder Dateisystem und Registersicherheit nicht unterstützten (Windows 95 und Windows 98) oder mit niedrigen Standardsicherheitseinstellungen ausgeliefert wurden (Windows NT). Wenn Mitglieder der Gruppe "Benutzer" Probleme bei der Ausführung früherer Anwendungen auf neu eingerichteten NTFS-Systemen haben, haben sie folgende Möglichkeiten:



Neue Anwendungsversionen einzurichten, die für Windows 2000 zertifiziert sind.

Endbenutzer aus der Gruppe "Benutzer" in die Gruppe "Hauptbenutzer" zu versetzen.

Die Standardsicherheitsberechtigungen für die Gruppe "Benutzer" zu senken. Dies kann an Hand der kompatiblen Sicherheitsvorlage geschehen. Weitere Informationen finden Sie unter Siehe auch in "Vordefinierte Sicherheitsvorlagen".



Hauptbenutzer



Mitglieder der Gruppe "Hauptbenutzer" haben mehr Berechtigungen als Mitglieder der Gruppe "Benutzer" und weniger Berechtigungen als Mitglieder der Gruppe "Administratoren". Hauptbenutzer können in Bezug auf das Betriebssystem alle Aufgaben ausführen, mit Ausnahme der Aufgaben, die Mitgliedern der Gruppe "Administratoren" vorbehalten sind. Die Standardsicherheitseinstellungen von Windows 2000 für die Hauptbenutzer sind abwärtskompatibel mit den Standardsicherheitseinstellungen für Benutzer aus Windows NT 4.0. Die Anwendungen, die ein Benutzer unter Windows NT 4.0 ausführen konnte, stehen unter Windows 2000 für die Hauptbenutzer zur Verfügung.



Hauptbenutzer können:



Zusätzlich zu zertifizierten Anwendungen für Windows 2000 auch frühere Anwendungen ausführen.

Programme einrichten, die weder Betriebssystemdateien modifizieren noch Systemdienste einrichten.

Systemweite Ressourcen anpassen, darunter Drucker, Datum/Uhrzeit, Energieoptionen und andere Ressourcen der Systemsteuerung.

Lokale Benutzerkonten und Gruppen erstellen und verwalten .

Dienste aktivieren, die manuell gestartet und beendet werden können.

Hauptbenutzer können sich nicht selbst der Gruppe "Administratoren" hinzufügen. Darüber hinaus haben sie keinen Zugriff auf die Daten anderer Benutzer auf einem NTFS-Datenträger, es sei denn, diese Benutzer erteilen ihnen dazu die Berechtigung.



Warning



Für das Ausführen früherer Programme auf Windows 2000 muss häufig der Zugriff auf bestimmte Systemeinstellungen geändert werden. Fortgeschrittene Hauptbenutzer können unter Umständen diese Berechtigungen missbrauchen, um sich zusätzliche Rechte im System zuzuweisen (bis hin zur vollständigen Kontrolle als Administrator). Daher ist es wichtig, zertifizierte Windows 2000-Programme einzusetzen, um bei einem Maximum an Sicherheit die Funktionalität der Programme vollständig zu erhalten. Programme mit Zertifizierung für Windows 2000 können mit der sicheren Konfiguration, die die Gruppe "Benutzer" bietet, erfolgreich ausgeführt werden. Weitere Informationen finden Sie unter "Securing Windows 2000 Installations" in der Website Microsoft Security Advisor.

Da Hauptbenutzer Programme installieren und bearbeiten können, besteht außerdem die Gefahr, dass "Trojanische Pferde" installiert werden, und noch weitere Sicherheitsrisiken können auftreten, wenn Programme von einem Hauptbenutzer aus bei offener Verbindung zum Internet ausgeführt werden. Weitere Informationen finden Sie unter Siehe auch in "Warum Sie Ihren Computer nicht als Administrator starten sollten".



Sicherungsoperatoren



Die Mitglieder der Gruppe "Sicherungsoperatoren" können Dateien auf dem Computer sichern und wiederherstellen, und zwar unabhängig davon, ob Berechtigungen zum Schutz dieser Dateien existieren. Sie können sich auch am Computer anmelden und diesen herunterfahren. Allerdings sind sie nicht berechtigt, Sicherheitseinstellungen zu ändern.



Warning



Für die Sicherung und Wiederherstellung von Daten- und Systemdateien sind Berechtigungen zum Lesen und Schreiben dieser Dateien erforderlich. Sicherungsoperatoren können unter Umständen diese Berechtigungen zu anderen Zwecken missbrauchen, beispielsweise zum Lesen der Dateien anderer Benutzer oder zur Installation "Trojanischer Pferde". Um diese Situation zu umgehen, sollten Sie über die Einstellung der Gruppenrichtlinien einen eingeschränkten Desktop anlegen, mit dem die Sicherungsoperatoren ausschließlich Programme sichern und wiederherstellen können. Weitere Informationen finden Sie unter "Securing Windows 2000 Installations" in der Website Microsoft Security Advisor.



Sondergruppen



Einige zusätzliche Gruppen werden von Windows 2000 automatisch erstellt.



Interaktive Gruppe. Diese Gruppe enthält automatisch den Benutzer, der zurzeit am Computer angemeldet ist. Bei einer Aktualisierung auf Windows 2000 werden Mitglieder der "Interaktiven Gruppe" auch zur Gruppe "Hauptbenutzer" hinzugefügt, so dass frühere Anwendungen wie vor der Aktualisierung funktionieren.

Netzwork. Diese Gruppe umfasst automatisch alle Benutzer, die derzeit über das Netzwerk auf das System zugreifen.

Terminal Server-Benutzer Wenn Terminal Server im Anwendungsservermodus installiert wurde, enthält diese vordefinierte Gruppe automatisch alle Benutzer, die derzeit über Terminal Server beim System angemeldet sind. Die Anwendungen, die ein Benutzer unter Windows NT 4.0 ausführen kann, stehen auch für die Terminal Server-Benutzer in Windows 2000 zur Verfügung. Mit den Standardberechtigungen der Gruppe sollten die Terminal Server-Benutzer die meisten Anwendungen nutzen können, die für Vorgängerversionen konzipiert wurden.



Warning



Für das Ausführen früherer Programme auf Windows 2000 sind Berechtigungen zur Änderung bestimmter Systemeinstellungen erforderlich. Fortgeschrittene Terminal Server-Benutzer können unter Umständen diese Berechtigungen missbrauchen, um sich zusätzliche Rechte im System zuzuweisen (bis hin zur vollständigen Kontrolle als Administrator). Anwendungen mit Zertifizierung für Windows 2000 können mit der sicheren Konfiguration, die die Gruppe "Benutzer" bietet, erfolgreich ausgeführt werden. Weitere Informationen finden Sie unter "Securing Windows 2000 Installations" in der Website Microsoft Security Advisor.

Note



Wenn Terminal Server im Remoteverwaltungsmodus installiert wurde, gehören die Benutzer, die sich über Terminal Server angemeldet haben, nicht zu dieser Gruppe.



mfg

Artec
HIERwird Ihnen geholfen

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: