Sicherheitrichtlinien

Dieses Thema Sicherheitrichtlinien im Forum "Netzwerk" wurde erstellt von bythom, 31. März 2005.

Thema: Sicherheitrichtlinien Anfrage an die Netzwerkprofis Besteht unter WinXP Prof mit SP2 die Möglichkeit den Zugriff auf die Verzeichnisse...

  1. Anfrage an die Netzwerkprofis

    Besteht unter WinXP Prof mit SP2 die Möglichkeit den Zugriff auf die Verzeichnisse c:\windows, c:\windows\system und c:\windows\system32 so zu gestalten, dass Benutzer, welche nicht über Administratorenrechte verfügen auf die entsprechenden Ordner nur Lesezugriff erhalten?

    Thx
     
  2. Geht nicht - wie sollen die dann arbeiten können ?!?
    Alles, was keine Admin-Rechte hat, kann in diesen Verzeichnissen nix kaputtmachen, aber generell das Schreiben verbieten führt unweigerlich zum Systemabsturz.

    Cheers,
    Joshua
     
  3. hp
    hp
    du mußt der gruppe der hauptbenutzer die änderungs- bzw. schreibrechte entziehen, dann können nur die administratoren und system selber in die ordner schreiben, was ja auch ausreichend ist. der rest darf nur lesen und ausführen ...

    greetz

    hugo
     
  4. Ähh, Hugo ?!?
    Der beschriebene Weg ist ja richtig, aber s. mein Posting - ich bin der Meinung, dadurch kriegt er die Kiste ganz prima zum Abstürzen....

    Cheers,
    Joshua
     
  5. Hi,

    Das Entziehen der Schreibrechte auf System32 führt zum Stillstand des Systems.
    Und damit ich hier keinen Humbug erzähle, hab' ich mir erlaubt meine VMware damit zu schrotten, indem ich das mal getestet hab :)

    Gruß
    Sven
     
  6. Thx allerseits.
    Habe nicht das Interesse verloren, sondern war im Urlaub ;D
    Theoretisch hätte ich auch zu hp tendiert und gemeint, dass lesen und ausführen reichen müsste. Aber wozu ist es unbedingt erforderlich auch Schreibrechte auf System32 zu haben? Die Ergebnisse stelle ich da überhaupt nicht in Frage. Allerdings wird mir jetzt auch etwas klarer, warum sehr viele Trojaner und Malware gerade diesen Ordner nutzen um sich dort einzunisten.
     
  7. KPK
    KPK
    Nach der Umstellung der Rechner hier bei mir am Arbeitsplatz (Bundesoberbehörde mit einem Netzwerk von über 1000 PCs) auf Windows XP wurden die Benutzerrechte drastisch eingeschränkt (gegenüber der recht lockeren Handhabung unter dem alten NT4 OS).

    System32 ist nicht mit Schreibschutz versehen, wohl weil das von PCDJoshua Geschriebene zutrifft. Dafür ist aber u.a. das Unterverzeichnis Drivers schreibgeschützt. So konnte z.B. das Installieren der usbstor.sys von vorneherein unterbunden werden, damit möglicher massiver Datentransport per USB-Stick nicht möglich wird.

    Gruß
    KPK 8)
     
  8. Also von der Tendenz her schließe ich mich auch mal der Aussage von HP an.
    Da der einfache Benutzer auch keine Schreibrechte auf den genannten Verzeichnissen hat, sollte es auch mit dem Hauptbenutzer gelingen.
    Wobei sich da dann wieder mir die Frage stellt, warum man die Hauptbenutzer nicht gleich zu einfachen Benutzern herabstuft.
     
  9. hp
    hp
    mal ein kleiner exkurs über die gruppen, die wichtigsten unterschiede hab ich mal fett unterlegt

    Hauptbenutzer

    Mitglieder der Gruppe Hauptbenutzer haben mehr Berechtigungen als Mitglieder der Gruppe Benutzer und weniger Berechtigungen als Mitglieder der Gruppe Administratoren. Hauptbenutzer können in Bezug auf das Betriebssystem alle Aufgaben ausführen, mit Ausnahme der Aufgaben, die Mitgliedern der Gruppe Administratoren vorbehalten sind. Die Standardsicherheitseinstellungen von Windows 2000 für die Hauptbenutzer sind abwärtskompatibel mit den Standardsicherheitseinstellungen für Benutzer aus Windows NT 4.0. Die Anwendungen, die ein Benutzer unter Windows NT 4.0 ausführen konnte, stehen unter Windows 2000 für die Hauptbenutzer zur Verfügung.

    Hauptbenutzer können:

    Zusätzlich zu zertifizierten Anwendungen für Windows 2000 auch frühere Anwendungen ausführen.

    - Programme einrichten, die weder Betriebssystemdateien modifizieren noch Systemdienste einrichten.
    - Systemweite Ressourcen anpassen, darunter Drucker, Datum/Uhrzeit, Energieoptionen und andere Ressourcen der Systemsteuerung.
    - Lokale Benutzerkonten und Gruppen erstellen und verwalten.
    - Dienste aktivieren, die manuell gestartet und beendet werden können.
    - Hauptbenutzer können sich nicht selbst der Gruppe Administratoren hinzufügen. Darüber hinaus haben sie keinen Zugriff auf die Daten  anderer Benutzer auf einem NTFS-Datenträger, es sei denn, diese Benutzer erteilen ihnen dazu die Berechtigung.

    Die Gruppe Benutzer stellt die sicherste Umgebung zur Ausführung von Programmen dar. Bei einem mit NTFS formatierten Datenträger sind die Standardsicherheitseinstellungen eines neu eingerichteten (nicht aber eines aktualisierten) Systems so konzipiert, dass Mitglieder dieser Gruppe nicht negativ auf die Integrität des Betriebssystems und der installierten Anwendungen einwirken können. Die Benutzer können weder Einstellungen in der Registrierung noch Betriebssystem- oder Programmdateien bearbeiten. Ein Benutzer kann zwar eine Arbeitsstation herunterfahren, nicht jedoch einen Server. Benutzer können lokale Gruppen zwar erstellen, sind jedoch nur zur Verwaltung der lokalen Gruppen berechtigt, die von ihnen selbst erstellt wurden. Benutzer können zertifizierte Windows 2000-Programme ausführen, die von Administratoren installiert bzw. eingesetzt wurden. Sie haben die volle Kontrolle über alle eigenen Datendateien (%userprofile%) und ihren Teil in der Registrierung (HKEY_CURRENT_USER).

    Mitglieder der Gruppe Benutzer sind nicht berechtigt, Anwendungen zu installieren, die von anderen Mitgliedern dieser Gruppe ausgeführt werden können (dies verhindert die Einschleusung von Trojanischen Pferden). Auch können die Benutzer nicht auf die privaten Daten oder die Desktopeinstellungen anderer Benutzer zugreifen.

    Zum Schutz eines Windows 2000-Systems sollte ein Administrator:

    - Sicherstellen, dass alle Endbenutzer nur der Gruppe Benutzer angehören.
    - Programme einsetzen, die von Mitgliedern der Gruppe Benutzer erfolgreich ausgeführt werden können (etwa zertifizierte Windows 2000-Programme).
    - Mitglieder der Gruppe Benutzer werden die meisten Programme aus früheren Windows-Versionen nicht ausführen können, weil frühere Windows-Versionen entweder Dateisystem und Registersicherheit nicht unterstützten (Windows 95 und Windows 98) oder mit niedrigen Standardsicherheitseinstellungen ausgeliefert wurden (Windows NT).

    Wenn Mitglieder der Gruppe Benutzer Probleme bei der Ausführung früherer Anwendungen auf neu eingerichteten NTFS-Systemen haben, haben sie folgende Möglichkeiten:

    - Neue Anwendungsversionen einzurichten, die für Windows 2000 zertifiziert sind.
    - Endbenutzer aus der Gruppe Benutzer in die Gruppe Hauptbenutzer zu versetzen.
    - Die Standardsicherheitsberechtigungen für die Gruppe Benutzer zu senken. Dies kann an Hand der kompatiblen Sicherheitsvorlage geschehen. Weitere Informationen finden Sie unter Siehe auch in Vordefinierte Sicherheitsvorlagen.


    vor allem aber ist der hauptbenutzer aus kompatibilitätsgründen wichtig, um eventuell alte software unter w2k/xp ausführen zu dürfen. und nur eingeschränkte benutzer bzw. administratoren ist einfach nicht gut genug aufgegliedert, sieht man ja in der xp home umgebung ...

    greetz

    hugo