Wer darf was?
1. Was darf ein Administrator, ein Hauptbenutzer nicht?
2. Was darf ein Hauptbenutzer, ein Benutzer nicht?
3. Default Sicherheitseinstellungen Windows 2000
4. Default Sicherheitseinstellungen Windows XP/2003
1. Was darf ein Administrator, ein Hauptbenutzer nicht?
· Betriebsystem installieren
· Installation un Konfiguration von Hardware und Treibern, wobei ein Hauptbenutzer aber Drucker installieren darf
· Installation von System Diensten
· Installation von ServicePacks, Hotfixes und Windows Updates
· Upgrade des Betriebsystems
· Reperatur des Betriebsystems
· Installation von Programmen und Änderung der Systemdateien
· Konfiguration der Kennwortrichtlinien
· Konfiguration der Überwachungsrichtlinien
· Verwaltung der Ereignisprotokolle
· Erstellung von Administrativen Freigaben
· Erstellung von weiteren Administrator-Acounts
· Veränderung von Gruppen und Benutzern, die jemand anders erstellt hat
· Remotezugriff auf die Registry
· Stoppen und Starten von Diensten
· Konfiguration von Diensten
· Erhöhung von gesetzten Quotas (Kontingenten)
· Erhöhung von Prozess Prioritäten
· Remote Shutdown eines Systems
· Übernahme des Besitzes beliebiger Objekte
· Zuweisung von Benutzerrechten
· Computer Sperrung aufheben
· Formatierung eines Volumes
· Anpassung systemweiter Umgebungsvariablen
· Zugriff auf privaten (eigene) Dateien eines Benutzers
· Datensicherung und Rücksicherung von Dateien
2. Was darf ein Hauptbenutzer, ein Benutzer nicht?
· Erstellen von lokalen Gruppen und Benutzern
· Veränderung von Gruppen und Benutzern, die sie selber erstellt haben.
· Erstellen und Löschen von Nicht-Administrativen Freigaben
· Erstellen, verwalten, löschen und freigeben von lokalen Druckern
· Veränderung der Systemzeit (per Default)
· Stoppen und starten von Diensten, die nicht automatisch gestartet werden
· Ändern Recht im Ordner Programme
· Ändern Rechte in diversen Unterschlüsseln von HKEY_LOCAL_MACHINE \Software
· Schreibzugriff
auf den meisten Systemverzeichnissen, inkl. %windir% und %windir%\system32.
Durch diese Rechte ergeben sich:
· Installation von diversen Programmen auf dem Lokalen System, die nicht auf Schlüssel unterhalb von HKEY_LOCAL_MACHINE \System zugreifen und dort Veränderungen benötigen
· Ausführen von Anwendungen die benutzerspezifische Daten Computerbezogen speichern, ohne eine Fehlermeldung zu erhalten.
· Deswegen können Hauptbenutzer leider auch Trojaner installieren, die auch unter Administrator und Benutzer Anmeldungen aktiv sind, die wiederum die Systemsicherheit schädigen.
· Durchführen von systemweiten Betriebsystem und Programm Änderungen die sich auf alle Benutzer auswirken.
3. Default Sicherheitseinstellungen Windows 2000
Übersicht der über die Lokale Sicherheitsrichtlinien vergebenen Benutzerechte, für Windows 2000 Workstation und Server, wie sie nach eine Blanko-Installtion per Default vergeben werden.
|
Benutzerrechte |
Workstation |
Server |
Domänencontroller |
|
Auf diesen Computer vom Netzwerk aus zugreifen |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Jeder |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Jeder |
Administratoren Authentifizierte-Benutzer Jeder |
|
Als Teil des Betriebssystems handeln |
Lokales System |
Lokales System |
Lokales System |
|
Hinzufügen von Arbeitsstationen zur Domäne |
|
|
Authentifizierte Benutzer |
|
Anpassen von Arbeitsspeicherquoten für einen Prozess |
|
|
|
|
Anmeldung über Terminaldienste zulassen |
Administrator Remotedesktopbenutzer |
Administrator Remotedesktopbenutzer |
Administratoren |
|
Sichern von Dateien und Verzeichnissen |
Administrator Sicherungs-Operatoren |
Administrator Sicherungs-Operatoren |
Administrator Sicherungs-Operatoren |
|
Wechselprüfung umgehen |
Administratoren Sicherungs-Operatoren Hauptbenutzer-Benutzer Jeder |
Administratoren Sicherungs-Operatoren Hauptbenutzer-Benutzer Jeder |
Administratoren Authentifizierte-Benutzer |
|
Ändern der Systemzeit |
Administratoren Hauptbenutzer |
Administratoren Hauptbenutzer |
Administratoren Server-Operatoren |
|
Erstellen einer Auslagerungsdatei |
Administratoren |
Administratoren |
Administratoren |
|
Erstellen eines Tokenobjekts |
Lokales System |
Lokales System |
Lokales System |
|
Erstellen von dauerhaft freigegebenen Objekten |
Lokales System |
Lokales System |
Lokales System |
|
Debuggen von Programmen |
Administratoren Lokales System |
Administratoren Lokales System |
Administratoren Lokales System |
|
Zugriff vom Netzwerk auf diesen Computer verweigern |
Administratoren Sicherungs-Operatoren Hauptbenutzer-Benutzer Jeder |
Administratoren Sicherungs-Operatoren Hauptbenutzer-Benutzer Jeder |
Administratoren Authentifizierte-Benutzer Jeder |
|
Anmeldung als Batchauftrag verweigern |
|
|
|
|
Anmeldung als Dienst verweigern |
|
|
|
|
Lokale Anmeldung verweigern |
|
|
|
|
Anmeldung über Terminaldienste verweigern |
|
|
|
|
Erzwingen des Herunterfahrens von einem Remotesystem aus |
Administratoren |
Administratoren |
Administratoren Sicherungs-Operatoren |
|
Generieren von Sicherheitsüberwachungen |
Lokales System |
Lokales System |
Lokales System |
|
Anheben der Zeitplanungspriorität |
Administratoren |
Administratoren |
Administratoren |
|
Laden und Entfernen von Gerätetreibern |
Administratoren |
Administratoren |
Administratoren |
|
Sperren von Seiten im Speicher |
|
|
|
|
Anmelden als Stapelverarbeitungsauftrag |
Lokales System |
Lokales System |
Lokales System |
|
Anmelden als Dienst |
|
|
|
|
Lokale Anmeldung |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Gast |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Gast |
Konten-Operatoren Administratoren Sicherungs-Operatoren Druck-Operatoren |
|
Verwalten von Überwachungs- und Sicherheitsprotokollen |
Administratoren |
Administratoren |
Administratoren |
|
Verändern der Firmwareumgebungsvariablen |
Administratoren Lokales System |
Administratoren Lokales System |
Administratoren Lokales System |
|
Durchführen von Volumewartungsaufgaben |
Administratoren |
Administratoren |
Administratoren |
|
Einzelprozessprofil erstellen |
Administratoren Lokales System |
Administratoren Lokales System |
Administratoren Lokales System |
|
Systemleistungsprofil erstellen |
Administratoren Lokales System |
Administratoren Lokales System |
Administratoren Lokales System |
|
Entfernen des Computers von der Dockingstation |
|
|
|
|
Ersetzen eines Tokens auf Prozessebene |
Lokales System |
Lokales System |
Lokales System |
|
Wiederherstellen von Dateien und Verzeichnissen |
Administratoren Sicherungs-Operatoren |
Administratoren Sicherungs-Operatoren |
Administratoren Sicherungs-Operatoren Server-Operatoren |
|
Herunterfahren des Systems |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer |
Konten-Operatoren Administratoren Sicherungs-Operatoren Server-Operatoren Druck-Operatoren |
|
Synchronisieren von Verzeichnisdienstdaten |
|
|
|
|
Übernehmen des Besitzes von Dateien und Objekten |
Administratoren |
Administratoren |
Administratoren |
|
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird |
|
|
Administratoren |
4. Default Sicherheitseinstellungen Windows 2003
Die gesetzen Einstellungen bezüglich der Benutzerrechten haben sich an dieser Stelle kaum von denen aus Windows 2000 verändert.
|
Benutzerrechte |
Workstation |
Server |
Domänencontroller |
|
Auf diesen Computer vom Netzwerk aus zugreifen |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Jeder |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Jeder |
Administratoren Authentifizierte-Benutzer Jeder |
|
Als Teil des Betriebssystems handeln |
Lokales System |
Lokales System |
Lokales System |
|
Hinzufügen von Arbeitsstationen zur Domäne |
|
|
Authentifizierte Benutzer |
|
Anpassen von Arbeitsspeicherquoten für einen Prozess |
Administratoren |
Administratoren |
Administratoren |
|
Anmeldung über Terminaldienste zulassen |
Administrator Remotedesktopbenutzer |
Administrator Remotedesktopbenutzer |
Administratoren |
|
Sichern von Dateien und Verzeichnissen |
Administrator Sicherungs-Operatoren |
Administrator Sicherungs-Operatoren |
Administrator Sicherungs-Operatoren |
|
Wechselprüfung umgehen |
Administratoren Sicherungs-Operatoren Hauptbenutzer-Benutzer Jeder |
Administratoren Sicherungs-Operatoren Hauptbenutzer-Benutzer Jeder |
Administratoren Authentifizierte-Benutzer |
|
Ändern der Systemzeit |
Administratoren Hauptbenutzer |
Administratoren Hauptbenutzer |
Administratoren Server-Operatoren |
|
Erstellen einer Auslagerungsdatei |
Administratoren |
Administratoren |
Administratoren |
|
Erstellen eines Tokenobjekts |
Lokales System |
Lokales System |
Lokales System |
|
Erstellen von dauerhaft freigegebenen Objekten |
Lokales System |
Lokales System |
Lokales System |
|
Debuggen von Programmen |
Administratoren Lokales System |
Administratoren Lokales System |
Administratoren Lokales System |
|
Zugriff vom Netzwerk auf diesen Computer verweigern |
|
|
|
|
Anmeldung als Batchauftrag verweigern |
|
|
|
|
Anmeldung als Dienst verweigern |
|
|
|
|
Lokale Anmeldung verweigern |
|
|
|
|
Anmeldung über Terminaldienste verweigern |
|
|
|
|
Erzwingen des Herunterfahrens von einem Remotesystem aus |
Administratoren |
Administratoren |
Administratoren Sicherungs-Operatoren |
|
Generieren von Sicherheitsüberwachungen |
Lokales System |
Lokales System |
Lokales System |
|
Anheben der Zeitplanungspriorität |
Administratoren |
Administratoren |
Administratoren |
|
Laden und Entfernen von Gerätetreibern |
Administratoren |
Administratoren |
Administratoren |
|
Sperren von Seiten im Speicher |
|
|
|
|
Anmelden als Stapelverarbeitungsauftrag |
Lokales System |
Lokales System |
Lokales System |
|
Anmelden als Dienst |
|
|
|
|
Lokale Anmeldung |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Gast |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer Gast |
Konten-Operatoren Administratoren Sicherungs-Operatoren Druck-Operatoren |
|
Verwalten von Überwachungs- und Sicherheitsprotokollen |
Administratoren |
Administratoren |
Administratoren |
|
Verändern der Firmwareumgebungsvariablen |
Administratoren Lokales System |
Administratoren Lokales System |
Administratoren Lokales System |
|
Durchführen von Volumewartungsaufgaben |
Administratoren |
Administratoren |
Administratoren |
|
Einzelprozessprofil erstellen |
Administratoren Hauptbenutzer Lokales System |
Administratoren Hauptbenutzer Lokales System |
Administratoren Hauptbenutzer Lokales System |
|
Systemleistungsprofil erstellen |
Administratoren Lokales System |
Administratoren Lokales System |
Administratoren Lokales System |
|
Entfernen des Computers von der Dockingstation |
|
|
|
|
Ersetzen eines Tokens auf Prozessebene |
Netzwerkdienst Lokales System |
Netzwerkdienst Lokales System |
Netzwerkdienst Lokales System |
|
Wiederherstellen von Dateien und Verzeichnissen |
Administratoren Sicherungs-Operatoren |
Administratoren Sicherungs-Operatoren |
Administratoren Sicherungs-Operatoren Server-Operatoren |
|
Herunterfahren des Systems |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer |
Administratoren Sicherungs-Operatoren Hauptbenutzer Benutzer |
Konten-Operatoren Administratoren Sicherungs-Operatoren Server-Operatoren Druck-Operatoren |
|
Synchronisieren von Verzeichnisdienstdaten |
|
|
|
|
Übernehmen des Besitzes von Dateien und Objekten |
Administratoren |
Administratoren |
Administratoren |
|
Erstellen eines globalen Objekts |
Administratoren Lokales System Dienste |
Administratoren Lokales System Dienste |
Administratoren Lokales System Dienste |
|
Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird |
|
|
Administratoren |
|
Annehmen der Clientidentität nach Authentifizierung |
Administratoren Dienst |
Administratoren Dienst |
Administratoren Dienst |
|
Verwalten von Überwachungs- und Sicherheitsprotokollen |
Administratoren
|
Administratoren
|
Administratoren |