Rootsec.inf - Keine Ordner auf C:\ erstellen

Autor: Mark Heitbrink - vom 12.12.2016 - Kategorie(n): Anleitungen

Rootsec.inf - Keine Ordner auf C:\ erstellen

Damals, als alles besser war und die Eisenbahn noch mit Dampf fuhr, lieferte Microsoft mit dem Betriebssystem vorkonfigurierte Sicherheitsvorlagen aus. Diese waren immer unter %systemroot%\inf zu finden.

- Default Security (Setup Security.inf)
- Compatible (compatws.inf, kompatible zu Windows NT4!)
- Secure (Securews.inf/Securesrv.inf)
- Highly Secure (Highsec.inf) 
- System root security (Rootsec.inf) 
- No Terminal Server user SID (Notssid.inf) 

Predefined security templates
https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_scedefaultpols.mspx?mfr=true  

Die Rootsec.inf ist vielleicht die Einzige, die ich heutzutage noch ins Spiel bringen würde. Was macht sie? Die setzt die Sicherheitseinstellungen auf dem Laufwerk C:\ "zurück" auf den Orginalzustand, der mit Windows XP ausgeliefert wurde. Allerdings ist der meist nicht so, wie die Administratoren es gerne hätten.

Aufgrund dieser Sicherheitseinstellung dürfen BENUTZER, Ordner auf dem Laufwerk C:\ im Root erstellen. Das Recht "Ordner erstellen" ist für die Benutzer auf "This Folder only" konfiguriert, das Erstellen von Dateien ist auf "Subfolders and Files" gesetzt und der "Ersteller/Besitzer" (Creator/Owner) hat Vollzugriff.
Somit kann jeder einen Ordner erstellen und hat dann Vollzugriff. 

Warum sollte ich das Erstellen von Ordnern auf C:\ verhindern? Der einzige Grund ist "Wildwuchs"

Es ist kein Sicherheitsfeature. Aus Sicherheitssicht ist es total egal. ob ein Benutzer einen Ordern auf C:\ erstellt oder in seinem Profil oder im %temp%. Meistens ist es so, daß wir in den Systemen, wo das Erstellen eines Ordners auf C:\ verboten ist, einen Ordner "Temp", "Admin" oder "Install" im Root finden. Es gibt immer wieder Situationen, in denen man als Benutzer mit einem anderen Benutzer LOKAL Daten austauschen muss. Alleine schon, wenn man als Admin eine Datei runterläd und diese dann im Benutzerkontext benötigt. Der Benutzer hat keinen Zugriff auf den Download Ordner vom Administrator. Ihr kennt das ... ;-)

SRP (Software Restriction Policies) oder Applocker spielen hier keine große Rolle, da per Default nur ausführbare Dateien in %programfiles%, bzw. %program files (x86)%" und %systemroot% erlaubt sind.

Wenn ein Benutzer keine Ordner erstellen können soll, dann müssen diese 3 genannten Rechte entfernt werden.


(klick vergrößern)

Sicherheitsvorlage - Rootsec.inf 
Import in den Gruppenrichtlinien Editor

  1. Öffnen der gewünschten Gruppenrichtlinie
  2. Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen
  3. Kontextmenü -> Richtlinie importieren


[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\",0,"D:AR(A;;0x1200a9;;;WD)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)"