Rechteverwaltung

    DevicePro im Test: USB sperren und externe Speichermedien absichern

    cynapspro-LogoDie cynapspro GmbH zählt zu den Anbietern von Software für Endpoint Security, sie deckt mit insgesamt 6 Modulen ein Spektrum vom Application Whitelisting bis zur Fest­platten­ver­schlüsselung ab. Eine wesentliche Aufgabe des Produkts besteht darin, den Zugriff auf externe Geräte zu regeln. Dafür ist DevicePro zuständig. Es soll dafür sorgen, dass USB-Speichermedien und andere externe Geräte nicht missbraucht werden können, um Daten aus dem Unternehmen zu schleusen.

    Farbe von cmd.exe abhängig von erhöhten Rechten

    Einfärbung der Eingabeaufforderung abhängig von ihren PrivilegienAb und an benötigt man eine Eingabe­auf­forderung, die mit Admini­strator­rechten ausge­stattet ist, etwa um diskpart.exe zu ver­wenden. Starten kann man sie, indem man mit der linken Maus­taste deren Kontext­menü auf­ruft oder aber, indem man beim normalen Aufruf per Klick oder Eingabetaste ‹Strg›-‹⇑› gedrückt hält.

    NTFS-Zugriffsrechte mit Berechtigungen für Freigaben kombinieren

    Freigabeberechtigungen bearbeitenDie Vergabe von Berechtigungen für Dateien und Verzeichnisse gehört zum täglichen Brot der Systemverwaltung. Unter Windows ist die Steuerung der Zugriffsrechte jedoch inkonsistent und sorgt gelegentlich für Zweifel, was eine Aktion tatsächlich bewirkt. Zusätzlich kompliziert wird die Rechtevergabe dadurch, dass Windows unterscheidet, ob ein Benutzer lokal oder über das Netz auf eine Ressource zugreift.

    psexec: Programme mit System-Privilegien starten

    Das Administrator-Konto ist unter Windows nicht das am höchsten privilegierte. Anders als etwa unter Linux, wo der lokale root-Account alles darf, gibt es unter Windows Bereiche, die auch Administratoren nicht zugänglich sind, etwa der Registry-Zweig HKEY_LOCAL_MACHINE\SECURITY. Er scheint leer, wenn regedit.exe nur mit Administra­tor-Privilegien gestartet wurde, ist aber in Wirklichkeit mit Unter­schlüsseln und Werten gefüllt.

    UAC: Sicherheit der Benutzerkontensteuerung auf Vista-Level erhöhen statt abschalten

    UAC thumbnailIm Zuge der 2007 von Publikumszeitschriften nahezu einstimmig vollzogenen Vista-Verrisse kam auch die Benutzerkontensteuerung (UAC) mit in das Kreuzfeuer der Kritik: Die Sicherheitsfunktion wurde allgemein als Belästigung des Benutzers betrachtet und Anleitungen, wie man UAC abschalten kann, befinden sich nach wie vor stabil auf den Suchmaschinen-Rankings ganz vorne.

    Windows: Nicht löschbare Dateien löschen

    Besitz übernehmen und Rechte setzen – dann kann man löschen (komprimierte Darstellung der Ausgabe)Zuweilen kommt es vor, dass Windows sich hartnäckig weigert, bestimmte Dateien zum Löschen freizugeben. Das geschieht etwa nach dem Löschen von Benutzer­profilen: Hatte der Benutzer Rechte für seine Dateien und Verzeichnisse individuell vergeben und dabei die für Ad­minis­tra­toren und das System entfernt, sind diese für den Ad­minis­tra­tor zunächst nicht löschbar. Selbst wenn es das betreffende Benutzerkonto gar nicht mehr gibt, sind die ACLs mit dessen UID/GID noch mit der Datei verbunden.

    NTFS-Zugriffsrechte beim Kopieren und Verschieben vererben

    … und kopiert oder verschiebt anschließend eine Datei hinein, auf die man alle Rechte besitzt. Diese lässt sich danach nicht löschenJede Datei und jeder Ordner, die oder auf einem NTFS-Datenträger erstellt wird, erhält damit – neben anderen Attributen wie etwa dem Dateinamen, den Datumsstempeln und dem Inhalt – einen voreingestellten Satz an Zugriffsrechten. Diese definieren, welcher Benutzer welche Berechtigungen für diese Datei oder diesen Ordner besitzt. Welche Rechte voreingestellt sind, ist im Prinzip einfach: Der Ordner, in welchem die neue Datei oder der Ordner entsteht, vererbt seine eigenen Rechte an die „Kinder“.

    Die Active-Directory-Rechteverwaltungsdienste

    AD RMSDie Active-Directory-Rech­te­ver­wal­tungsdienste (AD Rights Management Services, RMS) schaffen eine Infrastruktur, um Rechte an Dokumenten zu vergeben. Diese sind dateisystemunabhängig, halten also auch dann vor, wenn der Benutzer das Dokument etwa auf einen per (ex-)FAT formatierten USB-Stick verschiebt. Außerdem sind sie feiner granulierbar, als dies alleine per Zu­griffs­be­rech­ti­gungen auf Dateien und Ordner im Active Directory möglich wäre: Nur per Zu­griffs­be­rech­ti­gung ließe sich beispielsweise nicht verhindern, dass eine berechtigte Person ein Dokument an eine unberechtigte weitergibt.

    Seiten