Rechteverwaltung

    Benutzerkonten: Lokale und Domänen-User im Vergleich

    Lokal oder an einer Domäne anmelden unter Windows 7Grundsätzlich ist der Unterschied zwischen Benutzerkonten auf dem lokalen Computer und solchen in einer Domäne relativ klar. Erstere erlauben nur den Zugriff auf das lokale System, während nur Letztere in ACLs einer Netzwerk-Ressource aufgenommen werden können. Lokale Konten sind daher im Firmenumfeld weitgehend bedeutungslos. Dennoch gibt es sie weiterhin und erfordern ein Konzept, wie man mit ihnen verfahren soll. Derek Melber hat auf WindowsNetworking.com die wichtigsten Aspekte der beiden Kontotypen zusammengefasst.

    Appsense User Virtualization Platform: Self-Service-Portal, Wizard

    Appsense kündigte ein Update seiner User Virtualization Platform an. Die Suite enthält nun die Produkte Environment Manager 8.3, Application Manager 8.5 und Management Center 8.3. Die wesentlichen Neuerungen bestehen in einem Self-Service-Portal für Endbenutzer sowie in einer Reihe von Maßnahmen, um die Administration der Software zu vereinfachen.

    AppSense StrataApps: Programme installieren ohne Admin-Rechte

    AppSense stellte eine erste Version von StrataApps vor. Dabei handelt es sich um ein Tool zur Applikationsvirtualisierung, das im Gegensatz zu anderen Produkten zulässt, dass Endbenutzer ihre Anwendungen selbst installieren. Als FileStore eignet sich auch ein USB-Stick, so dass User ihre Programme auch auf andere Rechner mitnehmen können.

    Avecto veröffentlicht Privilege Guard 3.0

    Privilege Guard ist eine Software zur Realisierung des Least-Privilege-Prinzips unter Windows, indem sie Benutzern erlaubt, bestimmte Aktionen oder Programme mit Standardrechten auszuführen. Die Version 3.0 bringt eine neue Admin-Oberfläche, zusätzliche Filter für eine genauere Eingrenzung der Regeln auf PCs, Nutzer und Prozesse sowie erweiterte Berichte über die Verwendung von Software.

    Access Based Enumeration in Windows Server: Ordner bei fehlenden Rechten ausblenden

    Die einfache Dateifreigabe aktiviert ABE per Voreinstellung.Unter Windows Server 2003 R2 führte Microsoft die Access Based Enumeration (ABE bzw. Zugriffsbasierte Aufzählung) als separat zu installierendes Add-on ein. Seine Aufgabe besteht darin, Ordner und Dateien für Benutzer auszublenden, wenn sie dafür nicht die erforderlichen Zugriffsrechte besitzen. Seit Windows Server 2008 ist ABE Teil des Betriebssystems, allerdings fallen die Integration inkonsistent und der Tools-Support schlechter aus.

    Ordner remote freigeben mit dem Server-Manager oder WMI

    Windows-OrdnerUm Ordner freizu­geben, bietet Windows sowohl eine Funk­tion im Explorer als auch net share auf der Kommando­zeile. Beide funkt­ionieren jedoch nur lokal, so dass Admins oft über Remote­desktop eine Session auf einem Rechner öffnen, um dort ein Verzeichnis freizu­geben. Das ist aber nicht not­wendig, weil sich diese Aufgabe auch remote erledigen lässt.

    RunAs mit GUI: Programme mit erhöhten Privilegien ausführen

    Windows 7 bietet wesentlich bessere Voraussetzungen, um normale Benutzer nur mit Standardrechten auszustatten und ihnen die Privilegien des lokalen Administrators zu entziehen. Scheitern kann die Umsetzung des Least-Privilege-Prinzips allerdings an hartnäckigen Altanwendungen, die ohne administrative Rechte nicht laufen wollen. Das kostenlose Tool RunAsGUI von Smart-X kann hier helfen.

    Privilege-Management-Tools: Avecto, BeyondTrust, Scriptlogic, Viewfinity

    Privilege ManagementDie gerade unter XP weit verbreitete Praxis, Benutzern lokale Administratorrechte einzu­räumen, erhöht Sicherheitsrisiken und führt außerdem dazu, dass Systemkonfigurationen durch Fehlbedienung in Mitleidenschaft gezogen werden. Windows 7 macht es zwar leichter, das Prinzip des Least Privilege umzusetzen. An die fein abgestuften Möglichkeiten der Rechteverwaltung, die spezialisierte Tools bieten, reichen die Bordmittel von Windows 7 allerdings nicht heran.

    Standardbenutzer statt Administratorrechte: Least Privilege in Windows 7

    StandardbenutzerEine oft empfohlene Best Practice lautet, normale Benutzer nicht mit lokalen Admini&shystrator­rechten auszustatten. Zu viele Privi&shylegien erhöhen nicht nur die Sicher&shyheits­risiken, sondern beschäftigen auch den Helpdesk. Aller­dings ließ sich das Least-Privilege-Prinzip unter XP mit Bordmitteln alleine kaum umsetzen. Vista und Windows 7 brachten hier erhebliche Fort&shyschritte.

    Programm ohne UAC-Prompt mit Administratorrechten starten

    Die mit Vista eingeführte Benutzerkontensteuerung (User Account Control = UAC) sorgt bekanntlich dafür, dass Anwender standardmäßig mit reduzierten Rechten arbeiten, auch wenn sie administrative Privilegien besitzen. Wenn jedoch eine Aufgabe höhere Rechte erfordert, dann verlangt Windows vom Benutzer, dass er die Anhebung der Rechte explizit bestätigt. Dieser UAC-Prompt wird von einigen Administratoren als störend empfunden, so dass sie diesen Mechanismus auf Kosten der Sicherheit abschalten. Besser ist jedoch, für einzelne Programme Verknüpfungen anzulegen, die einen UAC-Prompt umgehen.

    Seiten