Standardbenutzer statt Administratorrechte: Least Privilege in Windows 7

    StandardbenutzerEine oft empfohlene Best Practice lautet, normale Benutzer nicht mit lokalen Admini&shystrator­rechten auszustatten. Zu viele Privi&shylegien erhöhen nicht nur die Sicher&shyheits­risiken, sondern beschäftigen auch den Helpdesk. Aller­dings ließ sich das Least-Privilege-Prinzip unter XP mit Bordmitteln alleine kaum umsetzen. Vista und Windows 7 brachten hier erhebliche Fort&shyschritte.

    Wenn Benutzer permanent als lokale Administratoren arbeiten, dann läuft in ihrem Kontext auch potenzielle Schadsoftware mit erhöhten Rechten und kann sich daher nach Belieben im System einnisten.

    Probleme bzw. Kosten drohen auch dann, wenn die Benutzer selbst die Konfiguration von Windows unsachgemäß verändern, und der Helpdesk den Rechner wieder flottmachen muss.

    Schließlich ist die Installation von Software zumeist an Admin-Rechte gebunden, so dass privilegierte User die Funktionsfähigkeit des Gesamtsystems durch unerwünschte Programme beeinträchtigen können. Darüber hinaus riskieren Unternehmen aufgrund fehlender oder unzureichender Lizenzen dadurch auch Compliance-Verstöße.

    Volle Rechte unter XP trotz Risiken der Normalfall

    Diese Nachteile eines übermäßig mit Rechten ausgestatteten Benutzers, also höhere Anfälligkeit gegen Schadprogramme, Beschädigung der Windows-Konfiguration und die Folgen unautorisierter Software-Installation, sind allgemein anerkannt. Dennoch ist es unter XP noch sehr weit verbreitet, dass Firmen ihren Mitarbeitern lokale Administratorenrechte einräumen. Die Hauptgründe dafür sind:

    • Aus historischen Gründen gehen immer noch Anwendungen davon aus, dass sie im Kontext eines administrativen Benutzers ausgeführt werden. Ist das nicht der Fall, dann funktionieren sie nur eingeschränkt oder gar nicht.
    • Endanwender, vor allem mobile User mit Notebooks, sollen einfache Verwaltungsaufgaben wie das Installieren eines Druckers selbst übernehmen können. Dies entlastet auch den IT-Support. XP lässt dies für Standardbenutzer aber kaum zu.
    • Benutzer sollen in der Lage sein, genehmigte Software, beispielsweise ActiveX-Controls für IE-Anwendungen, selbst zu installieren.

    Diese Liste zeigt, dass sich die Vergabe lokaler Benutzerrechte im Spannungsfeld zwischen Sicherheit bzw. Kostenreduktion sowie dem Bedürfnis nach einer flexiblen Arbeitsumgebung bewegt. Der Entzug von Administratorenrechten unter XP führt jedoch zu sehr engen Bewegungsspielräumen der Benutzer.

    Dort, wo erhöhte Privilegien unvermeidlich erscheinen, versuchen manche Firmen sie zu entschärfen, indem sie viele Desktop-Funktionen durch großzügigen Einsatz von Gruppenrichtlinien deaktivieren. Ein solcherart gedrosseltes Arbeitsgerät führt nicht minder zu Frustrationen und reduzierter Produktivität. Gleichzeitig bieten diese Maßnahmen keinen verlässlichen Schutz, weil sie von lokalen Admins mit entsprechenden Kenntnissen ausgehebelt werden können.

    Bessere Bedingungen für Standardbenutzer unter Windows 7

    Windows 7 enthält einige Technologien, die es einfacher machen, das Prinzip des Least Privilege, also die Ausstattung der User mit den minimal notwendigen Rechten umzusetzen. Eine zentrale Rolle spielt dabei die Benutzerkontensteuerung, die oft nur als (störender) UAC-Prompt wahrgenommen wird.

    Tatsächlich umfasst sie mehrere Komponenten, darunter auch die Virtualisierung von Registry und Dateisystem. Sie wurde bereits mit Vista eingeführt und bewirkt, dass die Zugriffe einer schlecht programmierten Anwendung auf Bereiche der Registrierdatenbank und des Dateisystems, für die sie keine Rechte besitzt, abgefangen und auf verträgliche Weise behandelt werden. Dadurch lassen sich viele Applikationen, die unter XP die Änderung von Zugriffsrechten für die Registry bzw. das Dateisystem oder gar administrative Privilegien erforderten, als Standardbenutzer ausführen.

    ACT prüft Kompatibilität von Software mit Standardbenutzer

    Ob dies funktioniert, lässt sich mit Hilfe von ACT überprüfen. Es enthält ein Tool namens Standard User Analyzer, aus dem heraus problematische Anwendungen gestartet werden. Es gibt dann Auskunft darüber, wo und wie oft das Programm auf Objekte zugreifen wollte, die erhöhte Privilegien erfordern.

    Bekannter ist User Access Control (UAC) in der Funktion, die Privilegien eines Users mit administrativen Rechten im Normalbetrieb auf die eines Standardbenutzers abzusenken. Erfordern bestimmte Aufgaben die vollen Rechte, dann muss der Anwender diese Anhebung der Rechte (Elevation) abhängig von den UAC-Einstellungen explizit bestätigen. Dieser Mechanismus beruht darauf, dass ein Administrator beim Anmelden unter Vista und Windows 7 zwei Tokens erhält, die jeweils für eine der beiden Privilegienstufen zuständig sind.

    Admin-Privilegien bergen Risiken auch mit UAC

    Diese Entschärfung von administrativen Benutzern ist jedoch kein ausreichender Grund, beim Umstieg auf Windows 7 darauf zu verzichten, normale Anwender auf die Rechte des Standardbenutzers zu reduzieren. Zwar sinkt durch die UAC das Risiko durch Schadprogramme, aber die anderen Begleiterscheinungen von vollen Privilegien, wie das unautorisierte Installieren von Software oder die Fehlkonfiguration des System bleiben damit erhalten.

    Die häufig erwünschten Spielräume für User, vor allem die Berechtigung zu einfachen Administrationsaufgaben und zur Installation von zugelassenen Programmen, werden unter Windows 7 für Standardbenutzer größer. So ist es nun für sie möglich, Drucker einzurichten, die Zeitzone zu ändern, eine neue IP-Adresse über DHCP anzufordern, die Bildschirmauflösung anzupassen oder Laufwerke zu defragmentieren.

    Wenig Möglichkeiten zur Installation von Software

    Bei der Installation von Software stößt der Standardbenutzer jedoch noch an relativ enge Grenzen. Zwar können sie Programme wie Google Chrome, die gezielt für die Installation durch den Endanwender ausgelegt wurden, selbst einrichten. Die meisten Produkte erfordern jedoch Schreibzugriffe auf Teile des Verzeichnissystems, die einem gewöhnlichen Benutzer verwehrt bleiben.

    Verbesserungen brachten Vista und Windows 7 jedoch für Standardbenutzer bei der Installation von ActiveX-Controls. Der der ActiveX-Installationsdienst lässt sich mit Hilfe von Gruppenrichtlinien so konfigurieren, dass er ihnen das Installieren von Code aus dem Web unter definierten Bedingungen erlaubt. Dabei handelt es sich zum einen um ein Whitelisting von Websites, die solche Komponenten installieren dürfen, und zum anderen kann der Systemverwalter festlegen, auf welche Weise sie von vertrauenswürdigen Sites eingerichtet werden dürfen. Darüber ließe sich zum Beispiel festlegen, dass signierte Controls sich automatisch installieren dürfen, während der Benutzer bei unsignierten den Vorgang bestätigen muss.

    Admin-Rechte bei der Migration auf Windows 7 abbauen

    Reichen die in Windows 7 vorhandenen Möglichkeiten zur Installation von Anwendungen durch den Standardbenutzer nicht aus, so dass bestimmte User aus diesem Grund Administrationsrechte erhalten, dann kann dieses Privileg durch ein Application Whitelisting oder Blacklisting beschnitten werden.

    Insgesamt bietet die aktuelle Version von Windows deutlich bessere Voraussetzungen, um Anwendern durchgängig die Administrationsrechte zu entziehen, als noch XP. Daher ist eine Migration auf Windows 7 ein guter Anlass, das Prinzip des Least Privilege für die Mehrzahl der User zu prüfen.

    Keine Kommentare