G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen von Windows Server 2003
Im Betriebssystem Windows Server 2003 sind zu den aus Windows 2000 Server bekannten eingebauten Sicherheitsgruppen weitere Standardgruppen hinzugekommen. Die Rechte dieser Gruppen können z. T. nicht eingeschränkt werden und die Berechtigungen sind vom Hersteller nicht im Einzelnen dokumentiert. Bestimmte Berechtigungen werden gar nicht angezeigt und sind nicht administrierbar, so z. B. bei der Gruppe Netzwerkkonfigurations-Operatoren.
Die Gruppen stellen nicht prinzipiell eine Gefährdung dar. Die Unkenntnis über die Funktionsweise dieser Gruppen sowie deren ungeeignete Verwendung können jedoch zu vorsätzlichem oder versehentlichem Missbrauch von Administratorrechten und zur Fehlkonfiguration des Systems führen.
Neue Gruppen sind:
-
Hilfedienstgruppe
Diese Gruppe für das Hilfe- und Supportcenter wird für die Administration und den Betrieb des Servers nicht benötigt, birgt jedoch Möglichkeiten für Missbrauch oder Fehlkonfiguration, weil der Gruppe umfangreiche Berechtigungen für Administrationswerkzeuge zugeordnet werden können. -
Netzwerkkonfigurations-Operatoren
Mitglieder können die Parameter des TCP/IP-Stacks einstellen und manipulieren und somit den Server unerreichbar machen oder für Angriffe öffnen. -
Systemmonitorbenutzer und Leistungsprotokollbenutzer
Systemmonitorbenutzer dürfen das Programm für den Systemmonitor (perfmon.exe) ausführen und benutzen, ohne dass sie besondere Berechtigungen benötigen. Mitglieder der Gruppe Leistungsprotokoll-benutzer können Protokolle des Systemmonitors anschauen, verwalten und die Aufzeichnung von Überwachungsdaten konfigurieren. Sie haben direkten Zugriff auf einen Teil der Windows Management Instrumentation (WMI) Datenbank. Leistungs- und Nutzungsprofile sind sicherheitskritische Informationen, genauso wie Informationen über Ausfälle und Fehlfunktionen, die Anlass für einen Angriffsversuch sein könnten. Es stellt eine Gefahr dar, wenn Benutzerkonten unabsichtlich zusätzliche Berechtigungen mittels dieser Gruppen erlangen Remote-desktopbenutzer.
Mitglieder können sich von einem anderen Computer aus mittels Remote Desktop Protocol (RDP) auf einem Mitgliedsserver oder allein stehenden Server anmelden und mit ihm arbeiten, als würden sie direkt vor dem physikalischen System sitzen. Dies stellt ein Risiko dar, denn jeder normale Benutzer kann sich auf diese Weise anmelden, ohne dass er besondere zusätzliche Berechtigungen benötigt. -
Distributed COM-Benutzer
Ab Windows Server 2003 mit Service Pack 1 stehen detailliertere Berechtigungsstrukturen für Distributed-COM-Objekte (DCOM) zur Verfügung, um die Ausführung von COM-Modulen und die Aktivierung von COM-Objekten besser kontrollieren zu können. Insbesondere die Remote-Ausführung von anderen Clients aus mittels Remote Procedure Calls (RPC) kann damit besser kontrolliert werden. Viele Windows-Funktionen können über COM-Objekte gesteuert werden, z. B. Windows Update, Richtlinienergebnissatz, Zertifikatsdienste und mehr. Die Berechtigungen werden in der Konsole Komponentendienste konfiguriert. Standardmäßig haben die Distributed-COM-Benutzer hier das höchste Berechtigungslimit, welches sogar über das von normalen Administratoren hinausgeht. Der falsche Umgang mit dieser Gruppe kann die verbesserten DCOM-Sicherheitsfunktionen unwirksam machen oder sogar zu einer erhöhten Angreifbarkeit des Systems führen. -
Erstellungen eingehender Gesamtstrukturvertrauensstellung
Diese Gruppe ist neu auf Domänencontrollern. Mitglieder dieser Gruppe können eingehende unidirektionale Vertrauensstellungen zur Active-Directory-Gesamtstruktur eines IT-Verbundes erstellen. Durch Vertrauensstellungen können Rechte in der jeweils anderen Domänenumgebung ausgeübt werden, daher kann der Missbrauch bzw. fahrlässige Umgang mit dieser Gruppe Angreifern vielfältige Einflussmöglichkeiten auf den gesamten IT-Verbund verschaffen.