Empfohlene Vorgehensweisen und Leitfaden für Verfasser von DACLs für Dienste

Der vorliegende Microsoft Knowledge Base-Artikel kann als Leitfaden dazu dienen, die Sicherheit von DACLs für Dienste auf solider Grundlage zu bewerten.

Um die DACLs für einen Dienst anzeigen zu lassen, verwenden Sie den Befehl sc in Verbindung mit dem Argument sdshow wie im folgenden Beispiel aufgezeigt. Dabei steht Dienstname für den Namen des Dienstes, dessen DACLs Sie anzeigen lassen möchten: Die Ausgabe dieses Befehls sieht etwa wie folgt aus: Diese Beispielausgabe für den Befehl sc zeigt die Sicherheitsbeschreibung eines Dienstes in der SDDL-Syntax (SDDL = Security Descriptor Definition Language). Weitere Informationen zur SDDL-Syntax finden Sie auf der folgenden Microsoft-Website: Wenn Sie die Anfälligkeit einer DACL beurteilen möchten, sind diverse Faktoren zu berücksichtigen. In den folgenden Tabellen wird erläutert, wie die Ergebnisse des Befehls sc zu lesen sind, wie die einzelnen Berechtigungszeichenfolgen zu interpretieren sind, und wie Sie ermitteln, wem die Berechtigung jeweils erteilt wurde.

Sie können die in Klammern eingeschlossenen Zeichenfolgen jeweils einzeln auswerten, indem Sie den folgenden Schlüssel verwenden:Jedes Paar aus zwei Buchstaben in der Berechtigungszeichenfolge steht für eine bestimmte Berechtigung:

Besondere Vorsicht ist in diesem Zusammenhang bei der Berechtigung "Konfiguration ändern" (ChangeConf (DC)) geboten. Wenn Sie ermitteln möchten, ob Ihr Dienst für einen Angriff anfällig ist, bei dem versucht wird, Berechtigungen zu manipulieren, untersuchen Sie die Berechtigung "ChangeConf". Diese Berechtigung eröffnet ihrem Träger die Möglichkeit, die Konfiguration des Dienstes so zu ändern, dass sie auch für die Binärdatei gilt, die beim Start des Dienstes ausgeführt wird. Auch mit den Berechtigungen "WDac (WD)" und "WOwn (WO)" sollten Sie sehr vorsichtig umgehen, weil beide dazu verwendet werden könnten, die Berechtigungen auf "LocalSystem" (Lokales System) anzuheben. Stellen Sie sicher, dass diese Berechtigungen keinen Benutzern erteilt werden, die eigentlich nur über sehr eingeschränkte Berechtigungen verfügen dürften. Die folgende Tabelle listet die Codes auf, anhand derer der Typ von Benutzer identifiziert wird, dem in der SDDL-Syntax der Zugriff gewährt wird.

Interpretation einer DACL-Zeichenfolge im SDDL-Format

Diese Informationen beschreiben, wie das Beispiel für eine DACL-Zeichenfolge zu interpretieren ist, das Sie am Anfang des Artikels finden. Bei dieser Interpretation wird jeder Eintrag für die Zugriffssteuerung (ACE, Access Control Entry) einzeln aufgeführt.

• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
  
  Dieser ACE erteilt dem lokalen System (LocalSystem (SY)) die folgenden Berechtigungen:
  • Konfiguration abfragen (QueryConf)
  • Konfiguration ändern (ChangeConf)
  • Status abfragen (QueryStat)
  • Abteilungen auflisten (EnumDeps)
  • Starten (Start)
  • Anhalten (Stop)
  • Pause
  • Abfragen (Interrogate)
  • Benutzerdefiniert (UserDefined)
  • Löschen (Delete)
  • RCtl
  • WDac
  • WOwn
  Dieser ACE ist auf "LocalSystem" beschränkt. Vom Sicherheitsstandpunkt ist dies positiv, weil "LocalSystem" bereits der wirksamste Sicherheitskontext auf der Arbeitsstation ist. Es können also keine umfangreicheren Berechtigungen erschlichen werden.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
  
  Dieser ACE gilt für vordefinierte lokale Administratoren (Built-in local Administrators/BA). Dieser ACE erteilt allen lokalen Administratoren die gleichen Berechtigungen wie der vorherige. Auch dies ist ein sehr wirksamer Sicherheitskontext auf der Arbeitsstation. Auch hier besteht also kein Risiko, dass umfangreichere Berechtigungen erschlichen werden.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
  
  Dieser ACE verleiht jedem authentifizierten Benutzer (Authenticated User/AU) alle zuvor genannten Berechtigungen.

In dem letzten ACE kann ein Benutzer aus einer Gruppe, für die stark eingeschränkte Berechtigungen gelten (zum Beispiel jeder authentifizierte Benutzer), die Konfiguration des Dienstes ändern. Bestandteil der Konfiguration sind auch die beim Starten des Dienstes ausgeführte Binärdatei und das Konto, unter dem der Dienst ausgeführt wird.

Bei der folgenden Beispiel-DACL wird dem authentifizierten Benutzern die Berechtigung "Konfiguration ändern" (ChangeConf) nicht erteilt:
Mit dieser DACL werden authentifizierten Benutzern nur die folgenden Berechtigungen eingeräumt:

• Konfiguration abfragen (QueryConf)
• Status abfragen (QueryStat)
• Abteilungen auflisten (EnumDeps)
• Abfragen (Interrogate)
• Benutzerdefiniert (UserDefined)
• RCtl

Bei Erteilung dieser Berechtigungen besteht kein Risiko der Heraufstufung von Berechtigungen über die Gruppe "Authentifizierte Benutzer". Für die Gruppe "Hauptbenutzer" (Power Users/PU) ist bereits eine Heraufstufung zu "LocalSystem" möglich, sodass nicht von einem Heraufstufungsrisiko auszugehen ist. In diesem Beispiel verfügt die Gruppe "Hauptbenutzer" über die gleichen Berechtigungen wie die Gruppe "Authentifizierte Benutzer". Zusätzlich kann die Gruppe "Hauptbenutzer" jedoch auch den Dienst starten (RP). Jetzt sehen wir uns die Gruppe "Lokale Administratoren" (BA) an. Diese Gruppe und die nächste, die Gruppe "Server-Operatoren" (SO), verfügen beide über die Berechtigungen "Konfiguration ändern" (ChangeConf), "WDac" und "WOwn". Dies ist durchaus akzeptabel, weil nur die vertrauenswürdigsten Benutzer Mitglieder der Gruppen "Lokale Administratoren" und "Server-Operatoren" sein sollten.

Der Gruppe "Lokales System" (LocalSystem/SY) werden die gleichen Berechtigungen erteilt wie der Gruppe "Hauptbenutzer". Erstere verfügt jedoch zusätzlich über die Berechtigungen "Anhalten" und "Pause". Dies ist durchaus angemessen. Die nächsten zwei kurzen ACEs verleihen dem lokalen Dienstkonto und dem Netzwerkdienstkonto die Berechtigung, den Dienst anzuhalten. Auch dies ist durchaus angemessen, weil sowohl das lokale Dienstkonto als auch das Netzwerkdienstkonto lokale Konten mit einem großen Wirkungsbereich sind.

Der Gruppe "Netzwerkkonfigurations-Operatoren" (NO) wird jedoch auch die Berechtigung "Konfiguration ändern" (ChangeConf) erteilt. Die Gruppe "Netzwerkkonfigurations-Operatoren" wurde in Windows XP hinzugefügt, um vertrauenswürdigen Benutzern die Möglichkeit zu geben, Netzwerkeinstellungen zu ändern, ohne über vollständige Administratorberechtigungen zu verfügen. Standardmäßig ist die Gruppe "Netzwerkkonfigurations-Operatoren" leer. Diese Gruppe wird zuweilen verwendet, um bestimmten Benutzern Netzwerkkonfigurationsberechtigungen einzuräumen. Diese Berechtigung kann zum Beispiel einem Benutzer mit einem tragbaren Computer erteilt werden. Benutzer in der Gruppe "Netzwerkkonfigurations-Operatoren" können in vielen Fällen physisch auf die betreffenden Computer zugreifen. Der eigentliche Zweck dieser Gruppe ist jedoch, solchen Benutzern keine vollständigen Administratorberechtigungen einräumen zu müssen. Über diese DACL sollte der Gruppe "Netzwerkkonfigurations-Operatoren" daher nicht die Berechtigung "Konfiguration ändern" (ChangeConf) erteilt werden.

Empfohlene Vorgehensweisen

Beschränken Sie die Verwendung von DACLs für Dienste auf Benutzer, die eine bestimmte Zugriffsberechtigung benötigen. Lassen Sie bei der Vergabe der folgenden Berechtigungen besondere Vorsicht walten. Wenn die folgenden Berechtigungen einem Benutzer oder einer Gruppe mit eigentlich stark eingeschränkten Berechtigungen eingeräumt werden, könnten sie dazu missbraucht werden, die Berechtigungen auf dem Computer zu "Lokales System" (LocalSystem) heraufzustufen:

• Konfiguration ändern (ChangeConf (DC))
• WDac (WD)
• WOwn (WO)

Weitere Informationen zu Berechtigungen und Zugriffsberechtigungen finden Sie auf folgender Microsoft-Website: