Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Benutzerrechte und Privilegien 85
Berechtigungen für Hauptbenutzer entfernt
Eine der auffälligeren Änderungen ist, dass fast alle Berechtigungen für Hauptbenutzer entfernt
wurden. Es gibt hier und da noch einige Überbleibsel, aber alles in allem sind Hauptbenutzer
nicht mehr leistungsfähiger als Standardbenutzer. Dies soll den Weg bereiten, um
die Gruppe Hauptbenutzer irgendwann ganz zu entfernen. Ursprünglich sollte Hauptbenutzer
eine Gruppe für Leute sein, die einige kritische Operationen durchführen können, aber
keine richtigen Administratoren sind. Als aber alle Berechtigungen hinzugefügt waren, die
erforderlich waren, um die Gruppe nutzbar zu machen, waren ihre Mitglieder beinahe vollständige
Administratoren. In der Praxis lief es auf dasselbe hinaus, ob Sie einen Benutzer
zum Hauptbenutzer oder Administrator machten. Weil die Gruppe keinen Nutzen brachte,
aber Verwirrung stiften konnte, hat sich Microsoft daran gemacht, die Gruppe zu deaktivieren.
Die UAC erfüllt jetzt die Aufgabe, an der Hauptbenutzer letztlich immer scheiterte.
EIGENTÜMERRECHTE und Besitzerrechte
Die letzte Änderung ist wahrscheinlich die interessanteste. Bisherige Windows-Versionen
hatten immer die ERSTELLER-BESITZER-SID. ERSTELLER-BESITZER wird normalerweise
in vererbbaren ACEs benutzt, um dem Subjekt, das ein untergeordnetes Objekt anlegt,
bestimmte Berechtigungen zu geben. Die SID wird beim Erstellen des Objekts durch die
SID des tatsächlichen Erstellers ersetzt.
In Windows Vista und Windows Server 2008 gibt es in diesem Bereich eine neue SID:
EIGENTÜMERRECHTE. Während ERSTELLER-BESITZER beim Erstellen des Objekts
ersetzt wird, gilt das für EIGENTÜMERRECHTE nicht. EIGENTÜMERRECHTE wurde
eingeführt, weil sich etwas an den Berechtigungen für Besitzer geändert hat. In älteren
Versionen hatte der Besitzer eines Objekts immer die implizite Berechtigung, die DACL
des Objekts zu ändern. Viele Administratoren forderten die Fähigkeit, dieses Verhalten zu
ändern, damit Benutzer die Berechtigungen ihrer eigenen Dateien nicht mehr verändern
können. Diese Funktionalität wird nun in Windows Vista und Windows Server 2008 mithilfe
der SID EIGENTÜMERRECHTE verwirklicht. Falls die SID EIGENTÜMERRECHTE auf
das Objekt angewendet wird, hat sie Vorrang vor den impliziten Rechten des Besitzers.
Wenn Sie also einen EIGENTÜMERRECHTE-ACE mit Ändern-Berechtigungen zu einem
Objekt hinzufügen, kann der Besitzer die Berechtigungen des Objekts nicht mehr verändern.
Falls der Besitzer des Objekts ausgetauscht wird, wird der EIGENTÜMERRECHTE-ACE so
markiert, dass er nur noch vererbt wird. Das gilt sogar dann, wenn es sich um eine Datei
handelt. Der ACE wird dadurch de facto deaktiviert, bis der Administrator sicherstellen
kann, dass die Berechtigungen nicht alle aussperren.
Benutzerrechte und Privilegien
Wir haben einen letzten Aspekt der Zugriffssteuerung bereits mehrmals erwähnt, aber noch
nicht richtig erklärt: Benutzerrechte und Privilegien. Die Begriffe Benutzerrechte (engl. user
right) und Privilegien (engl. privilege) werden oft durcheinandergewürfelt, viele glauben,
beide wären dasselbe. Sie sind aber in Wirklichkeit ganz unterschiedliche Konstrukte. Benutzerrechte
steuern nur, auf welche Art sich ein Benutzer anmelden kann. Privilegien legen
dagegen fest, was Benutzer tun können, sobald sie einmal angemeldet sind. In den Abbildungen
3.10 und 3.11 haben Sie Privilegien in einem Token gesehen. Privilegien werden