Berechtigungsverwaltung

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über die Berechtigungsverwaltung
Berechtigungsverwaltung oder Ausführen als
Technologie
Vorteile der Berechtigungsverwaltung

Wissenswertes über die Berechtigungsverwaltung

Die Berechtigungsverwaltung ermöglicht es den IT-Abteilungen in Unternehmen, die Access Control-Berechtigungen auf Benutzer-, Gruppen-, Anwendungs- oder Geschäftsregelbasis zu reduzieren. Dadurch wird sichergestellt, dass Benutzer nur Zugriff auf die Anwendungen und Steuerelemente haben, die sie zur Ausübung ihrer Tätigkeit unbedingt benötigen. Dies wiederum verbessert Desktop-Stabilität, Sicherheit und Produktivität.

Bei der Berechtigungsverwaltung wird der Zugriff auf Anwendungen und Tasks dynamisch verwaltet. Die Benutzerberechtigungen werden auf Abruf, als Reaktion auf Benutzeraktionen, gesteuert. Beispiel: Administratorrechte können auf eine benannte Anwendung oder Systemsteuerungskomponente für einen bestimmten Benutzer oder eine bestimmte Benutzergruppe angewendet werden. Dazu werden entweder die Berechtigungen eines Standardbenutzers auf die Administratorebene angehoben oder die Berechtigungen eines Administrators auf die eines Standardbenutzerkontos heruntergestuft.

Mithilfe der Berechtigungsverwaltung können Sie wiederverwendbare Richtlinien für die Berechtigungsverwaltung erstellen und diese mit Regelsätzen verknüpfen. So lässt sich der Zugriff auf Dateien, Ordner, Datei-Hashes und unterstützte Systemsteuerungskomponenten eines bestimmten Betriebssystems erweitern oder einschränken.

Die Berechtigungsverwaltung unterstützt das Prinzip der geringsten Rechte. Dieses Prinzip stellt darauf ab, Benutzern nur so viele Rechte einzuräumen, wie sie zur Ausübung ihrer Tätigkeit benötigen, ohne ihnen vollständige Administratorrechte zu gewähren. Das Erlebnis ist für den Benutzer nahtlos.

Allgemeine Tasks, die Administratorrechte erfordern

Zur Ausübung ihrer Tätigkeit müssen Benutzer oft eine Reihe von Tasks durchführen, für die Administratorrechte erforderlich sind. Hier bedarf es einer Lösung, die das Durchführen dieser spezifischen Tasks unterstützt, damit Benutzer ihrer Tätigkeit ohne Einschränkung nachkommen können. Zu diesen Tasks gehören:

Installieren von Druckern
Installieren bestimmter Hardware
Installieren bestimmter Anwendungen
Nutzen von Anwendungen, die Administratorrechte erfordern
Ändern der Systemuhrzeit
Ausführen von Legacy-Anwendungen

Mithilfe der Berechtigungsverwaltung können dem Benutzer bestimmte Administratorrechte eingeräumt werden, sodass er in der Lage ist, diese Tasks durchzuführen.

Berechtigungsverwaltung oder Ausführen als

Viele Benutzer, insbesondere Wissensarbeiter, führen Anwendungen über den Befehl "Ausführen als" aus. Benutzer können ihre täglichen Tasks mit geringsten Rechten ausüben oder gegebenenfalls den Befehl "Ausführen als" verwenden, um ihre Rechte zu erweitern und somit Tasks im Kontext eines anderen Benutzers durchführen. Dazu benötigt der Benutzer jedoch zwei Konten: eines für geringste Rechte und eines für erweiterte Rechte ("Elevation").

Ein generelles Problem beim Verwenden von "Ausführen als" ist, dass das Administratorkennwort im Unternehmen bekannt wird. So teilt ein Administrator beispielsweise einem Benutzer das Administratorkennwort mit, damit dieser über den Befehl "Ausführen als" ein Problem an seinem Computer beheben kann. Leider wird das Kennwort dadurch oft weitergegeben, was zu Sicherheitsrisiken führt.

Ein weiteres Problem mit "Ausführen als" ist die Art, in der Software mit diesem Befehl interagiert. Mit "Ausführen als" wird eine Anwendung oder ein Prozess im Kontext eines anderen Benutzers gestartet. Daher hat die Anwendung oder der Prozess keinen Zugriff auf die richtige HKEY_CURRENT_USER-Struktur in der Registrierung.

Diese Struktur ist ein geschützter Bereich, in dem alle Profildaten gespeichert sind. Die Anwendung bzw. der Prozess, die/der im Kontext eines anderen Benutzers ausgeführt wird, kann diese Quelle weder lesen noch beschreiben, was zur Folge hat, dass einige Anwendungen nicht funktionieren. Das Ausführen im Kontext eines anderen Benutzers kann auch zu Problemen beim Lesen und Beschreiben von Netzwerkfreigaben führen. Das liegt daran, dass Netzwerkfreigaben auf dem Konto in dem von Ihnen ausgeführten Kontext basieren. Ihr lokales Konto und Ihr "Ausführen als"-Konto haben folglich nicht unbedingt denselben Zugriff auf Ressourcen.

"Ausführen als" und Benutzerkontensteuerung

Einige Betriebssysteme verfügen über Funktionen, die es dem Benutzer ermöglichen, Anwendungen oder Prozesse ohne Administratorrechte auszuführen. Dies sind der Befehl "Ausführen als" und die Benutzerkontensteuerung.

Wenngleich diese Funktionen dem Benutzer die Ausführung ohne Administratorrechte ermöglichen, benötigt der Benutzer dennoch Zugriff auf ein Administratorkonto, um Administratortasks durchführen zu können. Diese Einschränkung bedingt leider, dass die Funktionen für Administratoren besser geeignet sind. Benutzer können sich als Standardbenutzer anmelden und mithilfe des Administratorkontos rein administrative Tasks durchführen.

Die Tatsache, dass der Benutzer die Anmeldeinformationen eines lokalen Administrators angeben muss, um "Ausführen als" und die Benutzerkontensteuerung verwenden zu können, zieht eine Reihe von Problemen nach sich. Zum Beispiel:

Ein Benutzer mit Zugriff auf ein Administratorkonto muss absolut vertrauenswürdig sein, um sicherzustellen, dass er die Berechtigungen nicht missbräuchlich verwendet.
Anwendungen, die mit Administratorrechten ausgeführt werden, werden jetzt im Kontext eines anderen Benutzers ausgeführt. Dies kann zu Problemen führen, da diese konkreten Anwendungen keinen Zugriff auf das Profil oder die Netzwerkfreigaben des eigentlichen Benutzers haben, wie unter "Berechtigungsverwaltung und Ausführen als" beschrieben.
Es sind zwei Kennwörter erforderlich. Eines für das Standardkonto und eines für das Administratorkonto. Der Benutzer muss sich beide merken. Die Sicherheit für ein Konto zu gewährleisten, ist bereits eine Herausforderung, für zwei Konten trifft dies umso mehr zu.

Technologie

Wenn in einer Microsoft Windows-Umgebung eine Anwendung gestartet werden soll und eine Ausführungsanforderung gesendet wird, verlangt die Anwendung im Rahmen der Genehmigung des Anwendungsstartvorgangs einen Sicherheitstoken. Dieser Token beinhaltet die Rechte und Berechtigungen, die der Anwendung gewährt wurden. Diese Rechte können für die Interaktion mit dem Betriebssystem oder anderen Anwendungen verwendet werden.

Wenn die Berechtigungsverwaltung für eine Anwendung konfiguriert ist, wird der angeforderte Sicherheitstoken dynamisch modifiziert. Die Berechtigungen können erweitert oder eingeschränkt werden, sodass eine Anwendung ausgeführt oder gesperrt werden kann.

Der Mechanismus für die Verwaltung von Benutzerrechten handhabt Anforderungen zum Starten von Prozessen wie folgt:

Eine Richtlinie für Benutzerrechte wird in der Konfigurationsregel definiert. Sie gilt für Anwendungen oder Komponenten.
Die Anwendungsliste kann Dateien, Ordner, Signaturen oder Anwendungsgruppen beinhalten.

Die Komponentenliste kann Systemsteuerungskomponenten beinhalten.
Wird durch den Start einer Anwendung oder einer ausführbaren Datei ein Prozess erstellt, wird dieser vom Application Control Hook abgefangen. Der Hook ruft beim Application Control Agent ab, ob für die Ausführung des Prozesses erweiterte oder eingeschränkte Rechte erforderlich sind.
Der Agent prüft, ob die Konfiguration erhöhte oder eingeschränkte Rechte vorsieht und fordert bei Bedarf einen modifizierten Benutzertoken von der lokalen Sicherheitsautorität (LSA) von Windows an.
Der Hook empfängt den modifizierten Benutzertoken von der Windows LSA und verfügt damit über die erforderlichen Berechtigungen. Anderenfalls wird der Prozess mit dem vorhandenen Benutzertoken ausgeführt, entsprechend den Definitionen der normalen Benutzerrechte.

Vorteile der Berechtigungsverwaltung

Wesentliche Vorteile der Berechtigungsverwaltung:

Erweiterung von Benutzerrechten zum Ausführen von Anwendungen – Geben Sie anhand der Berechtigungsverwaltung die Anwendungen an, die mit Administrator-Anmeldeinformationen ausgeführt werden sollen. Der Benutzer besitzt keine Administrator-Anmeldeinformationen, ist jedoch in der Lage, die Anwendung auszuführen.
Erhöhung von Benutzerrechten zum Ausführen von Systemsteuerungs-Applets – Viele Roaming-Benutzer müssen Tasks durchführen, für die Administratorrechte erforderlich sind. Dazu gehört etwa das Installieren von Druckern, das Ändern von Netzwerk- und Firewalleinstellungen, das Ändern von Datum und Uhrzeit sowie das Hinzufügen und Entfernen von Programmen. Alle diese Tasks erfordern, dass bestimmte Komponenten als Administrator ausgeführt werden. Erweitern Sie mithilfe der Berechtigungsverwaltung die Berechtigungen für einzelne Komponenten, sodass der Standardbenutzer, der an sich kein Administrator ist, die erforderlichen Änderungen vornehmen kann, um seiner Tätigkeit nachzukommen.
Reduzieren von Berechtigungen zum Einschränken von Anwendungsberechtigungen – Benutzer verfügen standardmäßig über bestimmte Administrator-Anmeldeinformationen, sind jedoch gezwungen, bestimmte Anwendungen als Nicht-Administrator auszuführen. Durch Ausführen bestimmter Anwendungen als Administrator, z. B. Internet Explorer, kann der Benutzer nicht gewünschte Einstellungen ändern, Anwendungen installieren und gegebenenfalls den Desktop mit dem Internet verbinden. Schränken Sie mithilfe der Berechtigungsverwaltung die Berechtigungen eines Benutzers auf Administratorebene ein. Verhindern Sie beispielsweise, dass Internet Explorer im Standardbenutzermodus ausgeführt wird und schützen Sie so den Desktop.
Reduzieren von Berechtigungen zum Einschränken des Zugriffs auf Systemeinstellungen – Mithilfe der Berechtigungsverwaltung können Sie einem Systemadministrator auf höherer Ebene die Möglichkeit geben, zu verhindern, dass ein Administratorbenutzer Einstellungen ändert, die unverändert bleiben sollen, z. B. Firewalls und bestimmte Dienste. Setzen Sie die Berechtigungsverwaltung ein, um die Administratorrechte für bestimmte Prozesse zu reduzieren. Wenngleich der Benutzer über Administratorrechte verfügt, behält der Systemadministrator die Kontrolle über die Umgebung.