Bundesamt für Sicherheit in der Informationstechnik

G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen ab Windows Server 2003

Im Betriebssystem Windows Server ab Version 2003 sind zu den aus Windows 2000 Server bekannten eingebauten Sicherheitsgruppen weitere Standardgruppen hinzugekommen. Die Rechte dieser Gruppen können zum Teil nicht eingeschränkt werden und die Berechtigungen sind vom Hersteller nicht im Einzelnen dokumentiert. Bestimmte Berechtigungen werden nicht angezeigt und sind nicht administrierbar, so zum Beispiel bei der Gruppe Netzwerkkonfigurations-Operatoren.

Die Gruppen stellen nicht prinzipiell eine Gefährdung dar. Die Unkenntnis über die Funktionsweise dieser Gruppen sowie deren ungeeignete Verwendung können jedoch zu vorsätzlichem oder versehentlichem Missbrauch von Administratorrechten und zur Fehlkonfiguration des Systems führen.

Neue Gruppen ab Windows Server 2003 sind:

  • Hilfedienstgruppe
    Diese Gruppe für das Hilfe- und Supportcenter wird für die Administration und den Betrieb des Servers nicht benötigt, birgt jedoch Möglichkeiten für Missbrauch oder Fehlkonfiguration, weil der Gruppe umfangreiche Berechtigungen für Administrationswerkzeuge zugeordnet werden können.
  • Netzwerkkonfigurations-Operatoren
    Mitglieder dieser Gruppe können die Parameter des TCP/IP-Stacks einstellen und manipulieren und somit den Server unerreichbar machen oder für Angriffe öffnen.
  • Systemmonitorbenutzer und Leistungsprotokollbenutzer
    Systemmonitorbenutzer dürfen das Programm für den Systemmonitor (perfmon.exe) ausführen und benutzen, ohne dass sie besondere Berechtigungen benötigen. Mitglieder der Gruppe Leistungsprotokollbenutzer können Protokolle des Systemmonitors anschauen, verwalten und die Aufzeichnung von Überwachungsdaten konfigurieren. Sie haben direkten Zugriff auf einen Teil der Windows Management Instrumentation (WMI) Datenbank. Leistungs- und Nutzungsprofile sind sicherheitskritische Informationen, genauso wie Informationen über Ausfälle und Fehlfunktionen, die Anlass für einen Angriffsversuch sein könnten. Es stellt eine Gefahr dar, wenn Benutzerkonten unabsichtlich zusätzliche Berechtigungen mittels dieser Gruppen erlangen.
  • Remotedesktopbenutzer
    Mitglieder dieser Gruppe können sich von einem anderen Computer aus mittels Remote Desktop Protocol (RDP) auf einem Mitgliedsserver oder allein stehenden Server anmelden und mit ihm arbeiten, als würden sie direkt vor dem physikalischen System sitzen. Dies stellt ein Risiko dar, denn jeder normale Benutzer kann sich auf diese Weise anmelden, ohne dass er besondere zusätzliche Berechtigungen benötigt.
  • Distributed COM-Benutzer
    Ab Windows Server 2003 mit Service Pack 1 stehen detailliertere Berechtigungsstrukturen für Distributed-COM-Objekte (DCOM) zur Verfügung, um die Ausführung von COM-Modulen und die Aktivierung von COM-Objekten besser kontrollieren zu können. Insbesondere die Ausführung mittels Remote Procedure Calls (RPC) von anderen Clients aus kann damit besser kontrolliert werden. Viele Windows-Funktionen können über COM-Objekte gesteuert werden, darunter Windows Update, Richtlinienergebnissatz und Zertifikatsdienste. Die Berechtigungen werden in der Konsole "Komponentendienste" konfiguriert. Standardmäßig haben die Distributed-COM-Benutzer das höchste Berechtigungslimit, es geht sogar über das von normalen Administratoren hinaus. Der falsche Umgang mit dieser Gruppe kann die verbesserten DCOM-Sicherheitsfunktionen unwirksam machen oder sogar zu einer erhöhten Angreifbarkeit des Systems führen.
  • Erstellungen eingehender Gesamtstrukturvertrauensstellung
    Diese Gruppe ist seit Windows 2003 neu auf Domänencontrollern. Mitglieder dieser Gruppe können eingehende unidirektionale Vertrauensstellungen zur Active Directory-Gesamtstruktur eines Informationsverbundes erstellen. Durch Vertrauensstellungen können Rechte in der jeweils anderen Domänenumgebung ausgeübt werden, daher kann der Missbrauch oder fahrlässige Umgang mit dieser Gruppe Angreifern vielfältige Einflussmöglichkeiten auf den gesamten Informationsverbund verschaffen.

Unter Windows Server 2008 sind nach der Installation weitere Gruppen vorhanden. Dies gilt sowohl für sogenannte Stand-Alone-Systeme, als auch für Server innerhalb einer Domäne.

Stand: 13. EL Stand 2013