Bundesamt für Sicherheit in der Informationstechnik

M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Falls Benutzer nur bestimmte Aufgaben wahrnehmen müssen, ist es oftmals nicht erforderlich, ihnen alle mit einem eigenen Login verbundenen Rechte oder sogar Systemadministrator-Rechte zu geben. Beispiele sind bestimmte Tätigkeiten der routinemäßigen Systemverwaltung wie die Erstellung von Backups oder das Einrichten eines neuen Benutzers, die mit einem Programm menügesteuert durchgeführt werden, oder Tätigkeiten, für die ein Benutzer nur ein einzelnes Anwendungsprogramm benötigt. Insbesondere bei Aushilfskräften und externen Dienstleistern sollte darauf geachtet werden, dass diese nur die Dienste verwenden und nur auf die Daten zugreifen dürfen, die sie tatsächlich benötigen. Wenn ihre Tätigkeit beendet ist, sollten deren Accounts deaktiviert und alle Zugangsberechtigungen entfernt werden (siehe auch M 4.17 Sperren und Löschen nicht benötigter Accounts und Terminals ).

Für diese Benutzer sollte eine eingeschränkte Benutzerumgebung geschaffen werden. Sie kann zum Beispiel unter Unix durch eine Restricted Shell (rsh) und eine Beschränkung der Zugriffspfade mit dem Unix-Kommando chroot realisiert werden. Für einen Benutzer, der nur ein Anwendungsprogramm benötigt, kann dieses als Login-Shell eingetragen werden, so dass es nach dem Einloggen direkt gestartet und der Benutzer nach Beendigung des Programms automatisch ausgeloggt wird.

Der verfügbare Funktionsumfang des IT -Systems kann für einzelne Benutzer oder Benutzergruppen eingeschränkt werden. Die Nutzung von Editorprogrammen oder Compilern sollte verhindert werden, wenn sie nicht für die Aufgabenerfüllung des Benutzers erforderlich sind. Dies kann bei Stand-alone-Systemen durch die Entfernung solcher Programme und bei vernetzten Systemen durch die Rechtevergabe geregelt werden.

Microsoft Windows

Nachfolgend werden Sicherheitsmerkmale von Microsoft-Windows-Versionen vorgestellt, mit denen sich eine eingeschränkte Benutzerumgebung durch technische Maßnahmen durchsetzen lässt.

Microsoft Windows ab einschließlich der Version NT bietet die Möglichkeit, Startskripte zu verwenden, um die Zugriffe eines Benutzers auf einzelne Anwendungen zu beschränken. Es muss darauf geachtet werden, dass ein Benutzer die Ausführung der Skripte nicht unterbrechen oder verändern kann. Beispielsweise können die Skripte für einen sich anmeldenden Benutzer unsichtbar ausgeführt werden. Auch die gestartete Anwendung darf dem Benutzer keine Möglichkeit bieten, andere Programme zu starten.

Ab Windows 7 und Windows Server 2008 R2 kann der Zugang zu Anwendungen mit AppLocker blockiert und durch einen Administrator bei Bedarf freigeschaltet werden (siehe M 4.419 Anwendungssteuerung ab Windows 7 mit AppLocker ).

Ab Windows Vista erleichtert die Benutzerkontensteuerung (User Account Control, UAC, siehe auch M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ) das flexible Arbeiten mit eingeschränkten Benutzerrechten für Administratoren und normale Benutzer. Durch die UAC laufen alle Benutzervorgänge systemintern grundsätzlich mit Standardbenutzer-Berechtigungen, auch wenn der Benutzer mit einem Administratorkonto angemeldet ist. Für administrative Vorgänge wie Druckerinstallation oder Netzkonfiguration und für Programme, die nur mit Administratorrechte laufen können, zum Beispiel ältere Fachapplikationen, zeigt Windows ein Bestätigungsfenster an, das zusätzlich gegen Trojaner und Schadprogramme schützen soll. Erst nach Bestätigung durch den Benutzer werden die Administratorberechtigungen aktiviert. Sie sind auf den bestimmten Vorgang oder die Applikation beschränkt. Alle anderen und folgenden Vorgänge laufen parallel mit eingeschränkten Benutzerrechten weiter. Standardbenutzer erhalten statt der Bestätigungsmeldung ein geschütztes Anmeldefenster, in dem sie oder ein Mitarbeiter des IT -Support sich mit einem Administratorkonto anmelden können. Die laufenden Benutzervorgänge werden auch hier nicht unterbrochen. Dies stellt eine benutzerfreundliche Alternative zu den Befehlen runas und Ausführen als ... dar.

Über Jugendschutz kann ein Administrator für einen Benutzer Einschränkungen bei der Nutzung eines Systems ab Windows Vista und Windows Server 2008 festlegen. Jugendschutz unterstützt die Gestaltung der Nutzungseinschränkung anhand folgender Kriterien:

  • Zeiten, an denen der Benutzer sich anmelden kann,
  • Programme, die der Benutzer starten kann und
  • Web-Seiten (URLs), die der Benutzer aufrufen kann.

Jugendschutz ist allerdings für den nicht professionellen Einsatz konzipiert. Die durch den Jugendschutz ermöglichten Einschränkungen sollten im professionellen Umfeld durch alternative Maßnahmen durchgesetzt werden.

KDE und GNOME unter Linux

In den Linux-Benutzeroberflächen KDE und GNOME ist eine mit der Windows Benutzerkontensteuerung vergleichbare Abfrage von erhöhten Rechten innerhalb eingeschränkter Benutzerumgebungen enthalten. Diese sollte analog genutzt werden.

Prüffragen:

  • Sind Benutzerumgebung und Startprozedur für den jeweiligen Benutzer an seine Aufgaben angepasst?

  • Wird die Nutzung von Editor-Programmen oder Compilern verhindert, wenn diese nicht für die Aufgabenerfüllung des Benutzers erforderlich sind?

  • Wurde darauf geachtet, dass die Benutzer Startskripte beim Start von Windows nicht verändern oder abbrechen können?

  • Existiert eine Regelung für die Benutzerumgebung temporärer Benutzerkonten?

  • Sind vorhandene Sicherheitsmaßnahmen und -merkmale des eingesetzten IT-/ Betriebssystems wie die Benutzerkontensteuerung (UAC) aktiv, um die Einschränkung der Benutzerumgebung durchzusetzen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK