Administrative Rechte mit Bedacht vergeben

Keine Ausreden mehr

Natürlich sind die angeführten Gründe nicht gänzlich aus der Luft gegriffen. Es gibt durchaus Anwendungen, die einen administrativen Zugriff auf dem Arbeitsrechner erfordern. Häufig erfordern diese Applikationen direkten Zugriff auf die Hardware und verwenden keine Standard-Windows-APIs. Beispielsweise seien hier einige spezielle Brennprogramme angeführt. Diese Ausnahmen rechtfertigen allerdings keinesfalls, deswegen gleich alle Systeme mit Administratorrechten arbeiten zu lassen. Dafür sind die Risiken einfach zu hoch.

Und ja, IT-Abteilungen sind häufig unterbesetzt und die einzelnen Mitarbeiter müssen wahre Alleskönner sein. Den Aufwand und die Zeit, die man benötigt sich durch alle Anwendungen zu arbeiten und die jeweiligen Sicherheitsberechtigungen zu bestimmen, mag da für manche nur noch Erinnerung aus längst vergangenen Zeiten sein.

In Zeiten von Apps und DevOps haben traditionelle Sysadmin-Fähigkeiten jeglichen Glanz verloren. Nicht nur, dass niemand mehr die Zeit für eine ordentliche Konfiguration in Sachen Sicherheit aufbringt. Derjenige, der derlei versucht, steht schnell im Ruf ein Blockierer zu sein. Dabei wird meist übersehen, dass die Zeit, die man sich für eine sichere Konfiguration eines Systems nimmt, meist die beste Investition in Sachen Sicherheit ist.

Unternehmen, die ihren Nutzern administrativen Zugriff auf ihre Windows-Systeme gewähren, machen ihre Netzwerke zugleich angreifbarer. Ein Angreifer muss so nur irgendeinen Endanwender dazu bekommen, eine präparierte Website oder einen entsprechenden Mail-Anhang zu öffnen, um ihm Schadcode unterzujubeln. In der Folge gelangt der Angreifer an die Anmeldedaten des Anwenders und ist somit als Admin dieses Systems mit all den dazugehörigen Rechten unterwegs. Somit lässt sich leicht Antiviren- oder andere Sicherheitssoftware deaktivieren, um weitere Schad-Tools nachzuladen. Zudem kann der Angreifer beispielsweise leicht Eventlog-Einträge löschen, um seine Spuren zu verwischen.

Ist der Angreifer mit diesen Rechten erst einmal auf dem System, hat er dort mit den entsprechenden Werkzeugen Zugriff auf alle Zugangsdaten, die dort hinterlegt sind. Die jeweiligen Tools können Passwörter auch aus dem Systemspeicher extrahieren. Die Problematik betrifft dann häufig nicht nur Zugangsdaten des aktuellen Anwenders, sondern oft auch Zugangsdaten derjenigen IT-Support-Mitarbeiter, die einst das System erstmalig aufgesetzt haben. Oft werden die Rechner mit entsprechenden Admin-Konten der IT-Mitarbeiter eingerichtet. Gelangt der Angreifer an diese sensiblen Anmeldeinformationen, kann er sich recht frei im Unternehmensnetzwerk bewegen. Damit lässt sich beträchtlicher Schaden – etwa Datendiebstahl – anrichten.

Angriffe abwehren

Am besten lässt sich die Angriffsfläche verkleinern, indem man den administrativen Zugriff erheblich einschränkt. Dies zwingt die Angreifer, sich beim Angriff an einer Rechteerhöhung zu versuchen und erhöht somit die Chancen, diese dabei zu erwischen.

Viele Anwendungen, die administrative Rechte erfordern, benötigen nur Zugriff auf bestimmte Verzeichnisse wie etwa „C:\Program Files“ oder auf Systemverzeichnisse unterhalb von „C:\Windows“. Oder aber sie müssen in der Lage sein, in bestimmte Zweige in der Registry außerhalb des Benutzerprofils zu schreiben, wie etwa unter „HKLM“. Mit Hilfe der praktischen kostenlosen Sysinternals-Tools Process Explorer und Process Monitor kann man derlei Berechtigungsproblemen aufspüren.

Allerdings benötigt eine derartige Vorgehensweise Zeit, sprich Aufwand. Daher sollte der Abteilungsleitung oder der Unternehmensführung klar sein – oder gemacht werden, wie ordnungsgemäß verwaltete Maschinen die Gesamtkosten im Hinblick auf den Support verringern können. Da mag es hilfreich sein, der Führungsebene auf einem Testsystem zu demonstrieren, wie einfach ein Angreifer auch Zugangsdaten löschen könnte.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!