:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit durch weniger Rechte Benutzer ohne Admin-Rechte
Häufig erhalten Benutzer Admin-Rechte auf einem Computer, weil einzelne Programme ansonsten nicht funktionieren. Das ist seit Jahren üblich, bringt aber viele Probleme, wie zum Beispiel ein erhöhtes Malware-Risiko mit sich. Dabei sind die erweiterten Rechte in den meisten Fällen gar nicht notwendig. Windows bietet genug Möglichkeiten, damit Benutzer auch ohne Admin-Rechte mit dem System arbeiten können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
In den meisten Fällen ist es nicht notwendig und auch nicht sinnvoll Benutzern Administrator-Rechte zu geben. Zunächst sollte analysiert werden, warum die Admin-Rechte notwendig sind. Anschließend sollten exakt die Rechte zugewiesen werden, die der Zugriff auf ein bestimmtes Programm erfordern.
Admin-Rechte für einzelne Programme
In Windows steht dazu die Registerkarte „Kompatibilität“ in den Eigenschaften von Verknüpfungen für Programme zur Verfügung. Durch Aktivieren der Option „Programm als Administrator ausführen“ kann festgelegt werden, dass dieses einzelne Programm mit Administrator-Rechten ausgeführt wird. Auf diesem Weg lassen sich also einzelne Programme mit erhöhten Rechten starten, ohne dass ein Benutzer gleich Administratorrechte erhalten muss.
:quality(80)/images.vogel.de/vogelonline/bdb/1426600/1426670/original.jpg "In den Eigenschaften von Programm-Verknüpfungen lassen sich einzelne Programme auch mit Admin-Rechten starten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1426600/1426671/original.jpg "Die lokale Benutzerverwaltung bietet auch in Windows 10 noch einige interessante Einstellungsmöglichkeiten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1426600/1426672/original.jpg "Starten Programme nicht, liegt es oft an fehlenden Rechten für Verzeichnisse.")
:quality(80)/images.vogel.de/vogelonline/bdb/1426600/1426673/original.jpg "In den Eigenschaften von Verzeichnissen können Benutzerrechte für Benutzer eingetragen werden.")
Erhöhte Rechte durch Gruppenmitgliedschaften
Auch in Windows 10 gibt es noch eine lokale Benutzerkontensteuerung und eine lokale Benutzerverwaltung. Die lokale Benutzerverwaltung wird über „lusrmgr.msc“ im Suchfeld des Startmenüs gestartet. Hier stehen neben der Administratoren-Gruppe auch andere Gruppen zur Verfügung. Diese können auch noch in Windows 10 genutzt werden. Die Gruppe „Hauptbenutzer“ sollte zwar in Windows 10 nicht mehr verwendet werden, bieten aber dennoch erhöhte Reche, ohne gleich komplette Admin-Rechte zu vergeben.
„Netzwerkkonfigurations-Operatoren“ dienen zur Delegation von Verwaltungsaufgaben, welche die Netzwerkkonfiguration betreffen. Mitglieder dieser Gruppe haben eingeschränkte administrative Rechte zur Konfiguration des Netzwerks, aber keine umfassenden Rechte für den ganzen PC.
Mitgliedern der Gruppe „Remotedesktopbenutzer“ ist es erlaubt, eine Remotedesktopverbindung zu diesem Computer aufzubauen. Wer in der Gruppe „Replikations-Operator“ Mitglied ist, verfügt über die nötigen Rechte, um den Verzeichnisreplikationsdienst zu starten.
„Sicherungs-Operatoren“ können Dateien sichern und wiederherstellen. Die Mitglieder dieser Gruppe besitzen alle Berechtigungen, die für Datensicherungen und die Wiederherstellung von gesicherten Informationen erforderlich sind.
Rechte eines Administrators im Vergleich zu Hauptbenutzern
Die lokale Gruppe „Hauptbenutzer“ auf Arbeitsstationen und Servern hat nahezu ähnlich Rechte zu den lokalen Administratoren. Folgende Rechte bleiben allerdings den Administratoren eines Rechners oder Servers vorbehalten:
- Ändern von Benutzerrechten
- Sperrung eines Computers aufheben
- Erhöhen von Prozess-Prioritäten im Taskmanager
- Herunterfahren eines Systems über das Netzwerk
- Übernahme des Besitzes von Objekten
- Installieren und Konfigurieren von Hardware und Treibern (Hauptbenutzer dürfen allerdings Drucker installieren)
- Ändern der Systemdateien
- Ändern der Kennwortrichtlinien
- Ändern der Überwachungsrichtlinien
- Konfigurieren der lokalen Ereignisprotokolle
- Installieren von lokalen System Diensten
- Installieren von Service-Packs und Patches auf lokalen Maschinen
- Aktualisierung des Betriebssystems auf eine neue Version
- Erstellen von Administrativen Freigaben
- Erstellen von weiteren Administratorkonten
- Verändern von Gruppen und Benutzern, die nicht selbst erstellt wurden
- Remotezugriff auf die Registry
- Stoppen und Starten von Diensten die automatisch gestartet werden
- Verwalten von Datenträgerkontingenten
- Datenträger formatieren
- Systembezogene Umgebungsvariablen anpassen
- Auf andere Profile zugreifen
- Sichern und Wiederherstellen von Dateien
Rechte eines Hauptbenutzers im Vergleich zu Benutzern
Hauptbenutzer haben zwar weniger Rechte als Administratoren, aber deutlich mehr Rechte als normale Benutzer auf einem lokalen System. Hauptbenutzer dürfen folgende Aufgaben durchführen, was normalen Benutzern verwehrt ist:
- Erstellen von lokalen Gruppen und Benutzern
- Ändern selbst erstellter Gruppen
- Erstellen und Löschen von Freigaben (keine administrativen)
- Erstellen, verwalten, löschen und freigeben von lokalen Druckern
- Veränderung der Systemzeit
- Stoppen und starten von Diensten, die nicht automatisch gestartet werden
- Berechtigung Ändern auf den Ordner Programme
- Ändern verschiedener Registryschlüssel unter HKEY_LOCAL_MACHINE\Software
- Schreibzugriff auf die meisten Systemverzeichnisse
- Installation von Programmen
- Ändern von Systemeinstellungen wie IP-Adresse und andere systemseitigen Komponenten
Rechte für Verzeichnisse reichen oft aus
Wenn ein Anwender ein bestimmtes Programm nicht öffnen kann, liegt es oft an fehlenden Schreib- oder Leserechten für verschiedene Verzeichnisse. In den meisten Fällen liegt das Problem an Schreibrechten für das Verzeichnis, in dem die Anwendung selbst installiert ist. Dabei handelt es sich meistens um ein Unterverzeichnis in „C:\Programme“, beziehungsweise „C:\Program Files“ Dazu kommt der dazu gehörige Registry-Schlüssel unter HKLM\Software.
Werden hier über das Kontextmenü die Rechte für den entsprechenden Benutzer angepasst, und erhält er Schreibrechte, stellt das Arbeiten mit bestimmten Anwendungen und Verzeichnissen meistens kein Problem mehr dar. Erhalten Benutzer das Rechte „Ändern“ für ein Programmverzeichnis und teilweise noch für das lokale Temp-Verzeichnis, sollte sich das Problem lösen lassen.
Rechte über Gruppenrichtlinien delegieren
Sie können Rechte auch über Gruppenrichtlinien delegieren. Das ist dann sinnvoll, wenn Benutzer für bestimmte Verzeichnisse auf einem Computer Zugriff erhalten sollen. Die entsprechenden Einstellungen sind in der Gruppenrichtlinienverwaltung über „Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen“ zu finden. Hier stehen auch über „Lokale Richtlinien“ zahlreiche Einstellungen zur Verfügung, die dabei helfen Benutzerrechte in Windows zu steuern.
(ID:45400855)
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964605/original.jpg "Admins können mit Windows 11 Pro/Enterprise Updates über Gruppenrichtlinien steuern. Dazu ist kein Active Directory notwendig. (Gorodenkoff - stock.adobe.com)")