Suchen

Mehr Verlass auf Betriebssystem-Services – Teil 2

Dienste unter Windows Server 2008 und Windows Vista härten

Seite: 4/4

Firmen zum Thema

Schutz für SIDs aktivieren

Zu den wichtigen Neuerungen unter Windows Vista und Windows Server 2008 gehört, dass Diensten zusätzlich zur Prozesstoken-SID NT-AUTORITÄT\DIENST (S-1-5-6), eine dienstspezifische SID zugewiesen werden kann. Diese ermöglicht es, Diensten direkte Berechtigungen für beliebige geschützte Objekte zuzuweisen.

Obwohl der Schutz der Ressourcen eines Dienstes durch eine Dienst-SID gut geeignet ist, um andere Benutzer und Dienste daran zu hindern, auf seine Daten oder Einstellungen zuzugreifen oder gar zu ändern, verhindert er nicht, dass der Dienst auf andere Ressourcen zugreift, auf die er nicht zuzugreifen braucht. Ergänzend hat jeder Dienst daher drei gültige SID-Typen:

Bildergalerie

None: Der Dienst hat keine dienstspezifische SID hat. Dieser Typ ist aus Gründen der Kompatibilität für ältere Dienste erforderlich.

Unrestricted: Der Dienst hat eine dienstspezifische SID hat, die für die Zugriffssteuerung verwendet werden kann.

Restricted: Der SID-Typ Restricted wird verwendet, um explizit eine weitere Zugriffssteuerung für den Dienst zu erzwingen. Sie kann auch genutzt werden, um für einen Dienst zum Beispiel spezifische Ports in der Windows-Firewall und IPsec zu öffnen.

Der SID-Typ RESTRICTED führt dazu, dass die eigene SID des Dienstes zur Liste der eingeschränkten SIDs im Prozesstoken hinzugefügt wird, zusammen mit den drei weiteren SIDs:

  • Jeder-SID (S-1-1-0)
  • Logon SID (S-1-5-5-0-64163)
  • SCHREIBENEINGESCHRÄNKT-SID (S-l-5-33)

Diese SIDs ermöglichen es, einen Schreibzugriff auf Ressourcen mit eingeschränktem Schreibzugriff zu gewähren. Wenn ein Dienst versucht in eine Ressource zu schreiben, er aber die SCHREIBEN EINGESCHRÄNKT-SID in seinem Zugriffstoken hat, wird der Zugriff verhindert. Allerdings nur sofern der SCHREIBEN EINGESCHRÄNKT-SID innerhalb der Gruppe Jeder keine Schreibberechtigung zugewiesen wurde. Wichtiger noch: Gleichzeitig wird damit eingeschränkt wohin geschrieben wird, sodass die mögliche Wirkung im Fall einer Gefährdung des Dienstes reduziert wird.

Standardmäßig sind nur wenige Dienste als schreibeingeschränkt markiert. Mit dem Befehl sc qsidtype können SID-Typ eines Dienstes angezeigt (siehe Bild 3) bzw. mit dem nachstehenden Befehl auch geändert werden.

sc sidtype [Dientsname]

(ID:2018463)