Auslassen der durchsuchenden Überprüfung
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Auslassen der durchsuchenden Überprüfung beschrieben.
Referenzen
Mit dieser Richtlinieneinstellung legen Sie fest, welche Benutzer (oder im Namen des Benutzerkontos ausgeführten Prozesse) berechtigt sind, ohne das spezielle Zugriffsrecht „Ordner durchsehen“ in einem Objektpfad im NTFS-Dateisystem oder in der Registrierung zu navigieren. Dieses Benutzerrecht erteilt Benutzern keine Erlaubnis, den Inhalt eines Ordners anzuzeigen. Sie können Ordner nur durchsehen, um auf zulässige Dateien oder Unterordner zuzugreifen.
Konstante: SeChangeNotifyPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Wenn Sie verhindern möchten, dass Benutzer Ordner oder Dateien sehen, für die sie keine Zugriffsrechte haben, verwenden Sie die zugriffsbasierte Aufzählung.
Sie können die Standardeinstellungen dieser Richtlinie in der Regel beibehalten. Wenn Sie die Einstellungen ändern, sollten Sie unbedingt sicherheitshalber das Ergebnis testen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Authentifizierte Benutzer Alle Benutzer Lokaler Dienst Netzwerkdienst Prä-Windows 2000 kompatibler Zugriff |
Standardeinstellungen für eigenständige Server |
Administratoren Sicherungsoperatoren Benutzer Alle Benutzer Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Authentifizierte Benutzer Alle Benutzer Lokaler Dienst Netzwerkdienst Prä-Windows 2000 kompatibler Zugriff |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Sicherungsoperatoren Benutzer Alle Benutzer Lokaler Dienst Netzwerkdienst |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Sicherungsoperatoren Benutzer Alle Benutzer Lokaler Dienst Netzwerkdienst |
Richtlinienverwaltung
Sie steuern die Berechtigungen für Dateien und Ordner, indem Sie die Zugriffssteuerungslisten (Access Control Lists, ACLs) des Dateisystems entsprechend konfigurieren. Mit der Fähigkeit, den Ordner durchsehen zu können, erhalten die Benutzer keine Lese- oder Schreibrechte.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Standardmäßig ist die Einstellung Auslassen der durchsuchenden Überprüfung so konfiguriert, dass Benutzer die durchsuchende Überprüfung auslassen können. Sie steuern die Berechtigungen für Dateien und Ordner, indem Sie die Zugriffssteuerungslisten (Access Control Lists, ACLs) des Dateisystems entsprechend konfigurieren. Mit der Fähigkeit, den Ordner durchsehen zu können, erhalten die Benutzer noch keinerlei Lese- oder Schreibrechte. Die Standardkonfiguration könnte nur dann zu einem Problem führen, wenn sich der Administrator, der die Berechtigungen konfiguriert, der Funktionsweise dieser Richtlinieneinstellung nicht bewusst ist. Beispiel: Der Administrator könnte davon ausgehen, dass Benutzer, die nicht auf einen Ordner zugreifen können, auch keinen Zugriff auf den Inhalt der untergeordneten Ordner haben. Da eine derartige Situation unwahrscheinlich ist, stellt dies ein geringes Sicherheitsrisiko dar.
Gegenmaßnahme
Organisationen, die ein extrem hohes Maß an Sicherheit fordern, sollten die Gruppe „Jeder“ und gegebenenfalls auch die Gruppe „Benutzer“ aus der Liste der Gruppen entfernen, denen das Benutzerrecht Auslassen der durchsuchenden Überprüfung zugewiesen wurde. Sie können den Zugriff auf sensible Daten auf effektive Weise einschränken, indem Sie explizit kontrollieren, wem Berechtigungen zum Durchsuchen von Ordnern erteilt werden. Zudem können Sie die zugriffsbasierte Aufzählung verwenden. Mit der zugriffsbasierten Aufzählung sehen Benutzer ausschließlich Ordner oder Dateien, für die sie Zugriffsrechte haben. Weitere Informationen zu diesem Feature finden Sie unter Zugriffsbasierte Aufzählung.
Mögliche Auswirkung
Windows-Betriebssysteme und zahlreiche Anwendungen wurden unter der Annahme entwickelt, dass jeder, der legitim auf den Computer zugreifen kann, über dieses Benutzerrecht verfügt. Daher wird empfohlen, dass Sie Änderungen an den Zuweisungen des Benutzerrechts Auslassen der durchsuchenden Überprüfung gründlich testen, bevor Sie diese in Produktionssystemen vornehmen. Insbesondere für IIS muss dieses Benutzerrecht den Konten „Netzwerkdienst“, „Lokaler Dienst“, „IIS_WPG“, „IUSR_<ComputerName>“ und „IWAM_<ComputerName>“ zugewiesen werden. (Es muss auch dem ASPNET-Konto über die Mitgliedschaft in der Gruppe „Benutzer“ zugewiesen werden.) Es wird empfohlen, die Standardkonfiguration dieser Richtlinieneinstellung beizubehalten.