Debuggen von Programmen

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Debuggen von Programmen beschrieben.

Referenz

Mit dieser Einstellung wird bestimmt, welche Benutzer Prozesse übernehmen oder öffnen können, selbst Prozesse, die sie nicht besitzen. Entwicklern, die ihre eigenen Apps debuggen, muss dieses Benutzerrecht zugewiesen werden. Entwickler hingegen, die neue Systemkomponenten debuggen, benötigen dieses Benutzerrecht. Dieses Benutzerrecht ermöglicht den Zugriff auf vertrauliche und wichtige Betriebssystemkomponenten.

Konstante: SeDebugPrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten

  • Nicht definiert

Bewährte Methoden

  • Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu, um Sicherheitslücken zu reduzieren.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

In der Standardeinstellung verfügen Mitglieder der Gruppe „Administratoren“ über dieses Recht.

In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Administratoren

Standardeinstellungen für eigenständige Server

Administratoren

Effektive Standardeinstellungen für Domänencontroller

Administratoren

Effektive Standardeinstellungen für Mitgliedsserver

Administratoren

Effektive Standardeinstellungen für Clientcomputer

Administratoren

 

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen

  2. Websiterichtlinieneinstellungen

  3. Domänenrichtlinieneinstellungen

  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Das Benutzerrecht Debuggen von Programmen kann missbraucht werden, um vertrauliche Geräteinformationen aus dem Systemspeicher abzurufen oder um Kernel- oder Anwendungsstrukturen aufzurufen und zu ändern. Einige Tools für Angriffe missbrauchen dieses Benutzerrecht, um Hash-Kennwörter und andere private Sicherheitsinformationen zu extrahieren oder um Schadsoftware einzufügen. In der Standardeinstellung ist das Benutzerrecht Debuggen von Programmen nur Administratoren zugewiesen, wodurch das Risiko dieser Sicherheitslücke gemindert wird.

Gegenmaßnahme

Entfernen Sie die Konten für alle Benutzer und Gruppen, die das Benutzerrecht Debuggen von Programmen nicht benötigen.

Mögliche Auswirkung

Wenn Sie dieses Benutzerrecht widerrufen, können keine Personen Programme debuggen. Im Allgemeinen ist diese Fähigkeit auf Produktionsgeräten jedoch nur selten erforderlich. Wenn ein Problem auftritt, bei dem eine Anwendung auf einem Produktionsserver debuggt werden muss, können Sie den Server vorübergehend in eine andere Organisationseinheit (OU) verschieben und das Benutzerrecht Debuggen von Programmen einer separaten Gruppenrichtlinie für diese OU zuweisen.

Verwandte Themen

Zuweisen von Benutzerrechten