Annehmen der Clientidentität nach Authentifizierung
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Annehmen der Clientidentität nach Authentifizierung beschrieben.
Referenz
Diese Einstellung bestimmt, welche Programme die Identität eines Benutzers oder eines anderen bestimmten Kontos annehmen und im Auftrag des Benutzers handeln dürfen. Wenn das Benutzerrecht für diese Art von Identitätswechsel erforderlich ist, kann ein nicht autorisierter Benutzer bewirken, dass ein Client eine Verbindung (z. B. über Remoteprozeduraufruf (RPC) oder Named Pipes) mit einem Dienst herstellt, den er für die Annahme der Identität dieses Clients erstellt hat. (Durch solche eine Aktion können die Berechtigungen des nicht autorisierten Benutzers auf die Administrator- oder Systemebene heraufgestuft werden.)
Identitätswechsel ist die Fähigkeit, einen Thread in einem Sicherheitskontext auszuführen, der nicht identisch ist mit dem Kontext des Prozesses ist, der den Thread besitzt. Identitätswechsel wurde entwickelt, um den Sicherheitsanforderungen von Client-/Serveranwendungen gerecht zu werden. Bei Ausführung im Sicherheitskontext eines Clients „ist“ ein Dienst zu einem gewissen Grad der Client. Einer der Threads des Dienstes verwendet ein Zugriffstoken, das die Anmeldeinformationen des Clients darstellt, um Zugriff auf die Objekte zu erlangen, auf die der Client zugreifen kann.
Der Hauptgrund für einen Identitätswechsel besteht darin, Zugriffsprüfungen für die Identität des Clients zu initiieren. Wird die Identität des Clients für Zugriffsprüfungen verwendet, kann der Zugriff je nach den Berechtigungen des Clients entweder eingeschränkt oder erweitert werden.
In Diensten, die durch den Dienststeuerungs-Manager (Service Control Manager, SCM) gestartet werden, wurde die integrierte Dienstgruppe standardmäßig den Zugriffstoken hinzugefügt. Auch bei COM-Servern, die durch die COM-Infrastruktur gestartet werden und für die Ausführung unter einem bestimmten Konto konfiguriert sind, wurde die Dienstgruppe den Zugriffstoken hinzugefügt. Daher wird diese Benutzerberechtigung den betreffenden Prozessen beim Starten zugewiesen.
Konstante: SeImpersonatePrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Standardwerte
Nicht definiert
Bewährte Methoden
Ein Benutzer kann die Identität eines Zugriffstokens annehmen, wenn eine der folgenden Bedingungen erfüllt ist:
Das Zugriffstoken, dessen Identität angenommen wird, ist für diesen Benutzer bestimmt.
Der Benutzer in dieser Sitzung hat sich mit expliziten Anmeldeinformationen zum Erstellen des Zugriffstokens beim Netzwerk angemeldet.
Die angeforderte Stufe ist niedriger als „Identität wechseln“, z. B. „Anonym“ oder „Identifizieren“.
Wegen dieser Faktoren muss Benutzern das Benutzerrecht in der Regel nicht zugewiesen sein.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Standardmäßig ist diese Einstellung auf Domänencontrollern und eigenständigen Servern „Administratoren“, „Lokaler Dienst“, „Netzwerkdienst“ und „Dienst“.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Standardeinstellungen für eigenständige Server |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Lokaler Dienst Netzwerkdienst Dienst |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein Angreifer mit dem Recht Annehmen der Clientidentität nach Authentifizierung kann einen Dienst erstellen, einen Client zum Herstellen einer Verbindung mit dem Dienst veranlassen und anschließend die Identität des betreffenden Computers annehmen, um seine Zugriffsebene auf dem Gerät heraufzustufen.
Gegenmaßnahme
Stellen Sie auf Mitgliedsservern sicher, dass nur den Gruppen „Administratoren“ und „Dienst“ („Lokaler Dienst“, „Netzwerkdienst“ und „Dienst“) das Benutzerrecht Annehmen der Clientidentität nach Authentifizierung zugewiesen ist.
Mögliche Auswirkung
In den meisten Fällen hat diese Konfiguration keine Auswirkung. Wenn Sie optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen Sie das Benutzerrecht Annehmen der Clientidentität nach Authentifizierung weiteren Konten zuweisen, die von diesen Komponenten gefordert werden, beispielsweise IUSR_<ComputerName>, IIS_WPG, ASP.NET oder IWAM_<ComputerName>.