Laden und Entfernen von Gerätetreibern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Laden und Entfernen von Gerätetreibern beschrieben.
Referenz
Mit dieser Richtlinieneinstellung wird festgelegt, welche Benutzer Gerätetreiber laden und entfernen können. Wenn in der Datei „driver.cab“ auf dem Gerät bereits ein signierter Treiber für die neue Hardware vorhanden ist, ist diese Benutzerberechtigung nicht erforderlich. Gerätetreiber werden als privilegierter Code ausgeführt.
Windows unterstützt die Plug-and-Play-Spezifikationen, die definieren, wie ein Computer neu hinzugefügte Hardware erkennen und konfigurieren kann, und den Gerätetreiber automatisch installieren. Vor Plug-and-Play mussten Benutzer Geräte manuell konfigurieren, bevor sie dem Gerät hinzugefügt wurden. Mit dem Plug-and-Play-Modell können Benutzer die neue Hardware einfach hinzufügen. Windows sucht dann das passende Gerätetreiberpaket und konfiguriert es automatisch so, dass die neue Hardware ohne Beeinträchtigung der anderen Geräte funktioniert.
Da Gerätetreibersoftware als Teil des Betriebssystems ausgeführt wird und uneingeschränkten Zugriff auf den gesamten Computer hat, ist es außerordentlich wichtig, dass nur bekannte und autorisierte Gerätetreiber zugelassen werden.
Konstante: SeLoadDriverPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Standardwerte
Nicht definiert
Bewährte Methoden
- Weisen Sie dieses Benutzerrecht wegen des möglichen Sicherheitsrisikos keinen Benutzern, Gruppen oder Prozessen zu, die keine Kontrolle über das System erlangen sollen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung ist „Administratoren und Druck-Operatoren“ bei Domänencontrollern und „Administratoren“ bei eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Druck-Operatoren |
Standardeinstellungen für eigenständige Server |
Administratoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Druck-Operatoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Gerätetreiber werden als privilegierter Code ausgeführt. Ein Benutzer mit dem Benutzerrecht Laden und Entfernen von Gerätetreibern könnte unbeabsichtigt Schadsoftware installieren, die sich als Gerätetreiber tarnt. Administratoren sollten Vorsicht walten lassen und nur Treiber mit geprüften digitalen Signaturen installieren.
Hinweis
Um einen neuen Treiber für einen lokalen Drucker zu installieren oder um einen lokalen Drucker zu verwalten und Standardwerte für Optionen wie Duplexdruck zu konfigurieren, müssen Sie über dieses Benutzerrecht verfügen oder Mitglied der lokalen Administratorengruppe sein.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Laden und Entfernen von Gerätetreibern ausschließlich Administratoren auf Mitgliedsservern zu. Weisen Sie dieses Benutzerrecht bei Domänencontrollern ausschließlich Domänenadministratoren zu.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Laden und Entfernen von Gerätetreibern aus der Gruppe der Druck-Operatoren oder anderen Konten entfernen, schränken Sie möglicherweise die Fähigkeiten von Benutzern ein, die in Ihrer Umgebung für bestimmte Administrationsaufgaben zuständig sind. Sie sollten sicherstellen, dass die zugewiesenen Aufgaben nicht beeinträchtigt werden.