Verändern einer Objektbezeichnung
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Verändern einer Objektbezeichnung beschrieben.
Referenzen
Diese Berechtigung bestimmt, welche Benutzerkonten die Integritätsbezeichnung von Objekten, z. B. Dateien, Registrierungsschlüsseln oder Prozessen im Besitz anderer Benutzer, ändern können. Von Prozessen, die unter einem Benutzerkonto ausgeführt werden, kann die Bezeichnung eines Objekts im Besitz dieses Benutzers auf eine niedrigere Ebene geändert werden, ohne dass diese Berechtigung erforderlich ist.
Die Integritätsbezeichnung wird von der Funktion Windows-Integritätssteuerung (Windows Integrity Controls, WIC) verwendet, die in Windows Server 2008 und Windows Vista eingeführt wurde. WIC verhindert, dass Prozesse mit niedrigerer Integrität Prozesse mit höherer Integrität ändern können, indem sie Objekten im System eine der sechs möglichen Bezeichnungen zuweisen. Die WIC-Integritätsebenen ähneln zwar den NTFS-Datei- und Ordnerberechtigungen, bei denen es sich um bedingte Steuerelemente für Objekte handelt, es sind jedoch obligatorische Steuerelemente, die vom Betriebssystem eingerichtet und erzwungen werden. In der folgende Liste werden die Integritätsebenen von der niedrigsten zur höchsten beschrieben:
Nicht vertrauenswürdig Standardzuweisung für Prozesse, die anonym angemeldet sind.
Niedrig Standardzuweisung für Prozesse, die mit dem Internet interagieren.
Mittel Standardzuweisung für Standardbenutzerkonten und alle Objekte, denen nicht explizit eine niedrigere oder höhere Integritätsebene zugewiesen ist.
Hoch Standardzuweisung für Administratorkonten und Prozesse, die eine Ausführung mit Administratorrechten anfordern.
System Standardzuweisung für den Windows-Kernel und die wichtigsten Dienste.
Installer Von Setup-Programmen zum Installieren von Software verwendet. Es ist wichtig, dass auf Computern nur vertrauenswürdige Software installiert ist, da Objekte, denen die Integritätsebene „Installer“ zugewiesen ist, alle anderen Objekte installieren, ändern und deinstallieren können.
Konstante: SeRelabelPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Erteilen Sie keiner Gruppe dieses Benutzerrecht.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung auf Domänencontrollern und eigenständigen Servern ist „Nicht definiert“.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jeder Benutzer mit dem Benutzerrecht Verändern einer Objektbezeichnung kann die Integritätsebene einer Datei oder eines Prozesses auf eine höhere oder niedrigere Ebene ändern, auf der die Datei oder der Prozess durch Prozesse mit niedrigerer Integrität gelöscht werden kann. Jeder dieser Zustände umgeht wirksam den Schutz, der von der Windows-Integritätssteuerung bereitgestellt wird, und macht Ihr System anfällig für Angriffe durch Schadsoftware.
Wenn Schadsoftware auf eine höhere Integritätsebene festgelegt ist, wie z. B. Trusted Installer oder System, besitzen Administratorkonten nicht die ausreichende Integritätsebene, um das Programm aus dem System zu löschen. In diesem Fall ist die Verwendung der Berechtigung Verändern einer Objektbezeichnung obligatorisch, damit das Objekt neu bezeichnet werden kann. Die Neubezeichnung muss jedoch unter Verwendung eines Prozesses erfolgen, der sich auf derselben oder einer höheren Integritätsebene befindet als das Objekt, das Sie neu bezeichnen möchten.
Gegenmaßnahme
Erteilen Sie keiner Gruppe diese Berechtigung. Erteilen Sie sie bei Bedarf für einen begrenzten Zeitraum einer vertrauenswürdigen Person, um auf eine bestimmte Anforderung des Unternehmens zu reagieren.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.