Verändern der Firmwareumgebungsvariablen

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Verändern der Firmwareumgebungsvariablen beschrieben.

Referenzen

Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer die Werte der Firmwareumgebungsvariablen ändern können. Firmwareumgebungsvariablen sind Einstellungen, die im permanenten RAM von nicht-x86-basierten Computern gespeichert werden. Die Auswirkung dieser Einstellung hängt vom Prozessor ab.

Auf x86-basierten Computern kann bei Zuweisen dieser Benutzerberechtigung nur eine Firmwareumgebungsvariable geändert werden, und zwar die Einstellung Letzte als funktionierend bekannte Konfiguration, die nur vom System geändert werden sollte.

Auf Itanium-basierten Computern werden die Startinformationen im permanenten RAM gespeichert. Benutzern muss dieses Benutzerrecht zugewiesen werden, damit sie bootcfg.exe ausführen können und die Einstellung Standardbetriebssystem unter Verwendung der Funktion Starten und Wiederherstellen in den Systemeigenschaften auf der Registerkarte Erweitert ändern können.

Die genaue Einstellung für Firmwareumgebungsvariablen wird durch die Startfirmware bestimmt. Der Speicherort dieser Werte wird ebenfalls durch die Firmware festgelegt. Auf einem UEFI-basierten System enthält z. B. NVRAM die Firmwareumgebungsvariablen, die die Systemstarteinstellungen festlegen.

Dieses Benutzerrecht ist auf allen Computern zum Installieren oder zum Durchführen eines Upgrades von Windows erforderlich.

Konstante: SeSystemEnvironmentPrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten

  • Administratoren

  • Nicht definiert

Bewährte Methoden

  • Stellen Sie sicher, dass nur der lokalen Administratorgruppe das Benutzerrecht Verändern der Firmwareumgebungsvariablen zugewiesen ist.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Auf Domänencontrollern und eigenständigen Servern lautet die standardmäßige Einstellung „Administratoren“.

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Administratoren

Standardeinstellungen für eigenständige Server

Administratoren

Effektive Standardeinstellungen für Domänencontroller

Administratoren

Effektive Standardeinstellungen für Mitgliedsserver

Administratoren

Effektive Standardeinstellungen für Clientcomputer

Administratoren

 

Richtlinienverwaltung

In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.

Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Diese Sicherheitseinstellung wirkt sich nicht darauf aus, welche Benutzer die Systemumgebungsvariablen und Benutzerumgebungsvariablen, die in den Systemeigenschaften auf der Registerkarte Erweitert angezeigt werden, ändern können.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen

  2. Websiterichtlinieneinstellungen

  3. Domänenrichtlinieneinstellungen

  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Jeder Benutzer mit dem Benutzerrecht Verändern der Firmwareumgebungsvariablen könnte die Einstellungen einer Hardwarekomponente konfigurieren, um Fehlfunktionen der Komponente zu verursachen, was eine Datenbeschädigung oder eine Denial-of-Service-Bedingung nach sich ziehen könnte.

Gegenmaßnahme

Stellen Sie sicher, dass nur der lokalen Administratorgruppe das Benutzerrecht Verändern der Firmwareumgebungsvariablen zugewiesen ist.

Mögliche Auswirkung

Keine. Die Standardkonfiguration ist das Einschränken des Benutzerrechts Verändern von Firmwareumgebungsvariablen auf die Mitglieder der lokalen Administratorgruppe.

Verwandte Themen

Zuweisen von Benutzerrechten