Sicherheitsprinzipale

Betrifft

  • Windows10
  • Windows Server 2016

Dieses Referenzthema für den IT-Experten beschreibt Sicherheitsprinzipale in Bezug auf Windows-Konten und Sicherheitsgruppen zusätzlich zu Sicherheitstechnologien, die sich auf Sicherheitsprinzipale beziehen.

Was sind Sicherheitsprinzipale?

Sicherheitsprinzipale sind alle Entitäten, die vom Betriebssystem authentifiziert werden können, beispielsweise ein Benutzerkonto, ein Computerkonto oder ein Thread oder Prozess, der im Sicherheitskontext eines Benutzer-oder Computerkontos ausgeführt wird, oder die Sicherheitsgruppen für diese Konten. Sicherheitsprinzipale sind seit langem eine Grundlage für das Steuern des Zugriffs auf sicherungsfähige Ressourcen auf Windows-Computern. Jeder Sicherheitsprinzipal wird im Betriebssystem durch eine eindeutige Sicherheits-ID (Security Identifier, SID) dargestellt.

Der folgende Inhalt bezieht sich auf die Windows-Versionen, die in der Liste " gilt für " am Anfang dieses Themas angegeben sind.

Funktionsweise von Sicherheitsprinzipalen

Sicherheitsprinzipale, die in einer ActiveDirectory-Domäne erstellt werden, sind Active Directory-Objekte, die zum Verwalten des Zugriffs auf Domänenressourcen verwendet werden können. Jedem Sicherheitsprinzipal wird ein eindeutiger Bezeichner zugewiesen, den er während seiner gesamten Lebensdauer behält. Lokale Benutzerkonten und Sicherheitsgruppen werden auf einem lokalen Computer erstellt, und Sie können verwendet werden, um den Zugriff auf Ressourcen auf diesem Computer zu verwalten. Lokale Benutzerkonten und Sicherheitsgruppen werden vom Sam (Security Accounts Manager) auf dem lokalen Computer verwaltet.

Autorisierungs-und Zugriffssteuerungskomponenten

Das folgende Diagramm veranschaulicht den Windowsauthorization und den Zugriffssteuerungsprozess. In diesem Diagramm versucht der Betreff (ein von einem Benutzer initiierter Prozess), auf ein Objekt zuzugreifen, beispielsweise einen freigegebenen Ordner. Die Informationen im Zugriffstoken des Benutzers werden mit den Zugriffssteuerungseinträgen (ACEs) in der Sicherheitsbeschreibung des Objekts verglichen, und die Zugriffsentscheidung wird getroffen. Die SIDs von Sicherheitsprinzipalen werden im Zugriffstoken des Benutzers und in den ACEs in der Sicherheitsbeschreibung des Objekts verwendet.

Autorisierungs-und Zugriffssteuerungsprozess

Autorisierungs-und Zugriffssteuerungsprozess

Sicherheitsprinzipale stehen in engem Zusammenhang mit den folgenden Komponenten und Technologien:

Sicherheitsbezeichner

Sicherheits-IDs (SIDs) stellen einen grundlegenden Baustein des Windows-Sicherheitsmodells dar. Sie arbeiten mit bestimmten Komponenten der Autorisierungs-und Zugriffssteuerungstechnologien in der Sicherheitsinfrastruktur der Windows Server-Betriebssysteme. Dies trägt zum Schutz des Zugriffs auf Netzwerkressourcen bei und bietet eine sicherere Computerumgebung.

Eine SID ist ein Wert mit variabler Länge, der verwendet wird, um einen Sicherheitsprinzipal eindeutig zu identifizieren, der alle Entitäten darstellt, die vom System authentifiziert werden können. Zu diesen Entitäten gehören ein Benutzerkonto, ein Computerkonto oder ein Thread oder Prozess, der im Sicherheitskontext eines Benutzer-oder Computerkontos ausgeführt wird. Jedem Sicherheitsprinzipal wird beim Erstellen automatisch eine SID zugewiesen. Die SID wird in einer Sicherheitsdatenbank gespeichert. Wenn eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wird, kann Sie niemals dazu verwendet werden, einen anderen Benutzer oder eine andere Gruppe zu identifizieren.

Jedes Mal, wenn sich ein Benutzer anmeldet, erstellt das System ein Zugriffstoken für diesen Benutzer. Das Zugriffstoken enthält die SID des Benutzers, die Benutzerrechte und die SIDs für Gruppen, zu denen der Benutzer gehört. Dieses Token stellt den Sicherheitskontext für alle Aktionen bereit, die der Benutzer auf diesem Computer ausführt.

Zusätzlich zu den eindeutig erstellten domänenspezifischen SIDs, die bestimmten Benutzern und Gruppen zugewiesen sind, gibt es bekannte SIDs, die generische Gruppen und generische Benutzer identifizieren. Beispielsweise identifizieren die SIDs jeder und die Welt Gruppen, die alle Benutzer umfassen. Bekannte SIDs weisen Werte auf, die für alle Betriebssysteme konstant bleiben.

Zugriffstoken

Ein Zugriffstoken ist ein geschütztes Objekt, das Informationen über die Identität und die Benutzerrechte enthält, die einem Benutzerkonto zugeordnet sind.

Wenn sich ein Benutzer interaktiv anmeldet oder versucht, eine Netzwerkverbindung mit einem Computer unter Windows herzustellen, werden die Anmeldeinformationen des Benutzers vom Anmeldeprozess authentifiziert. Wenn die Authentifizierung erfolgreich ist, gibt der Prozess eine sid für den Benutzer und eine Liste der SIDs für die Sicherheitsgruppen des Benutzers zurück. Die Local Security Authority (LSA) auf dem Computer verwendet diese Informationen, um ein Zugriffstoken zu erstellen (in diesem Fall das primäre Zugriffstoken). Dazu gehören die vom Anmeldevorgang zurückgegebenen SIDs sowie eine Liste der Benutzerrechte, die dem Benutzer und den Sicherheitsgruppen des Benutzers durch die lokale Sicherheitsrichtlinie zugewiesen werden.

Nachdem die LSA das primäre Zugriffstoken erstellt hat, wird eine Kopie des Zugriffstokens an alle Threads und Prozesse angefügt, die im Namen des Benutzers ausgeführt werden. Wenn ein Thread oder Prozess mit einem sicherungsfähigen Objekt interagiert oder versucht, eine Systemaufgabe auszuführen, die Benutzerrechte erfordert, überprüft das Betriebssystem das Zugriffstoken, das dem Thread zugeordnet ist, um die Autorisierungsstufe zu ermitteln.

Es gibt zwei Arten von Zugriffstoken: Primär-und Identitätswechsel. Jeder Prozess verfügt über ein primäres Token, das den Sicherheitskontext des Benutzerkontos beschreibt, das dem Prozess zugeordnet ist. Ein primäres Zugriffstoken wird normalerweise einem Prozess zugewiesen, um die Standard Sicherheitsinformationen für diesen Prozess darzustellen. Identitätswechseltoken werden dagegen in der Regel für Client-und Server Szenarien verwendet. Identitätswechseltoken ermöglichen die Ausführung eines Threads in einem Sicherheitskontext, der vom Sicherheitskontext des Prozesses abweicht, der den Thread besitzt.

Sicherheitsbeschreibungen und Zugriffssteuerungslisten

Eine Sicherheitsbeschreibung ist eine Datenstruktur, die jedem sicherungsfähigen Objekt zugeordnet ist. Alle Objekte in Active Directory und alle sicherungsfähigen Objekte auf einem lokalen Computer oder im Netzwerk verfügen über Sicherheitsbeschreibungen, die Ihnen helfen, den Zugriff auf die Objekte zu kontrollieren. Sicherheitsbeschreibungen umfassen Informationen darüber, wer Besitzer eines Objekts ist, wer darauf zugreifen kann und auf welche Weise und welche Zugriffsarten überwacht werden. Sicherheitsbeschreibungen enthalten die Zugriffssteuerungsliste (ACL) eines Objekts, die alle Sicherheitsberechtigungen enthält, die für dieses Objekt gelten. Die Sicherheitsbeschreibung eines Objekts kann zwei Arten von ACLs enthalten:

  • Eine freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL), die die Benutzer und Gruppen identifiziert, denen der Zugriff gewährt oder verweigert wird

  • Eine SACL (System Access Control List), die steuert, wie Access überwacht wird

Sie können dieses Zugriffssteuerungsmodell verwenden, um Objekte und Attribute wie Dateien und Ordner, Active Directory-Objekte, Registrierungsschlüssel, Drucker, Geräte, Ports, Dienste, Prozesse und Threads einzeln zu sichern. Aufgrund dieses einzelnen Steuerelements können Sie die Sicherheit von Objekten anpassen, um die Anforderungen Ihrer Organisation zu erfüllen, die Autorität über Objekte oder Attribute zu delegieren und benutzerdefinierte Objekte oder Attribute zu erstellen, für die ein eindeutiger Sicherheitsschutz erforderlich ist.

Berechtigungen

Berechtigungen ermöglichen dem Besitzer jedes sicherungsfähigen Objekts, beispielsweise einer Datei, eines ActiveDirectory-Objekts oder eines Registrierungsschlüssels, zu steuern, wer einen Vorgang oder eine Gruppe von Vorgängen für die Objekt-oder Objekteigenschaft ausführen kann. Berechtigungen werden in der Sicherheitsarchitektur als Zugriffssteuerungseinträge (ACEs) ausgedrückt. Da der Zugriff auf ein Objekt im Ermessen des Besitzers des Objekts liegt, wird der Typ der in Windows verwendeten Zugriffssteuerung als diskretionäre Zugriffssteuerung bezeichnet.

Berechtigungen unterscheiden sich von den Benutzerrechten darin, dass Berechtigungen an Objekte angefügt sind und Benutzerrechte für Benutzerkonten gelten. Administratoren können Benutzerrechte für Gruppen oder Benutzer zuweisen. Diese Rechte autorisieren Benutzern, bestimmte Aktionen auszuführen, wie beispielsweise die interaktive Anmeldung bei einem System oder das Sichern von Dateien und Verzeichnissen.

Auf Computern können Administratoren durch Benutzerrechte steuern, wer über die Berechtigung zum Ausführen von Vorgängen verfügt, die sich auf einen ganzen Computer und nicht auf ein bestimmtes Objekt auswirken. Administratoren weisen einzelnen Benutzern oder Gruppen Benutzerrechte als Teil der Sicherheitseinstellungen für den Computer zu. Obwohl Benutzerrechte zentral über GroupPolicy verwaltet werden können, werden Sie lokal angewendet. Benutzer können (und in der Regel) unterschiedliche Benutzerrechte auf unterschiedlichen Computern besitzen.

Informationen dazu, welche Benutzerrechte verfügbar sind und wie Sie implementiert werden können, finden Sie unter Zuweisen von Benutzerrechten.

Sicherheitskontext in der Authentifizierung

Ein Benutzerkonto ermöglicht es einem Benutzer, sich bei Computern, Netzwerken und Domänen mit einer Identität anzumelden, die vom Computer, dem Netzwerk oder der Domäne authentifiziert werden kann.

In Windows ist jeder Benutzer, jeder Dienst, jede Gruppe oder jeder Computer, der eine Aktion initiieren kann, ein Sicherheitsprinzipal. Sicherheitsprinzipale verfügen über Konten, die lokal auf einem Computer oder Domänen basiert sein können. So können beispielsweise Domänen verbundene Windows-Clientcomputer an einer Netzwerkdomäne teilnehmen, indem Sie mit einem Domänencontroller kommunizieren, auch wenn kein Benutzer angemeldet ist.

Um die Kommunikation zu initiieren, muss der Computer über ein aktives Konto in der Domäne verfügen. Bevor die Kommunikation vom Computer akzeptiert wird, authentifiziert die lokale Sicherheitsautorität auf dem Domänencontroller die Identität des Computers und definiert dann den Sicherheitskontext des Computers genauso wie für den Sicherheitsprinzipal eines Benutzers.

Dieser Sicherheitskontext definiert die Identität und die Funktionen eines Benutzers oder Diensts auf einem bestimmten Computer oder eines Benutzers, Diensts, einer Gruppe oder eines Computers in einem Netzwerk. So werden beispielsweise die Ressourcen (wie eine Dateifreigabe oder ein Drucker), auf die zugegriffen werden kann, und die Aktionen (wie lesen, schreiben oder ändern) definiert, die von einem Benutzer, Dienst oder Computer für diese Ressource ausgeführt werden können.

Der Sicherheitskontext eines Benutzers oder Computers kann von einem Computer zu einem anderen variieren, beispielsweise wenn sich ein Benutzer bei einem Server oder einer anderen Workstation als der primären Workstation des Benutzers authentifiziert. Sie kann auch von einer Sitzung zu einer anderen variieren, beispielsweise, wenn ein Administrator die Rechte und Berechtigungen des Benutzers ändert. Darüber hinaus ist der Sicherheitskontext in der Regel anders, wenn ein Benutzer oder Computer auf eigenständiger Basis, in einer gemischten Netzwerkdomäne oder als Teil einer Active Directory-Domäne betrieben wird.

Konten und Sicherheitsgruppen

Konten und Sicherheitsgruppen, die in einer ActiveDirectory-Domäne erstellt wurden, werden in der ActiveDirectory-Datenbank gespeichert und mithilfe von ActiveDirectory-Tools verwaltet. Diese Sicherheitsprinzipale sind Verzeichnisobjekte und können verwendet werden, um den Zugriff auf Domänenressourcen zu verwalten.

Lokale Benutzerkonten und Sicherheitsgruppen werden auf einem lokalen Computer erstellt, und Sie können verwendet werden, um den Zugriff auf Ressourcen auf diesem Computer zu verwalten. Lokale Benutzerkonten und Sicherheitsgruppen werden auf dem lokalen Computer in der Sicherheitskontenverwaltung (Security Accounts Manager, Sam) gespeichert und verwaltet.

Benutzerkonten

Ein Benutzerkonto identifiziert eindeutig eine Person, die ein Computersystem verwendet. Das Konto signalisiert dem System, die entsprechende Autorisierung durchzusetzen, damit der Benutzer Zugriff auf Ressourcen zulässt oder ablehnt. Benutzerkonten können in Active Directory und auf lokalen Computern erstellt werden, und Administratoren verwenden Sie für folgende Zwecke:

  • Die Identität eines Benutzers darstellen, identifizieren und authentifizieren. Ein Benutzerkonto ermöglicht einem Benutzer die Anmeldung bei Computern, Netzwerken und Domänen mit einem eindeutigen Bezeichner, der durch den Computer, das Netzwerk oder die Domäne authentifiziert werden kann.

  • Autorisieren (gewähren oder verweigern) des Zugriffs auf Ressourcen. Nachdem ein Benutzer authentifiziert wurde, ist der Benutzer autorisierter Zugriff auf Ressourcen basierend auf den Berechtigungen, die diesem Benutzer für die Ressource zugewiesen sind.

  • Überprüfen Sie die Aktionen, die für ein Benutzerkonto durchgeführt werden.

Windows und die Windows Server-Betriebssysteme verfügen über integrierte Benutzerkonten, oder Sie können Benutzerkonten erstellen, um die Anforderungen Ihrer Organisation zu erfüllen.

Sicherheitsgruppen

Eine Sicherheitsgruppe ist eine Sammlung von Benutzerkonten, Computerkonten und anderen Kontengruppen, die aus Sicherheitsgründen als einzelne Einheit verwaltet werden können. In Windowsoperating-Systemen gibt es mehrere integrierte Sicherheitsgruppen, die mit den entsprechenden Rechten und Berechtigungen für die Ausführung bestimmter Aufgaben vorkonfiguriert sind. Darüber hinaus können Sie (und in der Regel auch) eine Sicherheitsgruppe für jede eindeutige Kombination von Sicherheitsanforderungen erstellen, die für mehrere Benutzer in Ihrer Organisation gilt.

Gruppen können auf einem bestimmten Computer ActiveDirectory-basiert oder lokal sein:

  • Active Directory-Sicherheitsgruppen werden verwendet, um Rechte und Berechtigungen für Domänenressourcen zu verwalten.

  • Lokale Gruppen sind in der SAM-Datenbank auf lokalen Computern (auf allen Windows-basierten Computern) mit Ausnahme von Domänencontrollern vorhanden. Sie verwenden lokale Gruppen, um Rechte und Berechtigungen nur für Ressourcen auf dem lokalen Computer zu verwalten.

Mithilfe von Sicherheitsgruppen, um die Zugriffssteuerung zu verwalten, haben Sie folgende Möglichkeiten:

  • Vereinfachung der Verwaltung Sie können einen allgemeinen Satz von Rechten, einen allgemeinen Satz von Berechtigungen oder beides für viele Konten gleichzeitig zuweisen, anstatt Sie jedem Konto einzeln zuzuweisen. Wenn Benutzeraufträge übertragen oder die Organisation verließen, sind Berechtigungen nicht an Ihre Benutzerkonten gebunden, wodurch die erneute Zuweisung oder Entfernung von Berechtigungen vereinfacht wird.

  • Implementieren eines rollenbasierten Zugriffssteuerungsmodells Sie können dieses Modell verwenden, um Berechtigungen zu erteilen, indem Sie Gruppen mit unterschiedlichen Bereichen für geeignete Zwecke verwenden. Zu den in Windows verfügbaren Bereichen gehören lokale, globale, lokale und universelle Domänen.

  • Minimieren Sie die Größe von Access Control Lists (ACLs) und beschleunigen Sie die Sicherheitsüberprüfung. Eine Sicherheitsgruppe hat eine eigene sid; Daher kann die Gruppen-SID verwendet werden, um Berechtigungen für eine Ressource festzulegen. In einer Umgebung mit mehr als ein paar tausend Benutzern, wenn die SIDs einzelner Benutzerkonten verwendet werden, um den Zugriff auf eine Ressource anzugeben, kann die ACL dieser Ressource unüberschaubar groß werden, und die Zeit, die erforderlich ist, damit das System die Berechtigungen für die Ressource c überprüft ein unakzeptabler werden.

Beschreibungen und Einstellungsinformationen zu den Domänensicherheitsgruppen, die in Active Directory definiert sind, finden Sie unter Active Directory-Sicherheitsgruppen.

Beschreibungen und Einstellungsinformationen zur Gruppe "besondere Identitäten" finden Sie unter besondere Identitäten.

Weitere Informationen: