Objektbesitzer

In Windows NT (NT, 2000, XP, 2003 Server, Vista…kurz NT) ist der Ersteller eines Objektes, z.B. einer Datei, eines Ordners oder eines Schlüssels in der Registry, auch dessen Besitzer.

Wenn also Administrator „Bob“ eine Datei erstellt, besitzt er diese Datei. Möchte „Bob“ dann als eingeschränkter Nutzer arbeiten, trägt er sich aus der Administratorengruppe aus. Jedoch sind alle Dateien, Verzeichnisse, Registry Schlüssel uswusf. die er einst erstellte nach, wie vor in seinem Besitz. Bob besitzt zwar jetzt keine Berechtigung mehr, z.B. den Ordner „C:\ Programme\ SuperProgramm“ zu löschen, aber er ist Besitzer des Ordners und hat somit das Recht, die „Sicherheit“ von „C:\ Programme\ SuperProgramm“ zu verändern. So kann er (oder ein in seinem Namen handelndes Programm) sich mit Vollzugriff in die Sicherheitsoptionen eintragen und den Ordner dann löschen, bzw. das bereits ‚AutoStart’ende Programm „C:\ Programme\ SuperProgramm\ MussManStarten.exe“ durch „C:\ Windows\ Temp\ Virus.exe“ erstezen. 😯

Zum Glück gibt es in Windows XP Professional den Gruppenrichtlinien-Editor (gpedit.msc). Mit dem kann man unter „Richtlinien für Lokaler Computer\ Computerkonfiguration\ Windows-Einstellungen\ Sicherheitseinstellungen\ Lokale Richtlinien\ Sicherheitsoptionen“ in der Option „Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden„, „Administratorengruppe“ auswählen. Das bewirkt, dass wenn ein Administrator ein Objekt erstellt, dieses Objekt dann der Gruppe „Administratoren“ und nicht dem Benutzer gehört. Wird der Administrator zum eingeschränkten Benutzer degradiert, kann er die Sicherheitsoptionen erstellter Objekte nicht mehr verändern und Vollzugriff darauf erlangen. 🙂

Da SuRun ja ständig die Gruppen wechselt, sollten auch SuRun Nutzer (bis heute) gpedit.msc nutzen und diese Option setzen.

Blöd, wirklich blöd ist nur, dass Windows XP Home keinen Editor für die Gruppenrichtlinien mitbringt. Dort sind normaler Weise alle erstellten Objekte im Besitz des Erstellers und so latente Sicherheitsrisiken nicht (einfach) abstellbar. ❗

Im Gruppenrichtlinien-Editor von Windows 2000 konnte ich die Objektbesitzer Option nicht finden. 😯

Heute habe ich in SuRuns Einstellungen fünf Optionen dazugebastelt. Eine davon geht das Objektbesitzer-Problem an und ermöglicht es, auch ohne gpedit.msc, den „Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden“ zu setzen. 🙂

Einen Kommentar schreiben

Time limit is exhausted. Please reload the CAPTCHA.