Restriktive Konfiguration
Restriktive Konfiguration
Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die Kompromittierung des Betriebssystems selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind beliebige Programme (dazu zählen auch Shellskripts und Stapelverarbeitungsdateien) ausführbar, obwohl die wenigsten Benutzer diese Möglichkeit überhaupt nutzen.
Da Benutzer typischerweise (nur) die mit dem Betriebssystem gelieferten sowie die von ihrem Administrator installierten Programme verwenden, ist es möglich, Benutzern die Rechte zum Ausführen von Dateien nur dort zu gewähren, wo das Betriebssystem und die installierten Programme abgelegt sind (und sie nicht schreiben können), und überall dort zu entziehen, wo sie selbst schreiben können.
- Schädliche Programme, die beispielsweise von einer infizierten Webseite heruntergeladen und vom Benutzer unbemerkt als sog. „Drive-by-Download“ im Cache des Browsers abgelegt werden, werden damit unschädlich gemacht.
Aktuelle Versionen von Microsoft Windows erlauben die Umsetzung dieser Restriktion mit den sog. „Softwarebeschränkungsrichtlinien“ alias „SAFER“.
Die Datenausführungsverhinderung aktueller Betriebssysteme wendet dieselbe Restriktion im virtuellen Speicher an.