Restriktive Konfiguration: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „=== Konfiguration === ; Restriktive Konfiguration Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die Kompromittierung des Betriebssystems selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind…“ |
|||
Zeile 1: | Zeile 1: | ||
=== Konfiguration === | === Restriktive Konfiguration === | ||
Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die [[Technische Kompromittierung|Kompromittierung]] des [[Betriebssystem]]s selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind beliebige Programme (dazu zählen auch [[Shellskript]]s und [[Stapelverarbeitungsdatei]]en) ausführbar, obwohl die wenigsten Benutzer diese Möglichkeit überhaupt nutzen. | Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die [[Technische Kompromittierung|Kompromittierung]] des [[Betriebssystem]]s selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind beliebige Programme (dazu zählen auch [[Shellskript]]s und [[Stapelverarbeitungsdatei]]en) ausführbar, obwohl die wenigsten Benutzer diese Möglichkeit überhaupt nutzen. | ||
Zeile 9: | Zeile 8: | ||
Die [[Datenausführungsverhinderung]] aktueller Betriebssysteme wendet dieselbe Restriktion im [[Virtueller Speicher|virtuellen Speicher]] an. | Die [[Datenausführungsverhinderung]] aktueller Betriebssysteme wendet dieselbe Restriktion im [[Virtueller Speicher|virtuellen Speicher]] an. | ||
[[Kategorie:Security-Bausteine]] |
Version vom 21. April 2024, 11:01 Uhr
Restriktive Konfiguration
Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die Kompromittierung des Betriebssystems selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind beliebige Programme (dazu zählen auch Shellskripts und Stapelverarbeitungsdateien) ausführbar, obwohl die wenigsten Benutzer diese Möglichkeit überhaupt nutzen.
Da Benutzer typischerweise (nur) die mit dem Betriebssystem gelieferten sowie die von ihrem Administrator installierten Programme verwenden, ist es möglich, Benutzern die Rechte zum Ausführen von Dateien nur dort zu gewähren, wo das Betriebssystem und die installierten Programme abgelegt sind (und sie nicht schreiben können), und überall dort zu entziehen, wo sie selbst schreiben können.
- Schädliche Programme, die beispielsweise von einer infizierten Webseite heruntergeladen und vom Benutzer unbemerkt als sog. „Drive-by-Download“ im Cache des Browsers abgelegt werden, werden damit unschädlich gemacht.
Aktuelle Versionen von Microsoft Windows erlauben die Umsetzung dieser Restriktion mit den sog. „Softwarebeschränkungsrichtlinien“ alias „SAFER“.
Die Datenausführungsverhinderung aktueller Betriebssysteme wendet dieselbe Restriktion im virtuellen Speicher an.