Benutzerrechte einschränken als effektiven Schutz für Windows
Der wirkungsvollste Schutz für Windows Computer ist immer noch ein sinnvolles und durchdachtes Rechtemanagement, das den Anwendern eines Systems wirklich nur die Rechte gewährt, die sie für die tägliche Arbeit auch benötigen.
Im Rahmen einer aktuellen Analyse des Sicherheitsunternehmens Avecto, die Microsoft im Jahr 2016 veröffentlichte, wurde diese zweifellos überzeugende Tatsache wieder einmal bestätigt. Laut der „2016 Microsoft-Vulnerability Study“ wurden von Microsoft im vergangenen Jahr ca. 530 Sicherheitslücken bekanntgegeben, davon wurden 36 Prozent mit „kritisch“ klassifiziert. Allerdings wären 94 Prozent dieser kritischen Sicherheitslücken laut Avecto ungefährlich gewesen, wenn der Schadcode nicht mit administrativen Rechten auf dem System ausgeführt worden wäre. Ein Missbrauch der kritischen Sicherheitslücken von Office 2016 und dem Internet Explorer hätte durch den Verzicht auf administrative Rechte sogar vollständig verhindert werden können.
Umso deutlicher wird: Ein Windows Rechner wird umso widerstandsfähiger, je weniger die alltägliche Arbeit mit lokalen Rechten eines Administrators erfolgt!
Ein systematisches Berechtigungsmanagement weist dem Anwender nur die absolut notwendigen Berechtigungen zu. Doch vielfach wird argumentiert, dass Anwender für die Durchführung ihrer Arbeit eben doch administrative Rechte benötigen und die Umsetzung eines granularen Rechtekonzeptes viel zu kompliziert oder schlichtweg nicht umsetzbar sei.
Diese Einstellung mag zuweilen zutreffend sein, aber durch die Vergabe von zeitlich befristeten administrativen Berechtigungen lässt sich das Sicherheitsrisiko für ein System deutlich minimieren. Mit der Hilfe von ask:us GARDEN kann in einem Unternehmensnetzwerk eine zeitlich befristete oder statische Vergabe von lokalen Administratoren für Windows Rechner zentral verwaltet und überwacht werden.
Ein Missbrauch von Sicherheitslücken ließe sich auch dadurch minimieren, dass Anwendungen, die zwingend höhere Rechte zur Ausführung benötigen, mit alternativen Anmeldeinformationen ausgeführt werden. Mit Unterstützung von ask:us ASAP können Anwendungen so konfiguriert werden, dass diese mit eigenständigen, administrativen Anmeldeinformationen, von einem lokalen Pfad, von einem Netzwerklaufwerk oder einem Webserver im Kontext von lokalen oder Domänen Konten starten. Der Anwender selbst benötigt keine lokalen administrativen Berechtigungen und muss weder Namen noch Kennwort eines lokalen Administratorkontos kennen.
Quellen: WindowsPro, Avecto, ask:us