Service-Berechtigungen
Service Permission
Wir vergessen häufig, dass Dienste die Verwaltung von dauerhaft laufenden Prozessen ermöglichen und ein wichtiger Bestandteil von Windows-Betriebssystemen sind. Als Systemadministratoren neigen wir dazu, sie als potenzielle Bedrohung zu übersehen. Sie können genutzt werden, um bösartige DLLs zu laden, Anwendungen ohne Zugriff auf ein Administrator-Konto auszuführen, "Privilege Escalation" zu erlangen und sogar persistente sicherheitsbedenkliche Prozesse oder Verbindungen aufrechtzuerhalten. Diese Bedrohungsvektoren bei Windows-Diensten entstehen oft durch Service-Berechtigungsfehler, die von Drittanbieter-Software und Fehlern bei der Installation durch uns verursacht werden.
Wichtig ist auch, zu verstehen, dass Service-Berechtigungen existieren und wir uns ihre Bedeutung ständig ins Gedächtnis rufen.
Denn auf Server-Betriebssystemen sollten wir kritische Netzwerkdienste wie beispielsweise DHCP und Active Directory Domain Services mit einem speziell erstellten Benutzerkonto installieren. Ein Teil des Installationsprozesses besteht darin, einem bestimmten Dienst die Berechtigungen und Privilegien eines bestimmten Benutzers zuzuweisen, der standardmäßig im Kontext des gerade angemeldeten Benutzers (bezieungsweise des Sicherheitstokens) festgelegt ist. Wir sollten sicherstellen, dass das Konto, das für die Installation des Dienstes verwendet wird, nicht dem Konto eines Mitarbeiters entspricht, der das Unternehmen verlassen hat.
Wenn wir zum Beispiel als Alice auf einem Server während der DHCP-Installation angemeldet sind, wird dieser Dienst so konfiguriert, dass er als Alice ausgeführt wird, außer, wir geben es anders an. Was resultiert daraus? Was wäre, wenn Alice die Organisation verlässt? Typische Geschäftspraxis ist, das Konto von Alice im Rahmen ihrer Kündigung zu deaktivieren. In diesem Fall würden die Dienste, die mit Alice Konto ausgeführt werden, zukünftig nicht mehr starten.
DHCP (Dynamic Host Configuration Protocol) ist für die Vergabe von IP-Adressen an Clients im Netzwerk verantwortlich. Wenn dieser Dienst auf einem Windows-DHCP-Server gestoppt wird, erhalten Clients, die eine IP-Adresse anfordern, keine. Nun haben wir eine amtliche Service-Fehlkonfiguration, die zu Ausfallzeiten und Produktivitätsverlust führen kann. Als Vorsichtsmaßnahme sollten wir immer ein eigenes Benutzerkonto für die Ausführung kritischer Netzwerkdienste erstellen. Wir bezeichnen sie als Dienst-Konten bzw. Service-Accounts.
Die Service-Berechtigungen und die Berechtigungen der Verzeichnisse, aus denen sie ausgeführt werden, müssen wir im Auge behalten. Es ist möglich, den Pfad einer ausführbaren Datei durch eine bösartige DLL oder ausführbare Datei zu ersetzen. Wir müssen sicherstellen, dass die Verzeichnisse, die die ausführbaren Dateien enthalten, nur für Benutzer mit den notwendigen Berechtigungen zugänglich sind. Als weitere Vorsichtsmaßnahme sollten wir regelmäßig die Berechtigungen von Diensten überprüfen, um sicherzustellen, dass sie korrekt konfiguriert sind.
Michael Gegick