Konfigurations- und Sicherheitseinstellungen unter Windows XP

Transkript

1 Konfigurations- und Sicherheitseinstellungen unter Windows XP In diesem Dokument sind die für den Baustein Client unter Windows XP relevanten Konfigurations-und Sicherheitseinstellungen aufgeführt. Sie umfassen folgende Schwerpunkte: - Sichere Installation von Windows XP (siehe auch Maßnahme M 4.248) - Sicherheit beim Fernzugriff unter Windows XP (siehe auch Maßnahme M 2.327) - Basiseinstellungen für Windows XP GPOs (siehe auch Maßnahme M 4.245) - Konfiguration der Systemdienste unter Windows XP (siehe auch Maßnahme M 4.246) - Restriktive Berechtigungsvergabe unter Windows XP (siehe auch Maßnahme M 4.247) Sichere Installation von Windows XP (siehe M 4.248) Systemkomponenten Im Folgenden werden Komponenten aufgezählt, die für eine Basis-Installation von Windows XP verwendet werden sollten (Status: ). Je nach existierenden geschäftlichen Anforderungen können weitere Komponenten installiert werden, die in der nachfolgenden Tabelle als Optional markiert werden. Von der Installation der Windows-Komponenten, die mit markiert sind, ist aus Sicherheitssicht abzuraten. Komponenten Aktualisierung von Stammzertifikaten Faxdienste Indexdienst Internet Explorer Internet-Informationsdienste (IIS) Message Queuing MSN Explorer Status (// Optional) Optional Optional Optional Netzwerkdienste Einfache TCP/IP-Deinste Internet Gateway Gerätesuche und -Steuerungsclient Peer-to-Peer RIP-Überwachung UpnP-schnittstelle Outlook Express Optional Verwaltungs- und Überwachungsprogramme SNMP WMI SNMP provider Optional Optional Weitere Datei- und Druckdienste für das Netzwerk Druckdienste für Unix Windows Media Player Windows Messenger Zubehör und Dienstprogramme Optional Optional Optional

2 Sicherheit beim Fernzugriff unter Windows XP (siehe M 2.327) Basiseinstellungen für GPOs Die nachfolgenden Einstellungen gelten nur für den Einsatz von Remotedesktop und/oder Remoteunterstützung. Soll einer der beiden oder gar beide Fernsteuerungsmechanismen nicht verwendet werden, so ist dieser zu deaktivieren. Hierfür ist die Modifikation der unten angegebenen Richtlinieneinstellungen notwendig. Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Computer auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten. Richtlinie Status Einstellung Computerkonfiguration Windows-Einstellungen Administrative Vorlagen Terminaldienste Verschlüsselung und Sicherheit Verschlüsselungsstufe der Clientverbindung festlegen Computerkonfiguration Windows-Einstellungen Administrative Vorlagen Terminaldienste Verschlüsselung und Sicherheit RPC- Sicherheitsrichtlinie Sicherer Server (Sicherheit erforderlich) Computerkonfiguration Windows-Einstellungen Administrative Vorlagen Terminaldienste Verschlüsselung und Sicherheit Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern Computerkonfiguration Windows-Einstellungen Administrative Vorlagen Terminaldienste Client/Server-Datenumleitung * Computerkonfiguration Administrative Vorlagen System Remote Unterstützung Remoteunterstützung anbieten / Höchste Stufe Computerkonfiguration Administrative Vorlagen System Remote Unterstützung Angeforderte Remoteunterstützung Helfer dürfen den Computer remote steuern, Maximale Gültigkeitsdauer: 8 Stunden Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für auf, die für die Benutzung von Remotedesktop und Remoteunterstützung konfiguriert werden sollten. Richtlinie Status Einstellung konfiguration Windows-Einstellungen Administrative Vorlagen Terminaldienste Regeln für Remoteüberwachung von Terminaldienste- sitzungen festlegen konfiguration Windows-Einstellungen Administrative Vorlagen Terminaldienste Client Speichern von Kennwörtern nicht zulassen mit Erlaubnis des s

3 Basiseinstellungen für Windows XP GPOs (siehe M 4.245) Im Folgenden werden Vorgaben für die Sicherheitseinstellungen aufgezeigt, die als Ausgangsbasis für die Sicherheitseinstellungen innerhalb einer Gruppenrichtlinie dienen können. Die angegebenen Werte müssen auf jeden Fall an die lokalen Bedingungen angepasst werden. Im Rahmen des Gruppenrichtlinienkonzeptes sind die einzelnen Werte zudem auf unterschiedliche Gruppenrichtlinienobjekte zu verteilen und jeweils an den Verwendungszweck anzupassen. Dadurch können für einzelne Einträge auch jeweils unterschiedliche Werte zustande kommen. Kontorichtlinien Kennwortrichtlinien Richtlinie Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwortchronik erzwingen Kennwörtern für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Maximales Kennwortalter Minimale Kennwortlänge Minimales Kennwortalter Computereinstellung 6 Gespeicherte Kennwörter 90 Tage 8 Zeichen 1 Tag Kontorichtlinien Kontosperrungsrichtlinien Richtlinie Kontensperrungsschwelle Computereinstellung 3 Ungültige Anmeldeversuche Kontosperrdauer 0 (Hinweis: Konto ist gesperrt, bis Administrator Sperrung aufhebt) Zurücksetzungsdauer des Kontosperrungszählers 30 Minuten Kontorichtlinien Kerberos-Richtlinie Richtlinie anmeldeeinschränkungen erzwingen Max. Gültigkeitsdauer des tickets Max. Gültigkeitsdauer des Diensttickets Max. Toleranz für die Synchronisation des Computertakts Max. Zeitraum, in dem ein ticket erneuert werden kann Computereinstellung 8 Stunden 60 Minuten 5 Minuten 1 Tag Lokale Richtlinien Überwachungsrichtlinie Richtlinie Active Directory-Zugriff überwachen Anmeldeereignisse überwachen Anmeldeversuche überwachen Kontenverwaltung überwachen Objektzugriffsversuche überwachen Prozessverfolgung überwachen Rechteverwendung überwachen Richtlinienänderungen überwachen Systemereignisse überwachen Computereinstellung Erfolgreich, Fehlgeschlagen Erfolgreich, Fehlgeschlagen Erfolgreich, Fehlgeschlagen Fehlgeschlagen (kann bei Fehlersuche lokal aktiviert werden) Fehlgeschlagen Erfolgreich, Fehlgeschlagen Erfolgreich, Fehlgeschlagen Sicherheitsoptionen Richtlinie Computereinstellung

4 DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern Domänencontroller: Serveroperatoren das Einrichten von geplanten Tasks erlauben Domänencontroller: Signaturanforderungen für LDAP-Server Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) Domänenmitglied: Maximalalter von Computerkontenkennwörtern Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben Geräte: Entfernen ohne vorherige Anmeldung erlauben Geräte: Formatieren und Auswerfen von Wechselmedien zulassen Geräte: Verhalten bei der Installation von nichtsignierten Treibern Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete beschränken Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete beschränken Herunterfahren: Auslagerungsdatei des virtuellen Arbeitspeichers löschen Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich Interaktive Anmeldung: Letzten namen nicht anzeigen Interaktive Anmeldung: Nachricht für, die sich anmelden wollen 30 Tage und interaktive Warnen, aber Installation erlauben 14 Tage 0 Anmeldungen Dieses System ist auf autorisierte beschränkt. Der Versuch, nicht autorisierten Zugriff zu erlangen, wird strafrechtlich verfolgt. Interaktive Anmeldung: Nachrichtentitel für, die sich anmelden wollen SIE MACHEN SICH STRAFBAR, WENN SIE OHNE ERFORDERLICHE AUTORISIERUNG FORTFAHREN Interaktive Anmeldung: Smartcard erforderlich Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards Konten: Administrator umbenennen Konten: Administratorkontostatus Konten: Gastkontenstatus Konten: Gastkonto umbenennen Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Arbeitsstation sperren <Neuer Kontoname> <Neuer Kontoname>

5 Sicherheitsoptionen Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern 15 Minuten Netzwerksicherheit: LAN Manager-Authentifizierungsebene Nur NTLMv2-Antworten senden\lm & NTLM verweigern Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) Netzwerksicherheit: Signaturanforderungen für LDAP-Clients Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Netzwerkzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme ermöglichen Nachrichtenintegrität erfordern, Nachrichtenvertraulichkeit erfordern, NTLMv2-Sitzungssicherheit erfordern, 128-Bit-Verschlüsselung erfordern Nachrichtenintegrität erfordern, Nachrichtenvertraulichkeit erfordern, NTLMv2-Sitzungssicherheit erfordern, 128-Bit-Verschlüsselung erfordern Signatur aushandeln Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten Klassisch - lokale authentifizieren sich als sie selbst Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann Netzwerkzugriff: Speicherung von Anmeldeinformationen oder.net-passports für die Netzwerkauthentifikation nicht erlauben Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden Systemobjekte: Groß-/Kleinschreibung für Nicht-Windows-Subsysteme ignorieren Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der gruppe erstellt werden Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können Überwachung: Zugriff auf globale Systemobjekte prüfen Objektersteller

6 Sicherheitsoptionen Wiederherstellungskonsole: e administrative Anmeldungen zulassen Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen Ereignisprotokoll Richtlinie Anwendungsprotokoll aufbewahren für Computereinstellung Aufbewahrungsmethode des Anwendungsprotokolls Ereignisse bei Bedarf überschreiben Aufbewahrungsmethode des Sicherheitsprotokolls Ereignisse bei Bedarf überschreiben Hinweis: Im Hochsicherheitsbereich ist folgende Einstellung zu wählen: Ereignisse nicht überschreiben (Protokoll manuell aufräumen) Aufbewahrungsmethode des Systemprotokolls Ereignisse bei Bedarf überschreiben Lokalen Gastkontozugriff auf Anwendungsprotokoll verhindern Lokalen Gastkontozugriff auf Sicherheitsprotokoll verhindern Lokalen Gastkontozugriff auf Systemprotokoll verhindern Maximale Größe des Anwendungsprotokolls Maximale Größe des Sicherheitsprotokolls Maximale Größe des Systemprotokolls Sicherheitsprotokoll aufbewahren für Systemprotokoll aufbewahren für Kilobytes Kilobytes Kilobytes Konfiguration der Systemdienste unter Windows XP (siehe M 4.246) Im Folgenden werden Vorgaben für die Konfiguration der Systemdienste aufgezeigt, die als Ausgangsbasis für die Sicherheitseinstellungen dienen können. Es sei darauf hingewiesen, dass die Konfiguration einzelner Systemdienste immer von lokalen Gegebenheiten oder Anforderungen abhängt und daher immer im spezifischen Kontext zu sehen ist. Im Einzelfall muss sogar aufgrund lokaler Gegebenheiten auf weniger sichere Konfigurationen ausgewichen werden. Dann sollten aber zusätzliche Schutzmaßnahmen eingeleitet werden, die die fehlende Sicherheit in der Dienstkonfiguration ausgleichen. Beispiele hierfür sind der Einsatz einer zusätzlichen Firewall oder auch organisatorische Maßnahmen. Dienstbezeichnung Ablagemappe Anmeldedienst Anwendungsverwaltung Arbeitsstationsdienst ASP.NET-Statusdienst e Updates COM+ Eriegnissystem COM+ Systemanwendung Computerbrowser Designs DHCP-Client Starttyp

7 Dienst für Seriennummern der tragbaren Medien Dienstbezeichnung Distributed Transaction Coordinator DNS-Client Druckwarteschlange Eingabegerätezugang Ereignisprotokoll Fax Service Fehlerberichterstattungsdienst FTP-Publishing-Dienst Gatewaydienst auf Anwendungsebene Geschützter Speicher Hilfe and Support HTTP-SSL IIS-Verwaltungsdienst IMAPI-CD-Brenn-COM-Dienste Indexdienst Infrarotüberwachung Intelligenter Hintergrundübertragungsdienst IPSec-Dienste Kompatibilität für schnelle umschaltung Konfigurationsfreie drahtlose Verbindung Kryptografiedienste Leistungsdatenprotokolle und Warnungen MS Software Shadow Copy Provider Nachrichtendienst NetMeeting-Remotedesktop-Freigabe Netzwerk-DDE-Dienst Netzwerk-DDE-Serverdienst Netzwerkverbindungen NLA (Network Location Awareness) NT-LM-Sicherheitsdienst Plug & Play QoS-RSVP RAS-Verbindungsverwaltung Remoteprozeduraufruf (RPC) Remote-Registrierung Routing and RAS RPC-Locator Sekundäre Anmeldung Server Sicherheitskontenverwaltung Sitzungs-Manager für Remotedesktop Smartcard SSDP-Suchdienst Systemereignisbenachrichtigung Systemwiederherstellungsdienst Starttyp

8 Dienstbezeichnung Taskplaner TCP/IP-NetBIOS-Hilfsprogramm Telefonie Telnet Terminaldienste Treibererweiterungen für Windows-Verwaltungsinstrumentation Überwachung verteilter Verknüpfungen (Client) Universeller Plug & Play-Gerätehost Unterbrechungsfreie Stromversorgung Upload-Manager Verwaltung für automatische RAS-Verbindung Verwaltung logischer Datenträger Verwaltungsdienst für die Verwaltung logischer Datenträger Volumenschattenkopie Warndienst WebClient Wechselmedien Windows Audio Windows Bilderfassung (WIA) Windows Installer Windows-Firewall/Gemeinsame Nutzung der Internetverbindung Windows-Verwaltungsadministration Windows-Zeitgeber WMI-Leistungsadapter WWW-Publishing-Dienst Starttyp Restriktive Berechtigungsvergabe unter Windows XP (siehe M 4.247) Basiseinstellungen rechte/systemberechtigungen Die nachfolgenden Vorgaben zeigen Sicherheitseinstellungen auf, die als Ausgangsbasis für die Sicherheitseinstellungen in der Windows XP Umgebung eines Unternehmens bzw. einer Behörde dienen können. Diese sollten vor dem Einsatz gegebenenfalls angepasst werden. Lokale Richtlinien Zuweisen von rechten Richtlinie Als Dienst anmelden Ändern der Systemzeit Anheben der Zeitplanungspriorität Anmelden als Stapelverarbeitungsauftrag Anmeldung als Batchauftrag verweigern Anmeldung als Dienst verweigern Anmeldung über Terminaldienste verweigern Anmeldung über Terminaldienste zulassen Annehmen der Clientidentität nach Authentifizierung Computereinstellung Definiert, aber leer Definiert, aber leer

9 Lokale Richtlinien Zuweisen von rechten Anpassen von Speicherkontingenten für einen Prozess Auf diesen Computer vom Netzwerk aus zugreifen, Authentifizierte Auslassen der durchsuchenden Überprüfung Debuggen von Programmen Durchführen von Volumenwartungsaufgaben Einsetzen als Teil des Betriebssystems Entfernen des Computers von der Dockingstation Ermöglichen, dass Computer- und konten für Delegierungszwecke vertraut wird eines Tokens auf Prozessebene Erstellen einer Auslagerungsdatei Erstellen eines Profils der Systemleistung Erstellen eines Profils für einen Einzelprozess Erstellen eines Tokenobjekts Erstellen globaler Objekten Erstellen von dauerhaft freigegebenen Objekten Erzwingen des Herunterfahrens von einem Remotesystem aus Generieren von Sicherheitsüberwachungen Herunterfahren des Systems Hinzufügen von Arbeitsstationen zur Domäne Laden und Entfernen von Gerätetreibern Lokal anmelden Lokale Anmeldung verweigern Sichern von Dateien und Verzeichnissen Sperren von Seiten im Speicher Synchronisieren von Verzeichnisdienstdaten Übernehmen des Besitzes von Dateien und Objekten Verändern der Firmwareumgebungsvariablen Verwalten von Überwachungs- und Sicherheitsprotokollen Wiederherstellen von Dateien und Verzeichnissen Zugriff vom Netzwerk auf diesen Computer verweigern Jeder Definiert, aber leer, Definiert, aber leer Definiert, aber leer Definiert, aber leer Definiert, aber leer, Definiert, aber leer, Gäste Sicherungs-Operatoren Definiert aber leer Definiert, aber leer Zugriffsrechte für Systemverzeichnisse und -dateien In der nachfolgenden Tabelle werden folgende Methoden verwendet: - : Die Zugriffsrechte werden zusätzlich zu existierenden vererbt, sofern anwendbar. - : Die Zugriffsrechte werden ersetzt, sofern anwendbar. - Ignorieren: Die bestehenden Zugriffsrechte sollen nicht ersetzt werden. Verzeichnis/Datei /Gruppe Zugriffsrecht Methode %AllUserProfile%, Ausführen

10 %AllUserProfile%\Anwendungsdaten, Ausführen Schreiben (Diesen Ordner, Unterordner)

11 Verzeichnis/Datei /Gruppe Zugriffsrecht Methode %AllUserProfile%\Anwendungsdaten\ Microsoft, Ausführen %AllUserProfile%\Anwendungsdaten\ Microsoft\Crypto\DSS\MachineKeys Ordner auflisten, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen, Ordner erstellen, Attribute schreiben, Erweiterte Attribute schreiben, Berechtigungen lesen (Nur diesen Ordner) %AllUserProfile%\Anwendungsdaten\ Microsoft\Crypto\RSA\MachineKeys Ordner auflisten, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen, Ordner erstellen, Attribute schreiben, Erweiterte Attribute schreiebn, Berechtigungen lesen (Nur diesen Ordner) %AllUserProfile%\Anwendungsdaten\ Microsoft\Dr Watson, Ausführen Ordner durchsuchen, Dateien erstellen, Ordner erstellen %AllUserProfile%\Anwendungsdaten\ Microsoft\Dr Watson\drwtsn32.log Ändern %AllUserProfile%\Anwendungsdaten\ Microsoft\HTML Help %AllUserProfile%\Anwendungsdaten\ Microsoft\Media Index, Ausführen Dateien erstellen, Ordner erstellen, Attribute schreiben, Erweiterte Attribute schreiben, Berechtigungen lesen (Nur diesen Ordner) Write

12 Verzeichnis/Datei /Gruppe Zugriffsrecht Methode %AllUserProfile%\Dokumente, Ausführen Schreiben (Diesen Ordner, Unterordner) %AllUserProfile%\Dokumente\desktop.ini, Ausführen %AllUsersProfile%\DRM Ignorieren %ProgramFiles%, Ausführen %SystemDrive%, Ausführen %SystemDrive%\autoexec.bat %SystemDrive%\config.sys, Ausführen %SystemDrive%\boot.ini %SystemDrive%\Dokumente Einstellungen und, Ausführen %SystemDrive%\Dokumente Einstellungen\Administrator und %SystemDrive%\Dokumente Einstellungen\Default User und, Ausführen %SystemDrive%\io.sys, Ausführen %SystemDrive%\msdos.sys, Ausführen %SystemDrive%\My Download Files Read, Write, Execute %SystemDrive%\ntbootdd.sys

13 Verzeichnis/Datei /Gruppe Zugriffsrecht Methode %SystemDrive%\ntdetect.com %SystemDrive%\ntldr %SystemDrive%\System Information Volume Ignorieren %SystemDrive%\Temp Ordner durchsuchen, Dateien erstellen, Ordner erstellen (Diesen Ordner, Unterordner) %SystemRoot%, Ausführen %SystemRoot%\$NtServicePackUninst all$ %SystemRoot%\$NtUninstall* %SystemRoot%\CSC %SystemRoot%\debug, Ausführen %SystemRoot%\debug\UserMode Ordner durchsuchen, Ordner auflisten, Dateien erstellen (Nur diesen Ordner) Dateien erstellen, Ordner erstellen (Nur Dateien) %SystemRoot%\Debug\UserMode\user env.log Daten schreiben, Daten anhängen %SystemRoot%\Installer, Ausführen %SystemRoot%\Offline Web Pages Ignorieren %SystemRoot%\Prefetch (Nur diesen Ordner), Ausführen (Nur Dateien) (Nur Dateien) %SystemRoot%\regedit.exe

14 Verzeichnis/Datei /Gruppe Zugriffsrecht Methode %SystemRoot%\Registration (Diesen Ordner, Dateien) (Diesen Ordner, Dateien) Read (Diesen Ordner, Dateien) %SystemRoot%\Registration\CRMLog Ordner durchsuchen, Ordner auflisten, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen, Berechtigungen lesen (Nur diesen Ordner) Daten lesen, Attribute lesen, Erweiterte Attribute lesen, Write data, Daten anhängen, Attribute schreiben, Erweiterte Attribute schreiben, Delete, Berechtigungen lesen (Nur Dateien) %SystemRoot%\repair %SystemRoot%\security %SystemRoot%\system32, Ausführen %SystemRoot%\system32\appmgmt, Ausführen %SystemRoot%\system32\config %SystemRoot%\system32\dllcache %SystemRoot%\system32\Group Policy Authentifizierte, Ausführen %SystemRoot%\system32\ias %SystemRoot%\system32\MSDTC, Schreiben, Ausführen

15 Verzeichnis/Datei /Gruppe Zugriffsrecht Methode %SystemRoot%\system32\ arp.exe, at.exe, ciadv.msc, com\comexp.msc, compmgmt.msc, devmgmt.msc, dfrg.msc, diskmgmt.msc, eventvwr.msc, fsmgmt.msc, gpedit.msc, lusrmgr.msc, nbtstat.exe, netsh.exe, netstat.exe, nslookup.exe, Ntbackup.exe, ntmsmgr.msc, ntmsoprq.msc, perfmon.msc, rcp.exe, reg.exe, regedt32.exe, regini.exe, rexec.exe, route.exe, rsh.exe, RSoP.msc, secedit.exe, secpol.msc, services.msc, systeminfo.exe, tftp.exe, wmimgmt.msc %SystemRoot%\system32\NTMSData %SystemRoot%\system32\Setup, Ausführen %SystemRoot%\system32\spool\Printe rs Ordner durchsuchen, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen, Ordner erstellen (Diesen Ordner, Unterordner) %SystemRoot%\Tasks Ignorieren %SystemRoot%\Temp Ordner durchsuchen, Dateien erstellen, Ordner erstellen (Diesen Ordner, Unterordner) Zugriffsrechte Registrierung HKCR\ (Nur Unterschlüssel) \HKLM\SOFTWARE (Nur Unterschlüssel)

16 \HKLM\SOFTWARE\Microsoft\Crypto graphy\calais (Nur Unterschlüssel) LOKALER DIENST Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Löschen, Lesekontrolle \HKLM\SOFTWARE\Microsoft\MSDT C Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Lesekontrolle \HKLM\SOFTWARE\Microsoft\MSDT C\Security\XAKey Wert abfragen, Wert festlegen, Unterschlüssel erstellen, Unterschlüssel auflisten, Benachrichtigen, Lesekontrolle \HKLM\SOFTWARE\Microsoft\NetDD E (Nur Unterschlüssel) \HKLM\SOFTWARE\Microsoft\UPnP Device Host (Nur Unterschlüssel) LOKALER DIENST \HKLM\SOFTWARE\Microsoft\Windo ws NT\CurrentVersion\AsrCommands Backup Operators Query, Wert festlegen, Unterschlüssel erstellen, Enumerate (Nur Unterschlüssel) \HKLM\SOFTWARE\Microsoft\Windo ws NT\CurrentVersion\Perflib (Nur Unterschlüssel) INTERACTIVE Windows NT\CurrentVersion\SeCEdit \HKLM\SOFTWARE\Microsoft\Windo ws\currentversion\group Policy Authentisierte \HKLM\SOFTWARE\Microsoft\Windo ws\currentversion\installer \HKLM\SOFTWARE\Microsoft\Windo ws\currentversion\policies Authentisierte

17 \HKLM\SOFTWARE\Microsoft\Windo ws\currentversion\policies\ratings \HKLM\SOFTWARE\Microsoft\Windo ws\currentversion\telephony (Nur Unterschlüssel) LOKALER DIENST \HKLM\ (Nur Unterschlüssel) \HKLM\\clone Ignorieren \HKLM\\controlset0* (Nur Unterschlüssel) \HKLM\\CurrentControlSet\C ontrol\class (Nur Unterschlüssel) \HKLM\\CurrentControlSet\C ontrol\network LOKALER DIENST \HKLM\\CurrentControlSet\C ontrol\securepipeservers\winreg Backup Operators (Nur diesen Schlüssel) LOKALER DIENST \HKLM\\CurrentControlSet\C ontrol\wmi\security (Nur diesen Schlüssel) (Nur diesen Schlüssel) \HKLM\\CurrentControlSet\E num Ignorieren \HKLM\\CurrentControlSet\H ardware Profiles (Nur Unterschlüssel) \HKLM\\CurrentControlSet\S ervices\appmgmt\security \HKLM\\CurrentControlSet\S ervices\clipsrv\security \HKLM\\CurrentControlSet\S ervices\cryptsvc\security

18 \HKLM\\CurrentControlSet\S ervices\dnscache LOKALER DIENST \HKLM\\CurrentControlSet\S ervices\ersvc\security \HKLM\\CurrentControlSet\S ervices\eventlog\security \HKLM\\CurrentControlSet\S ervices\irenum\security \HKLM\\CurrentControlSet\S ervices\netbt LOKALER DIENST \HKLM\\CurrentControlSet\S ervices\netdde\security \HKLM\\CurrentControlSet\S ervices\netddedsdm\security \HKLM\\CurrentControlSet\S ervices\remoteaccess LOKALER DIENST \HKLM\\CurrentControlSet\S ervices\rpcss\security \HKLM\\CurrentControlSet\S ervices\samss\security \HKLM\\CurrentControlSet\S ervices\scarddrv\security \HKLM\\CurrentControlSet\S ervices\scardsvr\security \HKLM\\CurrentControlSet\S ervices\snmp\parameters\permittedma nagers \HKLM\\CurrentControlSet\S ervices\ SNMP\Parameters\ValidCommunities \HKLM\\CurrentControlSet\S ervices\stisvc\security \HKLM\\CurrentControlSet\S ervices\sysmonlog\log Queries (Nur Unterschlüssel) \HKLM\\CurrentControlSet\S ervices\tapisrv\security

19 \HKLM\\CurrentControlSet\S ervices\tcpip LOKALER DIENST \HKLM\\CurrentControlSet\S ervices\w32time\security \HKLM\\CurrentControlSet\S ervices\wmi\security HKU\.DEFAULT (Nur Unterschlüssel) HKU\.DEFAULT\Software\Microsoft\ NetDDE (Nur Unterschlüssel) HKU\.DEFAULT\Software\Microsoft\S ystemcertificates\root\protectedroots