G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP/Server 2003 System
Eine missbräuchliche Administration liegt vor, wenn vorsätzlich recht- oder unrechtmäßig erworbene Administratorberechtigungen und -rechte ausgenutzt werden, um dem System oder dessen Benutzer zu schaden.
Beispiel:
- Durch missbräuchliche Nutzung des Rechtes zur Besitzübernahme beliebiger Dateien kann sich ein Administrator unter Windows NT/2000/XP/Server 2003 Zugriff auf beliebige Dateien verschaffen, obwohl deren Eigentümer ihm diesen Zugriff explizit durch entsprechende Zugriffskontrollen verwehrt haben. Eine Zugriffsübernahme kann allerdings vom ursprünglichen Eigentümer der Dateien erkannt werden, da der Administrator sich hierbei zum Besitzer der betreffenden Dateien machen muss. Unter Windows NT/2000/XP/Server 2003 ist keine Funktion verfügbar, um diese Änderung wieder rückgängig zu machen. Dagegen bietet Windows Server 2003 die Möglichkeit, die Besitzübernahme zu verschleiern und den Besitz an einen beliebigen Benutzer zurückzugeben. Ein Administrator kann auch ohne Besitzübernahme unbemerkt auf Benutzerdateien zugreifen, in dem er sich z. B. in die Gruppe Sicherungs-Operatoren einträgt und ein Backup der Dateien durchführt, die er lesen will.
- Es gibt verschiedene Möglichkeiten, missbräuchlich Administratorrechte auszunutzen. Dazu gehören unzulässige Zugriffe auf Dateien, Veränderungen der Protokollierungseinstellungen und der Vorgaben für Benutzerkonten. Andere Möglichkeiten des Missbrauchs bestehen in der Fälschung von Protokollinformationen durch Verstellen der Systemzeit oder in der detaillierten Verfolgung der Tätigkeiten einzelner Benutzer.
- In Abhängigkeit von der zugrunde liegenden Hardware kann bei Zugangsmöglichkeit zur Konsole bzw. zum Systemgehäuse das System gebootet werden. Dies ermöglicht gegebenenfalls die Manipulation der Konfiguration, wenn hierbei von einem Fremdmedium gebootet oder ein anderes Betriebssystem ausgewählt werden kann.