Lokale Administratorrechte

Was sind lokale Administratorrechte?

Lokale Administratorrechte sind Berechtigungen, die einem Benutzer vollständige administrative Kontrolle über einen Windows- oder macOS-Endpunkt geben. Ein Benutzer mit lokalen Administratorrechten kann Software installieren oder entfernen, Systemkonfigurationen und Registrierungseinstellungen ändern, lokale Konten erstellen oder löschen, Sicherheitswerkzeuge deaktivieren und auf geschützte Dateien zugreifen.

Im Gegensatz zu domänenweiten Berechtigungen gelten lokale Administratorrechte nur für ein bestimmtes Gerät. Wenn ein Angreifer jedoch ein Konto mit lokalen Administratorrechten kompromittiert, kann er bösartigen Code mit Systemberechtigungen ausführen, Anmeldeinformationen extrahieren und lateral im Netzwerk pivotieren.

Wie gebe ich einem lokalen Benutzer Administratorrechte?

In Windows-Umgebungen können Administratoren lokale Administratorrechte gewähren, indem sie ein Benutzerkonto zur lokalen Gruppe der Administratoren auf einem Computer hinzufügen. Dies kann über die Computerverwaltung, PowerShell-Befehle, Gruppenrichtlinien oder Tools zur Verwaltung von Endpunkten erfolgen.

Während die Gewährung von lokalen Administratorrechten kurzfristige betriebliche Bedürfnisse lösen kann, führt dies in breiter oder permanenter Form zu langfristigen Sicherheitsrisiken. Im Laufe der Zeit sammeln sich oft übermäßige lokale Administratorrechte an, was zu versteckten Risiken auf Endpunkten führt.

Warum lokale Administratorrechte entfernen?

Das Entfernen unnötiger lokaler Administratorrechte ist eine der effektivsten Möglichkeiten, das Risiko von Endpunkten zu verringern.

Konten mit lokalen Administratorrechten können bösartigen Code mit erhöhten Rechten ausführen, Sicherheitskontrollen für Endpunkte deaktivieren, nicht autorisierte Software installieren, lokal gespeicherte Anmeldeinformationen abrufen und die Bereitstellung von Ransomware erleichtern.

Viele moderne Angriffe basieren auf Techniken zur Eskalation von Rechten. Wenn Benutzer ohne lokale Administratorrechte arbeiten, haben Angreifer weniger Möglichkeiten, die Kontrolle auf Systemebene zu erlangen.

Enforcing least privilege at the endpoint level reduces the blast radius of compromised accounts and helps prevent lateral movement.

Ergebnisse der Entfernung von lokalen Administratorrechten?

Die Entfernung von lokalen Administratorrechten verbessert die Sicherheit erheblich, kann jedoch häufig operationale Abhängigkeiten von administrativen Rechten aufdecken, die sich im Laufe der Zeit angesammelt haben.

Wenn Benutzer die Mitgliedschaft in der lokalen AdministratorenGruppe verlieren, können viele alltägliche Aufgaben, die zuvor stillschweigend funktionierten, plötzlich eine Erhöhung der Berechtigungen erfordern oder vollständig fehlschlagen. Dies führt oft zu einem Anstieg der Helpdesk-Tickets und zu Frustration bei Benutzern, die unwissentlich auf administrative Zugriffsrechte angewiesen waren.

Häufige Beispiele sind:

• Installation oder Aktualisierung von Desktop-Anwendungen
• Installation von Druckertreibern oder anderen Gerätetreibern
• Zugriff auf Device Manager zur Fehlersuche bei Hardware
• Ausführen von Entwicklertools, die administrative Berechtigungen erfordern
• Installation von Browser-Plugins oder -Erweiterungen, die Systemkomponenten ändern
• Aktualisierung von Software, die in geschützte Systemverzeichnisse schreibt
• Ausführen von Skripten oder Dienstprogrammen, die Eingabeaufforderungen für die Benutzerkontensteuerung (UAC) auslösen
• Installation von VPN-Clients oder Endpunkt-Utilities
• Ändern der Netzwerkkonfiguration oder von Systemdiensten
• Ausführen von Legacy-Anwendungen, die Schreibzugriff auf geschützte Bereiche der Registrierung oder des Dateisystems erwarten

Ohne eine Strategie zur kontrollierten Erhöhung stoßen Benutzer häufig auf UAC-Eingabeaufforderungen, die sie nicht genehmigen können, was Aufgaben blockiert, die zuvor funktioniert haben.

Infolgedessen können IT-Teams mit einer erhöhten Anzahl von Supportanfragen konfrontiert werden, während die Benutzer darauf warten, dass die Administratoren routinemäßige Aktionen durchführen.

Deshalb kombinieren erfolgreiche Implementierungen des Prinzips der minimalen Berechtigungen typischerweise die Entfernung von dauerhaften Administratorrechten mit kontrollierter, richtlinienbasierter Erhöhung, sodass genehmigte Aufgaben mit administrativen Rechten ausgeführt werden können, ohne den Benutzern dauerhaften administrativen Zugriff zu gewähren.

Wie überprüft man lokale Administratorrechte?

IT-Teams können die lokalen Administratorrechte überprüfen, indem sie die Mitgliedschaft der lokalen Administratorgruppe auf jedem Endpunkt überprüfen. Dies kann lokal auf dem Gerät, über PowerShell-Skripte oder durch die Verwendung zentralisierter Prüf- und Endpoint-Management-Tools erfolgen.

Regelmäßige Überprüfungen der lokalen Administrationsrechte helfen, überprivilegierte Benutzer, inaktive Konten und Richtlinienabweichungen zu identifizieren.

Anwendungsfälle

• Entfernen von dauerhaftem administrativem Zugriff von Standardbenutzern
• Unterstützung von Legacy-Anwendungen, die eine kontrollierte Erhöhung erfordern
• Reduzierung des Risikos von Ransomware und Privilegieneskalation
• Durchsetzung des Prinzips der minimalen Berechtigungen in hybriden Arbeitsumgebungen
• Einhaltung der Compliance-Anforderungen für den Zugriffskontrolle
• Überprüfung der Mitgliedschaft in lokalen Gruppen auf Endpunkten

Wie Netwrix helfen kann

Das bloße Entfernen von lokalen Administratorrechten ohne Strategie kann die Produktivität stören und Anwendungen zum Absturz bringen. Organisationen benötigen einen kontrollierten Ansatz, der das geringste Privileg durchsetzt und gleichzeitig genehmigte Aufgaben ausführen lässt.

Netwrix PolicyPak ermöglicht es Organisationen, zu:

• Erstellen Sie Regeln, um UAC-Eingabeaufforderungen zu umgehen, wenn Standardbenutzer „administrative“ Aufgaben ausführen müssen
• Entfernen Sie unnötige lokale Administratorrechte, ohne genehmigte Anwendungen zu beeinträchtigen
• Durchsetzen von gerade genug Berechtigungen auf der Ebene der Desktop-Anwendung
• Sichern Sie spezifische Prozesse, ohne vollen administrativen Zugriff zu gewähren
• Überwinden Sie „Printnightmare“ und lassen Sie Benutzer ihre eigenen Drucker installieren
• Unbefugte Versuche zur Eskalation von Rechten verhindern
• Benutzern ermöglichen, die Software auf dem neuesten Stand zu halten
• Verwalten Sie die Richtlinien für die Berechtigungen von Endpunkten auf domänengebundenen und MDM-gemeldeten Geräten
• Überprüfen und Überwachen von Berechtigungsänderungen im Laufe der Zeit
• Ersetzen Sie bestehende Administratorkonten durch eine politikbasierte, regelgebundene Erhöhung

Durch den Austausch von bestehenden lokalen Administratorrechten durch kontrollierte, politikbasierte Erhöhungen reduzieren Organisationen erheblich das Risiko von Ransomware und schließen einen der häufigsten Angriffswege in Windows-Umgebungen.

Das Prinzip der minimalen Berechtigung bedeutet nicht, die Produktivität einzuschränken. Es geht darum, zur richtigen Zeit das richtige Maß an Zugriff zu gewähren, und nicht mehr.