Rootsec.inf - Keine Ordner auf C:\ erstellen

12.12.2016 | Autor: Mark Heitbrink

Rootsec.inf - Keine Ordner auf C:\ erstellen

Damals, als alles besser war und die Eisenbahn noch mit Dampf fuhr, lieferte Microsoft mit dem Betriebssystem vorkonfigurierte Sicherheitsvorlagen aus. Diese waren immer unter %systemroot%\inf zu finden.

  • Default Security (Setup Security.inf)
  • Compatible (compatws.inf, kompatible zu Windows NT4!)
  • Secure (Securews.inf/Securesrv.inf)
  • Highly Secure (Highsec.inf)
  • System root security (Rootsec.inf)
  • No Terminal Server user SID (Notssid.inf)

Predefined security templates

Die Rootsec.inf ist vielleicht die Einzige, die ich heutzutage noch ins Spiel bringen würde. Was macht sie? Die setzt die Sicherheitseinstellungen auf dem Laufwerk C:\ "zurück" auf den Orginalzustand, der mit Windows XP ausgeliefert wurde. Allerdings ist der meist nicht so, wie die Administratoren es gerne hätten.

Aufgrund dieser Sicherheitseinstellung dürfen BENUTZER, Ordner auf dem Laufwerk C:\ im Root erstellen. Das Recht "Ordner erstellen" ist für die Benutzer auf "This Folder only" konfiguriert, das Erstellen von Dateien ist auf "Subfolders and Files" gesetzt und der "Ersteller/Besitzer" (Creator/Owner) hat Vollzugriff.

Somit kann jeder einen Ordner erstellen und hat dann Vollzugriff.

Warum sollte ich das Erstellen von Ordnern auf C:\ verhindern? SECURITY! SECURITY!
Microsoft kann "C:\Windows" nicht von "C:\Windows " (mit Leerzeichen unterscheiden). Das führt dazu, das ich einen vertrauenswürdigen Pfad bauen kann die in euren Software Restriction Policies und/oder Applocker als ERLAUBT deklariert ist. C:\Windows, C:\Program Files, Program Files (x86) werden meist pauschal erlaubt, da dort nur Software von einem Administrator oder vom System durch ein Software Deployment abgelegt werden kann. Die Order mit Leerzeichen am Ende können aber von einem Benutzer erzeugt werden, wenn die Berechtigungen auf C: nicht korrigiert wurden.

Windows 10/11: "Schein-Ordner" als Sicherheitsdesaster, hebeln Applocker und SRP aus | Borns IT- und Windows-Blog (borncity.com)

Ein weiterer, nicht ganz so kritischer Grund ist schlicht: Wildwuchs und keiner weiss wo die Daten liegen, die gesichert werden müssen.

Wenn ein Benutzer keine Ordner erstellen können soll, dann müssen diese 3 genannten Rechte entfernt werden.

Sicherheitsvorlage - Rootsec.inf 
Import in den Gruppenrichtlinien Editor

  1. Öffnen der gewünschten Gruppenrichtlinie
  2. Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen
  3. Kontextmenü -> Richtlinie importieren
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%SystemDrive%\",0,"D:AR(A;;0x1200a9;;;WD)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)"