Welche Berechtigungen sind für den Zugriff auf den Windows-Zertifikatspeicher erforderlich?
- Einleitung
- Berechtigungen auf Speicher-Ebene
- Berechtigungen auf Dateisystem- und Registry-Ebene
- Berechtigungen für Anwendungen und Dienste
- Zusammenfassung
Einleitung
Der Windows-Zertifikatspeicher ist eine zentrale Komponente des Betriebssystems, mit der digitale Zertifikate sicher verwaltet werden. Diese Zertifikate stellen die Grundlage für viele Sicherheitsmechanismen wie Authentifizierung, Verschlüsselung und digitale Signaturen dar. Daher ist ein adäquater Schutz des Zertifikatspeichers unabdingbar, um Missbrauch oder Manipulationen zu verhindern. Der Zugriff auf den Zertifikatspeicher ist deshalb durch spezielle Berechtigungen geregelt, sowohl auf der Ebene der Zertifikatsspeichercontainer als auch auf Dateisystemebene.
Berechtigungen auf Speicher-Ebene
Grundsätzlich lässt sich der Windows-Zertifikatspeicher in zwei Hauptarten unterscheiden: die benutzerspezifischen Zertifikatsspeicher (z.B. Eigene Zertifikate unter dem aktuellen Benutzer) und die maschinenweiten Zertifikatsspeicher (z.B. Lokaler Computer). Für den Zugriff auf die benutzerspezifischen Zertifikatspeicher ist standardmäßig der aktuell angemeldete Benutzer zuständig und besitzt in der Regel die vollständigen Leserechte auf seinen eigenen Speicher.
Bei den maschinenweiten Zertifikatsspeichern sind die Berechtigungen restriktiver. Nur Benutzer mit administrativen Rechten oder spezielle Systemkonten wie SYSTEM verfügen in der Regel über Lese- und Schreibzugriffe. Die Zugriffssteuerung geschieht hier über Access Control Lists (ACLs) der Registry-Schlüssel, in denen die Zertifikate abgelegt sind, oder über Dateisystem-Berechtigungen in den entsprechenden Zertifikatsspeicher-Verzeichnissen.
Berechtigungen auf Dateisystem- und Registry-Ebene
Windows speichert Zertifikate hauptsächlich in der Registry unter Pfaden wie HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates oder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates. Der Zugriff auf diese Registry-Pfade wird durch Berechtigungen geregelt, die definieren, welche Benutzer oder Dienste lesen, schreiben oder löschen dürfen. Für maschinenweite Zertifikate ist der Zugriff oft nur Administratoren und Systemdiensten erlaubt, um die Integrität zu wahren.
Zusätzlich existieren Zertifikatdateien und Schlüssel in geschützten Verzeichnissen, beispielsweise unter %SystemRoot%\System32\CertSrv oder in Profilordnern der Benutzer. Auch hier sind NTFS-Berechtigungen so gesetzt, dass nur berechtigte Benutzer oder Dienste darauf zugreifen können.
Berechtigungen für Anwendungen und Dienste
Programme, die auf Zertifikate zugreifen wollen, benötigen ebenfalls entsprechende Zugriffsrechte. So müssen Anwendungen, die private Schlüssel aus dem Zertifikatspeicher verwenden möchten, über Zugriffsrechte auf diese Schlüssel verfügen. Diese Rechte werden typischerweise mit Werkzeugen wie certutil oder über das Windows-Zertifikats-Snap-in verwaltet. Sehr häufig erfordert das Auslesen privater Schlüssel administrative Rechte oder spezifisch konfigurierte Zugriffsrechte für den jeweiligen Dienst oder Prozess.
Zusammenfassung
Für den Zugriff auf den Windows-Zertifikatspeicher sind je nach Speicherart unterschiedliche Berechtigungen erforderlich. Benutzer besitzen für ihre eigenen Zertifikatsspeicher in der Regel Leserechte, während für maschinenweite Speicher administrative Rechte notwendig sind. Die Zugriffssteuerung erfolgt über Registry-ACLs, NTFS-Berechtigungen auf den gespeicherten Dateien sowie über Berechtigungen, die auf die privaten Schlüssel angewendet werden. Ohne entsprechende Rechte können weder Zertifikate gelesen noch private Schlüssel verwendet werden, was die Sicherheit des Systems gewährleistet.