User Permission in Registry manipulierbar

Hallo,
bei einem ConnectDirect Penetration-Test ist folgendes kritisiert worden:
Die Berechtigungen, welche in Connect:Direct unter Functional Authorities
vergeben wurden, waren in der Registry in Klartext gespeichert. Beispielsweise ist
hier zu sehen, dass der Verwaltungsbenutzer a100wrzlie@rit.r-dc.net auf dem
Knoten WRZN001F keine Berechtigungen zur Konfiguration von Connect:Direct besaß
Im Schlüssel HKLM\SOFTWARE\Sterling Commerce\Connect:Direct for Windows
NT\v6.3.0\WRZN001F\User Functional Authorities\a100wrzlie@rit.r-dc.net war im
Parameter KQV_list eine Aneinanderreihung von Key-Value-Paaren im Format
Key1=Value1|Key1=Value2|... zu sehen, welche die Berechtigungen des Benutzers
a100wrzlie@rit.r-dc.net repräsentierten.
Beispielsweise gab der Parameter UPDNET=N an, dass der Benutzer a100wrzlie@rit.rdc.net die Netmap -Konfiguration nicht editieren durfte.
Da dieser Registry-Key allerdings nicht schreibgeschützt war, konnte er beliebig durch einen Administrator des Servers gesetzt werden, auch wenn dieser kein
Connect:Direct-Administrator war.

Maßnahmenempfehlungen:
Es darf nicht möglich sein, dass weniger privilegierte Benutzer in Connect:Direct
(wenn auch Administratoren am Betriebssystem) die Berechtigungen in
Connect:Direct erweitern können.
Dies könnte durch eine Verschlüssellung des Berechtigungseintrags in der Registry
verhindert werden. Weiters muss jedoch der Benutzername in diesen Eintrag
hinzugefügt und mitverschlüsselt werden. Beim Auslesen bzw. Entschlüsseln der
Berechtigungen muss dann geprüft werden, ob der Eintrag im Schlüssel des richtigen
Benutzers steht. Nur so kann sichergestellt werden, dass ein Angreifer den
verschlüsselten Berechtigungseintrag eines höher privilegierten Benutzers nicht in
seinen Registry-Schlüssel unbemerkt übernehmen kann.


Hatte diesbzgl einen Case bei Euch offen TS018619961, mir wurde mitgeteilt, dass es dafür jetzt keine Lösung gibt und ich hier einen Enhancement-Request starten soll
Vielen Dank!
sg, Ronald Schütz