You are on page 1of 97

Ich stimme zu, dass diese Seite Cookies fr Analysen, personalisierten Inhalt und Werbung verwendet

Erfahren Sie mehr

Auflistung
Das Dokument wird wie vorliegend bereitgestellt. Die in diesem Dokument enthaltenen Informationen
und Ansichten, einschlielich URLs und andere Internetwebsites, knnen ohne vorherige Ankndigung
gendert werden. Sie erhalten durch dieses Dokument keinerlei Rechte an geistigem Eigentum in
Produkten oder Produktnamen von Microsoft. Sie drfen das Dokument intern zu Ihrer eigenen
Information kopieren und verwenden. Sie drfen das Dokument intern zu Ihrer eigenen Information
ndern. 2015 Microsoft. Alle Rechte vorbehalten. Nutzungsbedingungen
(https://technet.microsoft.com/cc300389.aspx) | Marken
(http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)

Table Of Contents
Kapitel 1
Access Anmeldeinformations-Manager als ein vertrauenswrdiger Aufrufer

Auf diesen Computer vom Netzwerk aus zugreifen.

Einsetzen Sie als Teil des Betriebssystems

Hinzufgen von Arbeitsstationen zur Domne

Anpassen der Arbeitsspeicherquoten fr einen Prozess

Lokal anmelden zulassen

Anmelden ber Remotedesktopdienste zulassen

Sichern von Dateien und Verzeichnissen

Auslassen der durchsuchenden berprfung

ndern der Systemzeit

ndern der Zeitzone

Erstellen einer Auslagerungsdatei

Erstellen eines Tokenobjekts

Globale Objekte erstellen

Permanente freigegebene Objekte erstellen

Erstellen symbolischer Verknpfungen

Debuggen von Programmen

Zugriff vom Netzwerk auf diesen Computer verweigern

Anmelden als Batchauftrag verweigern

Anmelden als Dienst verweigern

Lokal anmelden verweigern

Anmelden ber Remotedesktopdienste verweigern

Ermglichen, dass Computer- und Benutzerkonten fr Delegierungszwecke vertraut wird

Erzwingen des Herunterfahrens von einem Remotesystem

Generieren von sicherheitsberwachungen

Identittswechsel eines Clients nach der Authentifizierung

Arbeitssatz eines Prozesses vergrern

Anheben der Zeitplanungsprioritt

Laden und Entfernen von Gertetreibern

Sperren von Seiten im Speicher

Anmelden als Stapelverarbeitungsauftrag

Melden Sie als Dienst an

Verwalten von berwachungs- und Sicherheitsprotokollen

ndern einer Objekt-Beschriftung

Verndern der Firmwareumgebungsvariablen

Ausfhren von Volumewartungsaufgaben

Erstellen eines Profils fr einen Einzelprozess

Erstellen eines Profils der Systemleistung

Entfernen des Computers aus der Dockingstation

Ersetzen eines Tokens auf Prozessebene

Wiederherstellen von Dateien und Verzeichnissen

Herunterfahren des Systems

Directory Service Daten synchronisieren

bernehmen des Besitzes an Dateien und Objekten

Kapitel 1
Access Anmeldeinformations-Manager
als ein vertrauenswrdiger Aufrufer
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
DieZugriff Anmeldeinformations-Manager als ein vertrauenswrdiger AufruferRichtlinie wird
durch den Anmeldeinformations-Manager whrend der Sicherung und Wiederherstellung
verwendet. Keine Konten sollte diese Berechtigung, da er nur an den Winlogon-Dienst zugewiesen
ist. Gespeicherte Anmeldeinformationen von Benutzern knnen beeintrchtigt werden, wenn diese
Berechtigung anderen Entitten angegeben ist.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeTrustedCredManAccessPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden

ndern Sie diese Einstellung den Standardwert nicht.

Speicherort
\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige server

Effektive Standardeinstellungen der Domne-controller


Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingefhrt. Es gibt keine
Unterschiede in der Funktionsweise dieser Einstellung zwischen auf untersttzten Versionen von
Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Wenn ein Konto dieses Benutzerrecht zugewiesen wird, kann der Benutzer des Kontos eine
Anwendung erstellen, die in den Anmeldeinformations-Manager aufgerufen und die
Anmeldeinformationen fr einen anderen Benutzer zurckgegeben.

Gegenmanahme
Definieren Sie nicht dieZugriff Anmeldeinformations-Manager als ein vertrauenswrdiger
AufruferEinstellung fr alle Konten auer den Anmeldeinformations-Manager.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Auf diesen Computer vom Netzwerk


aus zugreifen.

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
DieZugriff auf diesen Computer vom Netzwerk auslegt fest, welche Benutzer ber das Netzwerk mit
dem Computer herstellen knnen. Diese Funktion ist eine Reihe von Netzwerkprotokollen,
einschlielich Server Message Block SMB-basierte Protokolle, NetBIOS, Common Internet File System
(CIFS) und Component Object Model Plus (COM+) erforderlich.
Benutzer, Computer und Dienstkonten gewinnen oder verlieren dieauf diesen Computer vom
Netzwerk ausBenutzer nach rechts explizit oder implizit hinzugefgt oder entfernt aus einer
Sicherheitsgruppe, die diese Berechtigung erteilt wurde. Klicken Sie z. B. ein Benutzerkonto oder ein
Computerkonto kann explizit hinzugefgt werden eine benutzerdefinierte Sicherheitsgruppe oder
integrierte Sicherheitsgruppe von einem Administrator oder es implizit hinzugefgt werden durch das
Betriebssystem zu einer vordefinierten Sicherheitsgruppe, wie z. B. Domnenbenutzer, authentifizierte
Benutzer oder Domnencontroller der Organisation.
Standardmig werden Benutzer- und Computerkonten gewhrt derauf diesen Computer vom
Netzwerk ausBenutzer sofort, wenn berechnete Gruppen, z. B. authentifizierte Benutzer und fr
Domnencontroller, die Enterprise-Domnencontrollergruppe in der Standard-Domnencontroller
(Group Policy Object, GPO) definiert sind.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: "SeNetworkLogonRight"

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden

Auf Desktopcomputern oder Mitgliedsservern diese Berechtigung nur fr Benutzer und


Administratoren.
Gewhren Sie dieses Recht nur authentifizierte Benutzer, Domnencontroller der Organisation
und Administratoren auf Domnencontrollern.
Diese Einstellung enthlt diejederGruppe, um die Abwrtskompatibilitt sicherzustellen. Nach
der Aktualisierung von Windows, nachdem Sie berprft haben, dass alle Benutzer und
Gruppen ordnungsgem migriert werden, sollten Sie entfernen diejederund verwenden Sie
dieAuthentifizierte BenutzerGruppe.

Speicherort
\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standardwert

Standarddomnenrichtlinie

Nicht definiert

Standarddomnencontroller-Richtlinie

Jeder Benutzer, Administratoren, authentifizierte Ben


kompatibler Zugriff

Standardeinstellungen fr eigenstndige server

Jeder Benutzer, Administratoren, Benutzer, Sicherung

Effektive Standardeinstellungen der Domnecontroller

Jeder Benutzer, Administratoren, authentifizierte Ben


kompatibler Zugriff

Member Server effektiv Standardeinstellungen

Jeder Benutzer, Administratoren, Benutzer, Sicherung

Effektiven Standardwert fr Clientcomputer

Jeder Benutzer, Administratoren, Benutzer, Sicherung

Betriebssystem-Versionsunterschiede
Diese Einstellung wurde in Windows Server 2003 und Windows XP mit Service Pack 2 eingefhrt. Diese
Einstellung wurde nicht gendert, und es enthlt diejederGruppe, um die Abwrtskompatibilitt
sicherzustellen. Nachdem Sie berprft haben, dass alle Benutzer und Gruppen ordnungsgem
migriert werden, sollten Sie entfernen diejederund verwenden Sie dieAuthentifizierte
BenutzerGruppe.

Richtlinienverwaltung
Wenn Sie dieses Benutzerrecht ndern, mglicherweise die folgenden Aktionen bewirken, Benutzern
und Diensten Netzwerkzugriffsprobleme auftreten:
Entfernen die Sicherheitsgruppe der Domnencontroller der Organisation
Entfernen der Gruppe der authentifizierten Benutzer oder eine explizite Gruppe, die die
Berechtigung zum Herstellen von Computern ber das Netzwerk ermglicht es, Benutzern,
Computern und Dienstkonten
Entfernen alle Benutzer und Computer
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer, die von ihrem Computer mit dem Netzwerk verbinden knnen knnen Ressourcen auf den
Zielcomputern zugreifen, fr die sie die Berechtigung haben. Zum Beispiel dieZugriff auf diesen
Computer vom Netzwerk ausBerechtigung ist erforderlich, damit Benutzer auf freigegebene Drucker
und Ordner zugreifen. Wenn dieses Benutzerrecht zugeordnet ist diejederGruppe Mitglied der Gruppe
kann die Dateien in diesen freigegebenen Ordnern lesen. Diese Situation ist unwahrscheinlich, da die

Gruppen, indem eine Standardinstallation von erstelltWindows Server 2012Windows


Server 2008 R2Windows 8undWindows 7enthalten nicht diejederGruppe. Jedoch, wenn ein Computer
aktualisiert wird und der ursprngliche Computer enthlt diejederGruppe als Teil seiner definierte
Benutzer und Gruppen, die dieser Gruppe als Teil des Aktualisierungsprozesses gewechselt wird und
auf dem Computer vorhanden ist.

Gegenmanahme
Einschrnken derZugriff auf diesen Computer vom Netzwerk ausBenutzer direkt nur auf die
Benutzer und Gruppen, die Zugriff auf den Computer bentigen. Beispielsweise, wenn Sie diese
Einstellung zum Konfigurieren derAdministratorenundBenutzergruppiert, melden Sie sich bei der
Domne auf Ressourcen zugreifen kann, die von den Servern in der Domne verwendet werden, wenn,
Benutzer Mitglieder derDomnenbenutzerGruppe befinden sich in der lokalenBenutzerGruppe.

Hinweis

Wenn Sie IPsec verwenden, die um sichere Kommunikation in Ihrer Organisation zu helfen, stellen Sie sich
erteilt wird. Dieses Recht ist fr die erfolgreiche Authentifizierung erforderlich. Dieses Recht zuweisenAuth
Anforderung.

Mgliche Auswirkung
Entfernen derZugriff auf diesen Computer vom Netzwerk ausrechts auf Domnencontrollern fr alle
Benutzer niemand kann Benutzer, Anmelden auf die Domne oder verwenden. Wenn Sie diesen
Benutzer direkt auf Mitgliedsservern entfernen, herstellen nicht Benutzern diese Server ber das
Netzwerk. Wenn Sie optionale Komponenten wie z. B. ASP.NET oder Internet Information Services (IIS)
installiert haben, mssen Sie dieses Benutzerrecht zustzliche Konten zuweisen, die von diesen
Komponenten erforderlich sind. Es ist wichtig, um sicherzustellen, dass autorisierte Benutzer die
Benutzer direkt bei den Computern zugewiesen sind, die sie bentigen Zugriff auf das Netzwerk.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Einsetzen Sie als Teil des


Betriebssystems
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
DieEinsetzen als Teil des Betriebssystemslegt fest, ob ein Prozess kann die Identitt eines Benutzers
annehmen und dadurch auf die Ressourcen Zugriff, die der Benutzer autorisiert ist, Zugriff
auf.Normalerweise erfordern nur einfache Authentifizierungsdienste dieses Benutzerrecht. Potenzielle
Zugriff ist nicht beschrnkt, was standardmig dem Benutzer zugeordnet ist. Der aufrufende Prozess
verlangen, dass beliebige zustzliche Privilegien zum Zugriffstoken hinzugefgt werden. Der

aufrufende Prozess kann auch ein Zugriffstoken erstellen, das keine primre Identitt fr die
berwachung in den Systemereignisprotokollen bereitstellt.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeTcbPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden

Weisen Sie dieses Recht fr alle Benutzerkonten. Weisen Sie nur vertrauenswrdigen
Benutzern dieses Benutzerrecht.
Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst zum Anmelden
mit dem lokalen Systemkonto, das dieses Benutzerrecht grundstzlich enthlt. Erstellen Sie ein
separates Konto nicht, und weisen Sie diesem Benutzer direkt zu.

Speicherort
\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\RichtlinienEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige server
Effektive Standardeinstellungen der Domne-controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingefhrt. Es gibt keine
Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten Versionen von
Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
DieEinsetzen als Teil des BetriebssystemsBenutzerrecht ist sehr leistungsstark. Benutzer mit dieser
Berechtigung knnen die vollstndige Kontrolle ber den Computer und Beweise fr seine Aktivitten
lschen.

Gegenmanahme
Einschrnken derEinsetzen als Teil des BetriebssystemsBenutzer direkt auf mglichst wenige Konten
wie mglich Es sollte nicht selbst zugewiesen werden der Gruppe "Administratoren" unter normalen
Umstnden. Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst, melden Sie
sich mit dem lokalen Systemkonto, die grundstzlich enthlt dieses Recht. Erstellen Sie ein separates
Konto nicht, und weisen Sie diesem Benutzer direkt zu.

Mgliche Auswirkung
Es sollte nur wenig oder gar keine Auswirkung sein, da dieEinsetzen als Teil des
Betriebssystemsrecht selten alle Konten als das lokale Systemkonto erforderlich ist.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Hinzufgen von Arbeitsstationen zur


Domne
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden, den
Speicherort, die Werte, die Policy Management und Security Considerations fr diese Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer einer bestimmten Domne einen Computer hinzufgen
knnen. Es wirksam wird muss zugewiesen werden, damit sie auf mindestens einem
Domnencontroller angewendet wird. Ein Benutzer, der dieses Benutzerrecht zugewiesen ist, kann bis
zu zehn Arbeitsstationen zur Domne hinzufgen.
Hinzufgen eines Computerkontos zur Domne kann der Computer in Active Directory-basierten
Netzwerken teilnehmen.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeMachineAccountPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewhrte Methoden
1.

Konfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zum
Hinzufgen von Computern zur Domne zulssig sind.

Speicherort
Computer Configuration\Windows Settings\Security Einstellungen\Benutzername\Lokale
Rechte Assignment\

Standardwerte
Standardmig mit dieser Einstellung knnen den Zugriff fr authentifizierte Benutzer auf
Domnencontrollern, und es ist nicht auf eigenstndigen Servern definiert.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Benutzer knnen auch einen Computer einer Domne beitreten, wenn sie die Berechtigung
Computerobjekte erstellen fr eine Organisationseinheit (OU) oder fr den Container "Computer" in
das Verzeichnis verfgen. Benutzer mit dieser Berechtigung knnen eine unbegrenzte Anzahl von
Computern hinzufgen, mit der Domne, unabhngig davon, ob dieHinzufgen von
Arbeitsstationen zur DomneRecht.
Darber hinaus Computerkonten werden erstellt, mit der dieHinzufgen von Arbeitsstationen zur
DomneBenutzerrecht verfgen Domnenadministratoren als Besitzer des
Computerkontos.Computerkonten, die ber Berechtigungen fr Container des Computers erstellt
werden mithilfe den Ersteller als Besitzer des Computerkontos. Verfgt ein Benutzer verfgt ber
Berechtigungen fr den Container und zudem ber dieArbeitsstation zu Domne
hinzufgenBenutzerrecht, der der Computer hinzugefgt wird basierend auf den Container
Computerberechtigungen statt das Benutzerrecht.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


Diese Richtlinie weist die folgenden Sicherheitsaspekte:

Sicherheitsrisiko
DieHinzufgen von Arbeitsstationen zur DomneBenutzerrecht stellt ein geringes Sicherheitsrisiko
dar. Benutzer mit dieser Berechtigung konnte einen Computer zur Domne hinzufgen, die so
konfiguriert ist, die Sicherheitsrichtlinien des Unternehmens verstt. Wenn Ihre Organisation keine
Benutzer auf ihren Computern ber Administratorrechte verfgen, knnen Benutzer z. B. Windows auf
ihren Computern installieren und dann die Computer der Domne hinzufgen. Der Benutzer wrde
kennen das Kennwort fr das lokale Administratorkonto konnte mit dem Konto anmelden und dann
einen persnlichen Domnenkonto der lokalen Administratorgruppe hinzufgen.

Gegenmanahme
Konfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zum Hinzufgen
von Computern zur Domne zulssig sind.

Mgliche Auswirkung
Fr Organisationen, die nie zugelassen haben Benutzer ihre eigenen Computer einrichten und der
Domne hinzugefgt werden, wirkt sich diese Gegenmanahme nicht. Fr diejenigen, die einige oder
alle Benutzer konfigurieren ihren eigenen Computern zugelassen haben, erzwingt diese
Gegenmanahme die Organisation einen formalen Prozess fr diese Verfahren fr die Zukunft
herstellen. Sie wirkt vorhandene Computer sich nicht, wenn sie aufgehoben und dann der Domne
hinzugefgt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Anpassen der Arbeitsspeicherquoten


fr einen Prozess
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Berechtigung bestimmt, wer den maximalen Arbeitsspeicher ndern kann, der von einem
Prozess genutzt werden knnen. Diese Berechtigung eignet sich fr die systemoptimierung auf Basis
Gruppen- oder Benutzernamen.

Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomnenrichtlinie) und in der
lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeIncreaseQuotaPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

2.

Einschrnken derAnpassen von Speicherkontingenten fr einen Prozessrechts Benutzer nur


die Benutzer die Mglichkeit zum Anpassen von Speicherkontingenten zur Durchfhrung ihrer
Aufgaben erforderlich ist.
Wenn diese Berechtigung fr ein Benutzerkonto erforderlich ist, knnen sie ein lokales
Computerkonto anstelle von einem Domnenkonto zugewiesen werden.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Einstellungen\Benutzername\Lokale Rechte Assignment\

Standardwerte
Standardmig verfgen Mitglieder der Administratoren, lokaler Dienst und Netzwerkdienst Gruppen
ber dieses Recht.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie

Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Benutzer mit derAnpassen von Speicherkontingenten fr einen ProzessBerechtigung kann der
verfgbare Arbeitsspeicher auf alle Prozesse, die geschftskritische netzwerkanwendungen langsam
oder Fehlschlagen verursachen knnte reduzieren. Dieses Privileg konnte von einem bswilligen
Benutzer verwendet werden, um einen Denial-of-Service-Angriff (DoS) zu starten.

Gegenmanahme
Einschrnken derAnpassen von Speicherkontingenten fr einen ProzessBenutzer Rechte fr
Benutzer, die erforderlich ist, fhren Sie ihre Arbeit, z. B. Anwendungsadministratoren und Pflege der
Datenbank-Managementsysteme oder Domnen-Admins, die im Verzeichnis der Organisation und der
untersttzenden Infrastruktur verwalten.

Mgliche Auswirkung
Organisationen, die keine Rollen mit eingeschrnkten Berechtigungen Nutzungsrichtlinie haben finden
es mglicherweise schwierig, diese Gegenmanahme verlangen. Auch, wenn Sie optionale
Komponenten wie z. B. ASP.NET oder IIS installiert haben, mssen Sie mglicherweise zum Zuweisen
derAnpassen von Speicherkontingenten fr einen Prozessrechts Benutzer weitere Konten, die von
diesen Komponenten erforderlich sind. IIS ist es erforderlich, dass diese Berechtigung explizit die
IWAM_ < ComputerName >, Netzwerkdienst und Dienstkonten zugewiesen werden. Andernfalls hat
diese Gegenmanahme sollte keine Auswirkung auf den meisten Computern. Wenn diese
Berechtigung fr ein Benutzerkonto erforderlich ist, knnen sie ein lokales Computerkonto anstelle von
einem Domnenkonto zugewiesen werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Lokal anmelden zulassen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer eine interaktive Sitzung auf dem Computer starten
knnen.Benutzer mssen dieses Benutzerrecht Anmelden ber Remotedesktopdienste oder
Terminaldienste-Sitzung, die auf einem Windows-basierten Mitgliedscomputer oder der
Domnencontroller ausgefhrt wird.

Hinweis

Benutzer, die nicht ber diese Berechtigung verfgen, knnen trotzdem eine interaktive Remotesitzung auf d
Remotedesktopdienste zulassenrechten.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeInteractiveLogonRight

Mgliche Werte
Eine benutzerdefinierte Liste der Konten
Nicht definiert
Die Elemente der folgenden Gruppen verfgen standardmig ber dieses Recht auf Arbeitsstationen
und Servern:
Administratoren
Sicherungsoperatoren
Benutzer
Die Elemente der folgenden Gruppen verfgen standardmig ber dieses Recht auf
Domnencontrollern:
Konten-Operatoren
Administratoren
Sicherungsoperatoren
Druck-Operatoren
Server-Operatoren

Bewhrte Methoden
1.
2.

Beschrnken Sie diesen Benutzer direkt auf legitime Benutzer an der Konsole des Computers
anmelden mssen.
Standardgruppen selektiv entfernen, knnen Sie die Funktionen von Benutzern beschrnken,
die bestimmte administrative Rollen in Ihrer Organisation zugeordnet sind.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows.Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.Remote
Desktop Services wurde frher als Terminaldienste bezeichnet.

Richtlinienverwaltung
Neustart des Computers ist nicht erforderlich, um diese nderung zu implementieren.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
ndern diese Einstellung kann die Kompatibilitt mit Clients, Dienste und Programme auswirken.Seien
Sie vorsichtig beim Entfernen von Dienstkonten, die von Komponenten und Programmen auf
Mitgliedscomputern und Domnencontrollern in der Domne aus der Standarddomnencontroller
Richtlinie verwendet werden.Beim Entfernen von Benutzern oder Sicherheitsgruppen, die melden Sie
sich bei der Konsole von Mitgliedscomputern in der Domne oder Entfernen von Dienstkonten, die in
der lokalen Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) von
Mitgliedscomputern oder Arbeitsgruppencomputern definiert sind, wird ebenfalls verwenden Sie
Vorsicht.
Wenn Sie ein Benutzerkonto die Anmeldung an einem Domnencontroller einrumen mchten, achten
Sie dieser Benutzer Mitglied einer Gruppe, die bereits dielokale Anmeldung zugelasseneSystem
rechten oder erteilen, das Recht, dieses Benutzerkonto.
Die Domnencontroller in der Domne Freigeben des Default Domain Controller Objekt (GPO).Wenn
Sie ein Konto erteilen derLokal anmelden zulassenlassen Sie dieses Konto lokal auf allen
Domnencontrollern in der Domne anmelden.

Wenn die Gruppe "Benutzer", in aufgefhrt ist derLokal anmelden zulassenfr ein
Gruppenrichtlinienobjekt festlegen, alle Domnenbenutzer knnen lokal anmelden.Die integrierte
Gruppe Benutzer werden Domnenbenutzer als Member enthlt.

Gruppenrichtlinie
Gruppenrichtlinien werden ber Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet,
die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der Gruppenrichtlinie
berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Konto mit denLokal anmelden zulassenauf der Konsole des Computers Benutzerrecht anmelden
kann.Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzer einschrnken, die in der Konsole
des Computers anmelden mssen, konnte nicht autorisierte Benutzer herunterladen und Ausfhren
von bsartiger Software, um ihre Rechte zu erhhen.

Gegenmanahme
Weisen Sie fr Domnencontroller, dieLokal anmelden zulassenBerechtigung nur fr die Gruppe
"Administratoren".Sie knnen fr andere Serverrollen die Sicherungsoperatoren neben
Administratoren hinzufgen.Fr den Endbenutzer-Computer sollten Sie auch dieses Recht der Gruppe
Benutzer zuweisen.
Alternativ knnen Sie Gruppen wie Konten-Operatoren, Server-Operatoren und Gste zuweisen
derLokal anmelden verweigernRecht.

Mgliche Auswirkung
Wenn Sie diesen Standardgruppen entfernen, knnen Sie die Funktionen der Benutzer begrenzen, die
bestimmte administrative Rollen in der Umgebung zugewiesen werden.Wenn Sie optionale
Komponenten wie z. B. ASP.NET oder IIS installiert haben, mssen Sie mglicherweise zum Zuweisen
derLokal anmelden zulassenrechts Benutzer weitere Konten, die von diesen Komponenten
erforderlich sind.IIS muss dieses Benutzerrecht zugewiesen werden, bis die IUSR_< ComputerName
>Konto.Sie sollten sicherstellen, dass delegierte Aktivitten nicht von nderungen beeintrchtigt
werden, die Sie vornehmen derLokal anmelden zulassenZuweisen von Benutzerrechten.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Anmelden ber Remotedesktopdienste


zulassen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese Richtlinie.

Verweis
Diese Einstellung bestimmt, welche Benutzer oder Gruppen den Anmeldebildschirm eines
Remotecomputers ber eine Remote Desktop Services-Verbindung zugreifen knnen. Es ist mglich,
dass ein Benutzer eine Remote Desktop Services-Verbindung mit einem bestimmten Server jedoch
nicht an der Konsole des dem gleichen Server anmelden.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeRemoteInteractiveLogonRight

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

ffnen Sie eine Verbindung mit Remote Desktop Services und am Computer anmelden
knnen, hinzufgen oder Entfernen von Benutzern aus der Gruppe Remotedesktopbenutzer
steuern.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig verfgen Mitglieder der Gruppe "Administratoren" dieses Recht auf
Domnencontrollern, Arbeitsstationen und Servern. Die Desktops-Benutzergruppe hat dieses Recht
auch auf Arbeitsstationen und Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller


Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Gab es keine nderungen an den Einstellungen und Effekte der richtigen Benutzer festlegen, da es in
Windows Server 2003 und Windows XP eingefhrt wurde. Der Name der Einstellung wurde
jedochWindows Server 2008 R2undWindows 7ausAnmelden ber Terminaldienste zulassen.

Richtlinienverwaltung

Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfgung, die Ihnen helfen,
diese Richtlinie zu verwalten.

Gruppenrichtlinie
Um RDS erfolgreich anmelden an einem Remotecomputer verwenden mchten, klicken Sie den
Benutzer oder die Gruppe muss ein Mitglied der Gruppe "Remotedesktopbenutzer" oder
"Administratoren" sein und gewhrt werden, dieAnmelden ber Remotedesktopdienste
zulassenrechten. Es ist mglich, fr einen Benutzer stellen eine RDS-Sitzung mit einem bestimmten
Server, jedoch nicht auf dem gleichen Server die Konsole anmelden.
Sie knnen zum Ausschlieen von Benutzern oder Gruppen zuweisen derAnmelden ber
Remotedesktopdienste VerweigernBenutzer direkt auf die Benutzer oder Gruppen. Jedoch vorsichtig
sein, wenn Sie diese Methode verwenden, da Konflikte fr autorisierte Benutzer oder Gruppen, die
Zugriff ber zugelassen wurde erstellt werden konnte dieAnmelden ber Remotedesktopdienste
zulassenRecht.
Weitere Informationen finden Sie unter Anmelden ber Remotedesktopdienste verweigern.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Gruppenrichtlinien werden ber Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet,
die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der Gruppenrichtlinie
berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Konto mit denAnmelden ber Remotedesktopdienste zulassenRecht an der Remotekonsole des
Computers anmelden kann. Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzer
einschrnken, die in der Konsole des Computers anmelden mssen, konnte nicht autorisierte Benutzer
herunterladen und Ausfhren von bsartiger Software, um ihre Rechte zu erhhen.

Gegenmanahme
Weisen Sie fr Domnencontroller, dieAnmelden ber Remotedesktopdienste
zulassenBerechtigung nur fr die Gruppe "Administratoren". Fgen Sie fr andere Serverrollen und
Endbenutzer-Computer die Gruppe Remotedesktopbenutzer hinzu. Bei Servern, die der Remote
Desktop (RD)-Sitzungshost wurde-Rollendienst aktiviert und nicht im Anwendungsservermodus
ausfhren, stellen Sie sicher, dass nur autorisierte IT-Mitarbeiter, die die Remoteverwaltung von
Computern mssen diese Gruppen angehren.

Achtung

Remotedesktop-Sitzungshostserver, die im Anwendungsservermodus ausfhren, sicherstellen Sie, dass nur B


Gruppe Remotedesktopbenutzer gehren verfgen, da diese integrierten Gruppe dieses Anmelderecht standa
Alternativ knnen Sie zuweisen derAnmelden ber Remotedesktopdienste VerweigernBenutzer
direkt zu Gruppen wie Konten-Operatoren, Server-Operatoren und Gste. Jedoch vorsichtig sein, wenn
Sie diese Methode verwenden, da Sie den Zugriff von autorisierten Administratoren, die ebenfalls zu

einer Gruppe gehren blockieren knnten, verfgt dieAnmelden ber Remotedesktopdienste


VerweigernRecht.

Mgliche Auswirkung
Entfernen derAnmelden ber Remotedesktopdienste zulassenBenutzer direkt aus anderen Gruppen
(oder die nderung der Mitgliedschaft in diesen Standardgruppen) kann die Funktionen von
Benutzern, die bestimmte Verwaltungsfunktionen in Ihrer Umgebung ausfhren einschrnken. Sie
sollten sicherstellen, dass delegierte Aktivitten nicht beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Sichern von Dateien und


Verzeichnissen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Dieses Benutzerrecht legt fest, welche Benutzer im Rahmen der Sicherung des Systems Datei- und
Verzeichnis, Registrierungsschlssel und andere persistente Objektberechtigungen umgehen
knnen. Dieses Benutzerrecht gilt nur, wenn eine Anwendung, den Zugriff ber die NTFS-backup
Anwendungsprogrammierschnittstelle (API) ber ein Sicherungstool, z. B. "Ntbackup versucht". EXEDATEI. Andernfalls gelten standardmige Datei- und Verzeichnisberechtigungen.
Dieses Benutzerrecht entspricht ungefhr den folgenden Berechtigungen fr den Benutzer oder die
Gruppe aus, die Sie auf alle Dateien und Ordner auf dem System ausgewhlt haben:
Ordner durchlaufen oder Datei ausfhren
Ordner auflisten oder Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Berechtigungen lesen
Standardwert fr Arbeitsstationen und Server:
Administratoren
Sicherungsoperatoren
Standardwert fr Domnencontroller:
Administratoren
Sicherungsoperatoren
Server-Operatoren
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeBackupPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden

1.

2.

Einschrnken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder des
IT-Teams, die als Teil ihrer tglichen Aufgaben Unternehmensdaten sichern mssen. Da es
keine Mglichkeit, achten Sie darauf, dass ein Benutzer sichern, weisen Diebstahl von Daten
oder beim Kopieren von Daten verteilt werden, dieses Benutzerrecht nur vertrauenswrdigen
Benutzern.
Wenn Sie Sicherungssoftware, die unter bestimmten Dienstkonten ausgefhrt wird verwenden,
nur mit diesen Konten (und nicht das IT-Personal) mssen dieSichern von Dateien und
VerzeichnissenRecht.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
In der Standardeinstellung wird dieses Recht fr Administratoren und Sicherungsoperatoren auf
Arbeitsstationen und Servern zugewiesen. Auf Domnencontrollern verfgen Administratoren,
Sicherungsoperatoren und Server-Operatoren ber dieses Recht.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer, die Daten von einem Computer sichern knnen dauerte die Sicherungsmedien auf einem
Domnencomputer, auf denen sie ber Administratorrechte verfgen, und anschlieend die Daten
wiederherstellen. Sie knnten bernehmen des Besitzes von Dateien und Anzeigen von
unverschlsselten Daten, die im Sicherungssatz enthalten ist.

Gegenmanahme
Einschrnken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder des ITTeams, die als Teil ihrer tglichen Aufgaben Unternehmensdaten sichern mssen. Wenn Sie
Sicherungssoftware, die unter bestimmten Dienstkonten ausgefhrt wird verwenden, nur mit diesen
Konten (und nicht das IT-Personal) mssen dieSichern von Dateien und VerzeichnissenRecht.

Mgliche Auswirkung
ndert die Mitgliedschaft der Gruppen, die dieSichern von Dateien und
VerzeichnissenBenutzerrecht konnte die Funktionen der Benutzer mit bestimmten Administratorrollen
in Ihrer Umgebung einschrnken. Sie sollten sicherstellen, dass autorisierte backup-Administratoren
noch Sicherungsvorgnge ausfhren knnen.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Auslassen der durchsuchenden


berprfung
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer (oder ein Prozess, der fr das Konto des Benutzers) ber
die Berechtigung einen Objektpfad im NTFS-Dateisystem oder in der Registrierung navigieren, ohne
dass berprft wird, fr die spezielle Berechtigung Ordner durchsuchen. Dieses Benutzerrecht lsst sich
nicht auf den Benutzer zum Auflisten des Inhalts eines Ordners aus. Es kann nur der Benutzer Ordner
Zugriff auf den zulssigen Dateien oder Unterordner durchsuchen.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeChangeNotifyPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.
2.

Verwenden Sie Access-basierten-Enumeration, wenn Sie verhindern, dass Benutzer sehen


einen Ordner oder eine Datei, auf die sie keinen Zugriff haben, mchten.
Verwenden Sie in den meisten Fllen die Standardeinstellungen dieser Richtlinie. Wenn Sie die
Einstellungen ndern, berprfen Sie Ihre Absicht durch Tests.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt

Stan

Standarddomnenrichtlinie

Nich

Standarddomnencontroller-Richtlinie

Adm
Auth
Jeder
Loka
Netw
Pr-W

Standardeinstellungen fr eigenstndige Server

Adm
Siche
Benu
Jeder
Loka
Netw

Effektive Standardeinstellungen der Domne-Controller

Adm
Auth
Jeder
Loka
Netw
Pr-W

Member Server effektiv Standardeinstellungen

Adm
Siche
Benu
Jeder
Loka

Netw
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Berechtigungen fr Dateien und Ordner werden gesteuert, obwohl die entsprechende Konfiguration
der Datei System Access Control (ACLs) aufgelistet. Die Mglichkeit, den Ordner durchlaufen bietet
keine Lese- oder Schreibvorgang Berechtigungen fr dem Benutzer.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Die Standardkonfiguration fr dieAuslassen der durchsuchenden berprfungwird in allen
Benutzern das Auslassen der durchsuchenden berprfung ermglichen. Obwohl die entsprechende
Konfiguration des Dateisystemzugriff Zugriffssteuerungslisten (ACLs), da die Mglichkeit, den Ordner
durchlaufen keine Lese- oder Schreibvorgang Berechtigungen fr dem Benutzer bietet, werden
Berechtigungen fr Dateien und Ordner gesteuert. Das einzige Szenario, in dem die
Standardkonfiguration zu Missverstndnissen fhren knnte, wre, wenn der Administrator, der die
Konfiguration von Berechtigungen nicht versteht, wie diese Einstellung funktioniert. Angenommen,
erwarten der Administrator, dass Benutzer, die nicht auf einen Ordner zugreifen knnen nicht auf den
Inhalt von untergeordneten Ordnern zugreifen knnen. Eine solchen Situation ist unwahrscheinlich
und, daher stellt diese Sicherheitslcke geringes Risiko.

Gegenmanahme
Organisationen, die Sicherheit besorgt sind mglicherweise die jeder entfernen mchten Gruppe, und
vielleicht die Benutzergruppe, aus der Liste der Gruppen auf, dieAuslassen der durchsuchenden
berprfungRecht. Explizite Kontrolle ber Traversal Zuweisungen kann eine effiziente Mglichkeit,
den Zugriff auf vertrauliche Informationen einzuschrnken. Access-Aufzhlung kann auch verwendet

Adm
Siche
Benu
Jeder
Loka
Netw

werden. Bei Verwendung von Access-basierten Enumeration nicht Benutzer angezeigt, einen Ordner
oder eine Datei, auf die sie keinen Zugriff haben. Weitere Informationen zu dieser Funktion finden Sie
unterzugriffsbasierte Aufzhlung.

Mgliche Auswirkung
Windows-Betriebssysteme und viele Programme wurden unter der Annahme entworfen, dass jeder
Benutzer, die berechtigterweise auf den Computer zugreifen kann dieses Benutzerrecht hat. Daher wird
empfohlen, alle nderungen an den Zuweisungen von grndlich testen, dieAuslassen der
durchsuchenden berprfungRecht, bevor Sie diese nderungen auf den Produktionssystemen
vornehmen. Insbesondere IIS erfordert dieses Benutzerrecht zugewiesen werden, Netzwerkdienst,
lokaler Dienst, IIS_WPG, IUSR_< ComputerName >und IWAM_< ComputerName >Konten. (sie mssen
auch das ASPNET-Konto ber die Mitgliedschaft in der Gruppe "Benutzer" zugewiesen werden.) Es
wird empfohlen, diese Einstellung bei der Standardkonfiguration zu lassen.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

ndern der Systemzeit


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer die Zeit auf der internen Uhr des Computers anpassen
knnen. Dieses Recht ermglicht es den Computerbenutzer zum ndern von Datum und Uhrzeit, die
Datenstze in den Ereignisprotokollen, Datenbanktransaktionen und das Dateisystem
zugeordnet. Dieses Recht wird auch vom Prozess erforderlich, die Synchronisierung ausfhrt. Diese
Einstellung hat keinen Einfluss auf die Fhigkeit zum ndern der Zeitzone oder anderer
Anzeigeeigenschaften der Systemzeit des Benutzers. Informationen zum Zuweisen von rechts, um die
Zeitzone ndern, finden Sie unterndern der Zeitzone.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeSystemtimePrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Einschrnken derndern der SystemzeitBenutzer direkt an Benutzer mit legitimer mssen so


ndern Sie die Systemzeit, z. B. Mitglieder der IT-Team.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig Mitglied der Administratoren und lokale Gruppen verfgen ber dieses Recht auf
Arbeitsstationen und Servern. Mitglieder der Administratoren, Server-Operatoren und lokalen
Dienstgruppen verfgen ber dieses Recht auf Domnencontrollern.

Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive DC-Standardeinstellungen

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer, die auf einem Computer ndern knnen, knnen verschiedene Probleme auslsen. Beispiel:

Zeitstempel in Ereignisprotokolleintrgen konnte ungenaue hergestellt werden


Die Zeitstempel von Dateien und Ordnern, die erstellt oder gendert werden knnten falsch
sein.
Computer, die zu einer Domne gehren mglicherweise nicht selbst authentifizieren
Benutzer, die versuchen, die von Computern mit ungenauen Mal an der Domne anmelden
kann mglicherweise nicht authentifizieren.
Auch, da das Kerberos-Authentifizierungsprotokoll muss die anfordernde Person und der
Authentifikator ihre Uhren innerhalb einer vom Administrator definierte Zeitversatz synchronisiert
haben, ein Angreifer, der Uhrzeit des Computers ndert sich mglicherweise, bis dieser Computer nicht
mehr abrufen oder Tickets des Authentifizierungsprotokolls Kerberos zu gewhren.
Das Risiko von diesen Typen von Ereignissen wird auf den meisten Domnencontrollern,
Mitgliedsservern und Endbenutzercomputern verringert, da der Windows-Zeitdienst automatisch mit
den Domnencontrollern auf folgende Weise Synchronisation:
Alle desktop-Clientcomputern und Mitgliedsserver verwenden den authentifizierenden
Domnencontroller als Zeitgeber.
Alle Domnencontroller in einer Domne benennen die primre Domne
Emulationsbetriebsmaster des Domnencontrollers (PDC) als Zeitgeber.
Alle PDC-Emulator-Betriebsmaster folgen die Hierarchie von Domnen in der Auswahl der
Zeitgeber.
Der Betriebsmaster am Stamm der Domne ist fr die Organisation autorisierend. Aus diesem
Grund empfehlen wir, dass Sie diesen Computer zum Synchronisieren mit einem zuverlssigen
externen Zeitserver konfigurieren.
Diese Sicherheitslcke ist eine groe Gefahr, wenn ein Angreifer kann zum ndern der Systemzeit und
der Windows-Zeitdienst beenden oder neu konfigurieren, die mit einem Zeitserver zu synchronisieren,
die nicht korrekt ist.

Gegenmanahme
Einschrnken derndern der SystemzeitBenutzer direkt an Benutzer mit legitimer mssen so ndern
Sie die Systemzeit, z. B. Mitglieder der IT-Team.

Mgliche Auswirkung
Da fr die meisten Organisationen Synchronisierung fr alle Computer, die der Domne angehren,
vollstndig automatisiert werden sollten sollte nicht beeintrchtigt sein. Computer, die nicht zur
Domne gehren, sollte fr die Synchronisierung mit einer externen Quelle, z. B. einen Webdienst
konfiguriert werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

ndern der Zeitzone


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer die Zeitzone angepasst werden knnen, die vom
Computer verwendet wird, zum Anzeigen der lokalen Zeit, einschlielich der Systemzeit plus der
Zeitzone Offset.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeTimeZonePrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
Keiner.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung des Kontos fr diese Benutzerrechte wird wirksam, das nchste Mal, wenn das Konto
anmeldet.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne

4. Richtlinien fr die Organisationseinheit


Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
ndern der Zeitzone darstellt kleine Sicherheitslcke, da die Systemzeit nicht beeintrchtigt wird. Mit
dieser Einstellung kann lediglich Benutzer ihren bevorzugten Zeitzone anzeigen, whrend Sie mit
Domnencontrollern in verschiedenen Zeitzonen synchronisiert wird.

Gegenmanahme
Gegenmanahmen sind nicht erforderlich, da die Systemzeit von dieser Einstellung nicht betroffen ist.

Mgliche Auswirkung
Keiner.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Erstellen einer Auslagerungsdatei


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Das Windows-Betriebssystem kennzeichnet standardmig einen Abschnitt der Festplatte als virtueller
Arbeitsspeicher als die Auslagerungsdatei oder genauer gesagt, als "Pagefile.sys" bezeichnet. Er dient
als Ergnzung des Computers Arbeitsspeicher (RAM) zur Verbesserung der Leistung fr Programme
und Daten, die hufig verwendet werden. Obwohl die Datei von der Suche ausgeblendet ist, knnen
Sie mithilfe der Systemeinstellungen verwalten.
Diese Einstellung bestimmt, welche Benutzer erstellen und ndern der Gre einer Seitendatei
knnen. Bestimmt, ob Benutzer eine Auslagerungsdatei fr ein bestimmtes Laufwerk im angeben,
knnen dieLeistungsoptionenFeld befindet sich auf derErweitertauf der Registerkarte
dieSystemeigenschaften(Dialogfeld) oder durch die Verwendung von internen Anwendung Interfaces
(APIs).
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeCreatePagefilePrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Administratoren

Bewhrte Methoden
1.

Einschrnken derErstellen einer AuslagerungsdateiBenutzer Rechte fr Administratoren, die


Standardeinstellung.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig verfgen Mitglieder der Gruppe der Administratoren ber dieses Recht.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Die Gre der Auslagerungsdatei zu ndern, knnen Benutzer machen knnen sehr klein oder
Verschieben der Datei in einem stark fragmentierten Speichermedium, Leistung des Computers
verringert die verursachen.

Gegenmanahme
Einschrnken derErstellen einer AuslagerungsdateiBenutzer direkt auf Mitglieder der Gruppe
"Administratoren".

Mgliche Auswirkung
Keiner.
Beschrnken das Recht zum Mitglied der Gruppe "Administratoren" ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Erstellen eines Tokenobjekts


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Konten von einem Prozess ein Token erstellen knnen und welche
Konten es knnen dann verwenden, um Zugriff auf lokale Ressourcen zu erhalten, wenn der Prozess
NtCreateToken() oder andere APIs Token-Erstellung verwendet.
Wenn ein Benutzer sich auf dem lokalen Computer meldet oder eine Verbindung mit einem
Remotecomputer ber ein Netzwerk her, erstellt Windows Zugriffstoken des Benutzers. Das System
berprft dann das Token, um die Berechtigungsebene des Benutzers zu bestimmen. Wenn Sie ein
Recht sperren, die nderung wird sofort aufgezeichnet, aber die nderung ist nicht im Zugriffstoken
des Benutzers bernommen, bis zur nchsten Ausfhrung der Benutzer anmeldet oder eine
Verbindung herstellt.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeCreateTokenPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Wenn es erforderlich ist,
weisen Sie dieses Benutzerrecht an einen Benutzer, eine Gruppe oder ein Prozess als lokales
System.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Standardmig ist er keine
Benutzergruppen zugewiesen.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Achtung

Ein Benutzerkonto, das dieses Benutzerrecht erhlt hat die vollstndige Kontrolle ber das System und kann
dass Sie keine Benutzerkonten dieses Recht zuweisen.
Das Betriebssystem berprft Zugriffstoken eines Benutzers, um die Berechtigungsebene des
Benutzers zu bestimmen. Zugriffstoken werden erstellt, wenn Benutzer melden Sie sich auf dem
lokalen Computer oder auf einem Remotecomputer ber ein Netzwerk herstellen. Wenn Sie ein Recht
sperren, die nderung wird sofort aufgezeichnet, aber die nderung ist nicht im Zugriffstoken des

Benutzers bernommen, bis zur nchsten Ausfhrung der Benutzer anmeldet oder eine Verbindung
herstellt. Benutzer mit der Mglichkeit zum Erstellen oder ndern von Token knnen die Zugriffsstufe
fr jedes Konto auf einem Computer ndern, wenn sie derzeit angemeldet sind. Sie konnte ihre Rechte
auszuweiten, oder erstellen Sie eine DoS-Zustand.

Gegenmanahme
Weisen Sie dieErstellen eines TokenobjektsBenutzer Rechte fr alle Benutzer. Prozesse, die dieses
Recht erfordern sollte das Konto Lokales System bereits verwenden, anstatt ein separates
Benutzerkonto, die diesem Benutzer zugewiesen hat.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Globale Objekte erstellen


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer globale Objekte erstellen knnen, die fr alle Sitzungen
verfgbar sind. Benutzer knnen weiterhin Objekte erstellen, die ihre eigenen Sitzung spezifisch sind,
wenn sie nicht ber diese Berechtigung verfgen.
Ein globales Objekt ist ein Objekt, das erstellt wird, um die verwendet werden, eine beliebige Anzahl
von Prozessen oder Threads, auch wenn diese nicht in der Sitzung des Benutzers gestartet. Remote
Desktop Services verwendet globale Objekte in seine Prozesse, um Verbindungen und den Zugriff zu
erleichtern.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeCreateGlobalPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Im folgenden aufgefhrten Standardkonten

Bewhrte Methoden
1.

Alle Benutzerkonten-dieses Recht nicht zuweisen.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security SettingsLocal Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig verfgen Mitglieder der Gruppe "Administratoren" dieses Recht, als lokaler Dienst und
Netzwerkdienst-zu den untersttzten Versionen von Windows Konten. Dienst fr die
Abwrtskompatibilitt enthalten ist die Kompatibilitt mit frheren Versionen von Windows.

Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Vor Windows Server 2008 und Windows Vista enthalten die Standardwerte fr diese
Sicherheitsrichtlinie Administratoren, Dienst, Lokales System. Es gibt keine Unterschiede in der
Funktionsweise dieser Einstellung zwischen den untersttzten Versionen von Windows, die in
festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Achtung

Ein Benutzerkonto, das dieses Benutzerrecht erhlt hat die vollstndige Kontrolle ber das System und kann
dass Sie keine Benutzerkonten dieses Recht zuweisen.
Das Betriebssystem berprft Zugriffstoken eines Benutzers, um die Berechtigungsebene des
Benutzers zu bestimmen. Zugriffstoken werden erstellt, wenn Benutzer melden Sie sich auf dem
lokalen Computer oder auf einem Remotecomputer ber ein Netzwerk herstellen. Wenn Sie ein Recht
sperren, die nderung wird sofort aufgezeichnet, aber die nderung ist nicht im Zugriffstoken des
Benutzers bernommen, bis zur nchsten Ausfhrung der Benutzer anmeldet oder eine Verbindung
herstellt. Benutzer mit der Mglichkeit zum Erstellen oder ndern von Token knnen die Zugriffsstufe
fr derzeit angemeldete Konto ndern. Sie knnten ihre Rechte auszuweiten oder eine Denial-ofService (DoS)-Bedingung zu erstellen.

Gegenmanahme
Weisen Sie dieErstellen eines TokenobjektsBenutzer Rechte fr alle Benutzer. Prozesse, die dieses
Recht erfordern sollte das Konto Lokales System bereits verwenden, anstatt ein separates
Benutzerkonto mit diesem Benutzer zugewiesen.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration fr Domne Richtlinie.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Permanente freigegebene Objekte


erstellen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Dieses Benutzerrecht legt fest, welche Konten von Prozessen verwendet werden knnen, um ein
Verzeichnisobjekt erstellen, mit dem Objekt-Manager. Verzeichnisobjekte umfassen Active DirectoryObjekte, Dateien und Ordner, Drucker, Registrierungsschlssel, Prozesse und Threads. Benutzer mit

dieser Funktion knnen dauerhafte freigegebene Objekte, einschlielich Gerte, Semaphoren und
Mutexe erstellen. Dieses Benutzerrecht eignet sich fr Kernelmodus-Komponenten, die den
Objektnamespace erweitern. Da Komponenten, die grundstzlich im Kernelmodus ausgefhrt werden,
diesem Benutzer zugewiesen haben, ist es nicht erforderlich, manuell zugewiesen.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeCreatePermanentPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Benutzer mit derpermanent freigegebene Objekte erstellenBenutzerrecht neue


freigegebene Objekte erstellen und vertrauliche Daten im Netzwerk offen legen. Daher weisen
Sie dieses Recht fr alle Benutzer.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
In der StandardeinstellungLocalSystemist das einzige Konto, das ber diese Berechtigung verfgt.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfgung, die Ihnen helfen,
diese Richtlinie zu verwalten.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer mit derpermanent freigegebene Objekte erstellenBenutzerrecht neue freigegebene
Objekte erstellen und vertrauliche Daten im Netzwerk offen legen.

Gegenmanahme
Weisen Sie diepermanent freigegebene Objekte erstellenBenutzer Rechte fr alle
Benutzer. Prozesse, die dieses Recht erfordern sollte das Systemkonto, das dieses Benutzerrecht bereits
enthlt, anstatt ein separates Benutzerkonto verwenden.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Erstellen symbolischer Verknpfungen


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Dieses Benutzerrecht legt fest, ob der Benutzer vom Computer eine symbolische Verknpfung
erstellen, bei dem sie angemeldet sind.
Eine symbolische Verknpfung ist ein Dateisystem-Objekt, das auf ein anderes Dateisystem-Objekt
verweist. Das Objekt, das auf die gezeigt wird, wird das Ziel aufgerufen. Symbolische Links sind fr den
Benutzer transparent. Die Links werden als normale Dateien oder Verzeichnisse angezeigt, und sie
knnen durch den Benutzer oder die Anwendung ergriffen werden, auf dieselbe Weise.Symbolische
Verknpfungen dienen zur Untersttzung bei der Migration und Anwendungskompatibilitt mit UNIXBetriebssystemen. Microsoft hat symbolische Verknpfungen wie UNIX-Links-Funktion implementiert.
Warnungdieses Recht sollte nur vertrauenswrdigen Benutzern erteilt werden. Symbolische
Verknpfungen knnen Sicherheitsrisiken in Clientanwendungen verfgbar machen, die deren
Behandlung ausgelegt sind.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.

Konstanten: SeCreateSymbolicLinkPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Dieses Benutzerrecht sollte nur vertrauenswrdigen Benutzern zugewiesen


werden. Symbolische Verknpfungen knnen Sicherheitsrisiken in Clientanwendungen
verfgbar machen, die nicht entwickelt wurden, um sie zu behandeln.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig verfgen Mitglieder der Gruppe der Administratoren ber dieses Recht.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfgung, die Ihnen helfen,
diese Richtlinie zu verwalten.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

Befehlszeilentools
Diese Einstellung kann in Verbindung mit einer symbolischen Verknpfung dateisystemeinstellung
verwendet werden, die bearbeitet werden knnen, mit dem Befehlszeilentool, um die Arten von
symbolische Links zu steuern, die auf dem Computer zulssig sind. TypFsutil Verhalten festlegen
Symlinkevalution /?in der Befehlszeile, um weitere Informationen zufsutilund symbolische
Verknpfungen.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer mit dererstellen symbolische VerknpfungenBenutzerrecht konnte versehentlich oder
bswillig Ihres Systems symbolische Verknpfung Angriffe machen. Symbolische Verknpfung Angriffe
knnen zum ndern der Berechtigungen auf eine Datei, um die Beschdigung von Daten, um Daten zu
zerstren oder als einen DoS-Angriff verwendet werden.

Gegenmanahme
Weisen Sie diesymbolische Verknpfungen erstellenBenutzer direkt dem Standardbenutzer. Dieses
Recht auf vertrauenswrdige Administratoren zu beschrnken. Sie knnen diefsutilBefehl eine
symbolische Verknpfung-Dateisystem festlegen, herstellen steuert die Art der symbolische
Verknpfungen, die auf einem Computer erstellt werden knnen.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Debuggen von Programmen


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer zuordnen knnen, oder ffnen alle Prozesse, auch solche,
die sie nicht besitzen. Entwickler, die eigene Anwendung debuggen mssen nicht dieses Benutzerrecht
zugewiesen werden. Entwickler, die neue Systemkomponenten debuggen, bentigen dieses Benutzers
rechts. Dieses Benutzerrecht bietet Zugriff auf wichtige Komponenten des Betriebssystems.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeDebugPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Weisen Sie dieses Benutzerrecht nur vertrauenswrdigen Benutzern um Sicherheitsrisiken zu


verringern.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig verfgen Mitglieder der Gruppe der Administratoren ber dieses Recht.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Funktionen und Tools, die zum Verwalten dieser Richtlinie verfgbar
sind.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
DieProgramme DebuggenBenutzerrecht vertraulichen Computerinformationen im Systemspeicher zu
erfassen oder zum Zugreifen auf und ndern von Kernel oder Anwendung Strukturen ausgenutzt
werden kann. Einige Angriffstools Nutzen dieser Benutzer nach rechts, um verschlsselte Kennwrter
und andere private Sicherheitsinformationen zu extrahieren oder Rootkit Code einfgen. In der
Standardeinstellung dieProgramme DebuggenBenutzerrecht ist nur Administratoren zugewiesen, das
Risiko zu mindern untersttzt.

Gegenmanahme
Entfernen Sie die Konten aller Benutzer und Gruppen, die keine erfordern dieProgramme
DebuggenRecht.

Mgliche Auswirkung
Wenn Sie dieses Benutzerrecht widerrufen, kann niemand Programme debuggen. Normalen Betrieb
erfordern jedoch selten diese Funktion auf Produktionscomputern. Wenn ein Problem, die eine
Anwendung auf einem Produktionsserver gedebuggt werden muss auftritt, knnen Sie den Server
vorbergehend auf eine andere Organisationseinheit (OU) verschieben und Zuweisen derProgramme
DebuggenBenutzer direkt zu einer separaten Gruppenrichtlinie fr diese Organisationseinheit.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Zugriff vom Netzwerk auf diesen


Computer verweigern
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer daran gehindert werden, Zugriff auf einen Computer ber
das Netzwerk.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: "SeDenyNetworkLogonRight"

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Gast

Bewhrte Methoden
1.

Da alle Active Directory-Domnendienste-Programme zur Anmeldung am Netzwerk fr den


Zugriff verwenden, verwenden Sie diesen Benutzer direkt auf den Domnencontrollern
zuweisen.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmig ist diese Einstellung Gast, auf den Domnencontrollern sowie auf eigenstndigen
Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Funktionen und Tools zur Verfgung, die Ihnen helfen, diese Richtlinie
zu verwalten.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Diese Einstellung hat Vorrang vor denZugriff auf diesen Computer vom Netzwerk ausRichtlinie
festlegen, wenn beide Richtlinien ein Benutzerkontos unterliegt.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer, die ber das Netzwerk auf den Computer anmelden knnen, knnen Listen mit
Kontennamen, Gruppennamen und freigegebenen Ressourcen auflisten. Benutzer mit der
Berechtigung zum Zugriff auf freigegebene Ordner und Dateien knnen ber das Netzwerk eine
Verbindung herstellen und mglicherweise Daten anzeigen oder ndern.

Gegenmanahme
Weisen Sie dieVerweigern des Zugriffs auf diesen Computer vom Netzwerk ausBenutzer direkt auf
die folgenden Konten:
Anonymous-Anmeldung
Integrierte lokale Administratorkonto
Lokales Gastkonto
Alle Dienstkonten
Eine wichtige Ausnahme von dieser Liste ist die Dienstkonten, die verwendet werden, um Dienste zu
starten, die auf den Computer ber das Netzwerk eine Verbindung herstellen muss. Nehmen wir z. B.
fr Web-Server Zugriff auf einen freigegebenen Ordner konfiguriert wurde und Sie Inhalte in diesem
Ordner ber eine Website angezeigt. Sie mssen das Konto zu ermglichen, das IIS zum Anmelden am
Server mit dem freigegebenen Ordner ber das Netzwerk ausgefhrt wird. Dieses Benutzerrecht ist
besonders effektiv, wenn Sie konfigurieren mssen, Servern und Arbeitsstationen, auf denen
vertraulicher Informationen aufgrund der Einhaltung Aspekte behandelt wird.

Mgliche Auswirkung
Wenn Sie konfigurieren dieVerweigern des Zugriffs auf diesen Computer vom Netzwerk
ausBenutzer fr andere Konten, knnen die Funktionen der Benutzer mit bestimmten
Administratorrollen in Ihrer Umgebung einschrnken. Sie sollten sicherstellen, dass delegierte
Vorgnge dadurch nicht beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Anmelden als Batchauftrag verweigern


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung legt fest, welche Konten fr die Anmeldung mit einem Tool fr die Warteschlange
der Stapelverarbeitung planen und Auftrge in Zukunft automatisch starten gehindert werden. Die
Fhigkeit, melden Sie sich mithilfe eines Tools fr die Warteschlange der Stapelverarbeitung wird fr
jedes Konto bentigt, die zum Starten von geplanter Auftrgen mithilfe des Taskplaners verwendet
wird.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeDenyBatchLogonRight

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.
2.

Wenn Sie diese Berechtigung zuweisen, testen Sie grndlich, wie gewnscht wird.
ndern Sie diese Einstellung auf das entsprechende Gruppenrichtlinienobjekt (GPO) innerhalb
einer Domne.

3.

Anmelden als Batchauftrag verweigernverhindert, dass Administratoren oder Operatoren


verwenden ihre persnlichen Konten zum Planen von Aufgaben, das mit Business Continuity
untersttzt, wenn diese Person an andere Positionen oder Verantwortungsbereiche wechselt.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Hinweis

Diese Einstellung ist nicht kompatibel mit Computern unter Windows 2000 Server mit Service Pack 1 oder

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Funktionen und Tools zur Verfgung, die Ihnen helfen, diese Richtlinie
zu verwalten.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Diese Einstellung kann zu Konflikten mit und negieren derAnmelden als
StapelverarbeitungsauftragEinstellung.

Gruppenrichtlinie
Auf einem Computer einer Domne, einschlielich des Domnencontrollers kann dieser Richtlinie
durch eine Domnenrichtlinie berschrieben werden, kann Sie keine Einstellung der lokalen Richtlinie
ndern.
Wenn Sie den Taskplaner auf dem Domnencontroller konfigurieren mchten, berprfen Sie z. B. die
Registerkarte "Einstellungen", der zwei Standarddomnencontroller-Richtlinie und Domnenrichtlinie
GPOs in der Gruppenrichtlinien-Verwaltungskonsole (GPMC). berprfen Sie, ob das Ziel Konto

existiert nicht in derAnmelden als Batchauftrag verweigernZuweisen von Benutzerrechten und auch
ordnungsgem konfiguriert, derAnmelden als StapelverarbeitungsauftragEinstellung.
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Konten mit demAnmelden als Batchauftrag verweigernBenutzerrecht konnte zum Planen von
Auftrgen, die bermige Ressourcen beanspruchen und dazu fhren, dass eine Denial-of-ServiceBedingung verwendet werden.

Gegenmanahme
Weisen Sie dieAnmelden als Batchauftrag verweigernBenutzer direkt auf dem lokalen Konto Gast.

Mgliche Auswirkung
Wenn Sie beim Zuweisen derAnmelden als Batchauftrag verweigernBenutzer direkt auf andere
Konten, knnte die Mglichkeit, den Auftrag erforderlichen Aktivitten fr Benutzer fhren, die
bestimmte administrative Rollen zugewiesen sind verweigern. Sie sollten sicherstellen, dass die
Aufgaben nicht beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Anmelden als Dienst verweigern


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer anmelden an die Service-Anwendung auf einem
Computer verhindert werden.
Ein Dienst ist ein Anwendungstyp, der im Hintergrund ohne Benutzeroberflche ausgefhrt wird. Es
bietet zentralen Betriebssystemfeatures, wie z. B. Webserving, Protokollierung, File-Serving, drucken,
Kryptographie und Fehlerberichterstattung.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeDenyServiceLogonRight

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.
2.

Wenn Sie diese Berechtigung zuweisen, testen Sie grndlich, wie gewnscht wird.
ndern Sie diese Einstellung auf das entsprechende Gruppenrichtlinienobjekt (GPO) innerhalb
einer Domne.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Funktionen und Tools zur Verfgung, die Ihnen helfen, diese Richtlinie
zu verwalten.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Informationen zum Konfigurieren eines Diensts finden Sie unterkonfigurieren wie ein Dienst wurde
gestartet.

Gruppenrichtlinie
Auf einem Computer einer Domne, einschlielich des Domnencontrollers kann dieser Richtlinie
durch eine Domnenrichtlinie berschrieben werden, kann Sie keine Einstellung der lokalen Richtlinie
ndern.
Diese Einstellung kann zu Konflikten mit und negieren derAnmelden als DienstEinstellung.
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien

3. Richtlinien fr die Domne


4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Konten, melden Sie sich bei einer Service-Anwendung verwendet werden knnte kann so
konfigurieren und starten die neue nicht autorisierte Dienste, wie z. B. eine Keylogger oder anderer
schdlicher Software. Der Vorteil der angegebenen Gegenmanahme Kbps durch die Tatsache, dass
nur Benutzer mit Administratorrechten knnen Services installiert und konfiguriert, und ein Angreifer,
der bereits diese Zugriffsebene erreicht hat, konnte den Dienst mit dem Systemkonto ausgefhrt
konfigurieren.

Gegenmanahme
Es wird empfohlen, dass Sie keine Zuweisen derAnmelden als Dienst verweigernBenutzer fr alle
Konten. Hierbei handelt es sich um die Standardkonfiguration. Organisationen, die Sicherheit besorgt
sind mglicherweise Zuweisen dieser Benutzer Recht Gruppen und Konten, wenn sie sicher sind, dass
sie nie eine Dienst-Anwendung anmelden mssen.

Mgliche Auswirkung
Wenn Sie weisen dieAnmelden als Dienst verweigernBenutzer direkt auf bestimmte Konten, Dienste
mglicherweise nicht gestartet und kann einen Denial-of-Service-Zustand fhren.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Lokal anmelden verweigern


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer daran gehindert werden, direkt an den ComputerKonsole anmelden.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeDenyInteractiveLogonRight

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Weisen Sie dieLokal anmelden verweigernBenutzer direkt auf das lokale Gastkonto
mglicherweise nicht autorisierte Benutzer beschrnken.

2.

Testen Sie Ihre nderungen an diese Einstellung zusammen mit derLokal anmelden
zulassenEinstellung, um festzustellen, ob das Benutzerkonto, das beide Richtlinien werden.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Hinweis

Diese Einstellung ist nicht kompatibel mit Computern unter Windows 2000 Server mit Service Pack 1 oder

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Wenn Sie diese Einstellung jeder Gruppe anwenden, nicht werden lokal anmelden.

Gruppenrichtlinie
Diese Einstellung hat Vorrang vor denLokal anmelden zulassenRichtlinie festlegen, wenn beide
Richtlinien ein Benutzerkontos unterliegt.
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Konto mit der Mglichkeit zur lokalen Anmeldung konnte zum Anmelden an der Konsole des
Computers verwendet werden. Dieses Benutzerrecht nicht auf autorisierte Benutzer beschrnkt ist, die
in der Konsole des Computers anmelden mssen, knnen nicht autorisierte Benutzer herunterladen
und Ausfhren von Malware, die ihre Benutzerrechte erhht.

Gegenmanahme
Weisen Sie dieLokal anmelden verweigernBenutzer direkt auf dem lokalen Konto Gast. Wenn Sie
optionale Komponenten wie z. B. ASP.NET installiert haben, empfiehlt es sich, dieses Benutzerrecht
zustzliche Konten zuweisen, die von diesen Komponenten erforderlich sind.

Mgliche Auswirkung
Wenn Sie beim Zuweisen derLokal anmelden verweigernrechts Benutzer weitere Konten, knnen die
Funktionen der Benutzer auf bestimmte Rollen in Ihrer Umgebung zugewiesen sind
einschrnken. Allerdings sollte dieses Benutzerrecht explizit das ASPNET-Konto auf dem Computer
zugewiesen werden, die mit der Webserver-Rolle konfiguriert sind. Sie sollten sicherstellen, dass
delegierte Aktivitten nicht beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Anmelden ber Remotedesktopdienste


verweigern
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer anmelden am Computer ber eine
Remotedesktopverbindung ber Remote Desktop Services verhindert werden. Es ist mglich, dass ein
Benutzer eine Remotedesktopverbindung mit einem bestimmten Server herzustellen, jedoch nicht auf
der Konsole von diesem Server anmelden.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeDenyRemoteInteractiveLogonRight

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden

1.

ffnen Sie eine Remotedesktopverbindung und melden Sie sich bei dem Computer kann,
fgen das Benutzerkonto hinzu oder Entfernen von Benutzerkonten aus der Gruppe
Remotedesktopbenutzer steuern.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Remote Desktop Services wurde zuvor als Terminaldienste bezeichnet. Der Benennungsunterschied
wirkt sich nicht darauf aus, wie diese Einstellung funktioniert.

Hinweis

Diese Einstellung ist nicht kompatibel mit Computern unter Windows 2000 Server mit Service Pack 1 oder

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
DieRemote SystemEigenschaft steuert die Einstellungen fr Remotedesktopdienste (Zulassen oder
verhindern, dass Remoteverbindungen mit dem Computer) und fr die Remoteuntersttzung
(Remoteuntersttzungsverbindungen mit diesem Computer zulassen).

Gruppenrichtlinie
Diese Einstellung hat Vorrang vor denAnmelden ber Remotedesktopdienste zulassenRichtlinie
festlegen, wenn beide Richtlinien ein Benutzerkontos unterliegt.
Gruppenrichtlinien werden in der folgenden Reihenfolge angewendet. berschreiben diese
Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der Gruppenrichtlinie.

1. Einstellungen lokaler Richtlinien


2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Konto mit dem Recht zum Anmelden ber Remotedesktopdienste konnte fr die Anmeldung an
der Remotekonsole des Computers verwendet werden. Dieses Benutzerrecht nicht auf autorisierte
Benutzer beschrnkt ist, die Anmeldung an der Konsole des Computers bentigen, mglicherweise
bswillige Benutzern herunterladen und Ausfhren von Software, die die Benutzerrechte erhht.

Gegenmanahme
Weisen Sie dieAnmelden ber Remotedesktopdienste VerweigernBenutzer direkt auf das
integrierte lokale Gastkonto und alle Dienstkonten. Wenn Sie optionale Komponenten, wie z. B.
ASP.NET installiert haben empfiehlt es sich, dieses Benutzerrecht zustzliche Konten zuweisen, die von
diesen Komponenten erforderlich sind.

Mgliche Auswirkung
Wenn Sie zuweisen derAnmelden ber Remotedesktopdienste VerweigernBenutzer direkt auf
andere Gruppen, knnen die Funktionen von Benutzern, die bestimmte administrative Rollen in Ihrer
Umgebung sind einschrnken. Konten, die dieses Benutzerrecht besitzen Verbindung keine mit dem
Computer ber Remote Desktop Services oder die Remoteuntersttzung. Sie sollten sicherstellen, dass
die Aufgaben nicht beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Ermglichen, dass Computer- und


Benutzerkonten fr
Delegierungszwecke vertraut wird
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer festlegen, knnen diefr Delegierungszwecke
vertrautfr einen Benutzer oder Computer-Objekt festlegen.
Delegierung von Sicherheitskonten bietet die Mglichkeit, eine Verbindung mit mehreren Servern
herstellen, und jede servernderung behlt die Anmeldeinformationen fr die Authentifizierung des

ursprnglichen Clients.Delegierung der Authentifizierung ist eine Funktion, die Client- und
serveranwendungen verwenden, wenn sie mehrere Ebenen aufweisen.Sie knnen einen ffentlichen
Dienst auf Client-Anmeldeinformationen verwenden, um zu einer Anwendung zu authentifizieren oder
Datenbankdienst.Fr diese Konfiguration mglich ist mssen der Client und der Server unter Konten
ausgefhrt, die fr Delegierungszwecke vertraut sind.
Nur Administratoren mit denAktivieren von Computer- und Benutzerkonten fr
Delegierungszwecke vertraut seinAnmeldeinformationen kann Delegierung einrichten.DomnenAdmins und Organisations-Admins ber diese Anmeldeinformationen verfgen.Die Prozedur
ermglicht es einen Benutzer fr Delegierungszwecke vertraut wird, hngt von der Funktionsebene der
Domne ab.
Das Benutzer oder Computer-Objekt, das dieses Recht erteilt bentigen Schreibzugriff auf die
Kontosteuerungsflags.Ein Serverprozess ausgefhrt auf einem Computer (oder in einem
Benutzerkontext), die fr Delegierungszwecke vertraut wird kann mithilfe der delegierten
Anmeldeinformationen eines Clients auf Ressourcen auf einem anderen Computer zugreifen.Allerdings
mssen das Clientkonto Schreibzugriff auf die Kontosteuerungsflags des Objekts.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeEnableDelegationPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Es gibt keinen Grund, weisen Sie dieses Benutzerrecht fr alle Benutzer auf Mitgliedsservern
und Arbeitsstationen, die zu einer Domne gehren, da es in diesen Kontexten keine
Bedeutung hat.Es ist nur relevant auf Domnencontrollern und eigenstndigen Computern.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows.Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.Allerdings

konfigurieren diese Einstellung unterschiedliche Effekte auf Servern mglicherweise bei diesen Servern
verschiedene Funktionsebenen.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
ndern diese Einstellung kann die Kompatibilitt mit Clients, Dienste und Programme auswirken.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomnenrichtlinie) und in der
lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Missbrauch von derAktivieren von Computer- und Benutzerkonten fr Delegierungszwecke
vertraut seinBenutzerrecht knnen nicht autorisierte Benutzer anderen Benutzern im Netzwerk
annehmen.Ein Angreifer knnte diese Berechtigung, um auf Netzwerkressourcen zuzugreifen und nur
schwer bestimmen, wo nach einem Sicherheitsvorfall ausnutzen.

Gegenmanahme
DieAktivieren von Computer- und Benutzerkonten fr Delegierungszwecke vertraut
seinBerechtigung zugeordnet sein sollte, nur dann, wenn ein klares fr seine Funktionalitt
bentigen.Wenn Sie dieses Recht zuweisen, sollten Sie die Verwendung der eingeschrnkten
Delegierung steuern, was die delegierten Konten mglich untersuchen.Dieses Recht ist auf
Domnencontrollern standardmig der Gruppe "Administratoren" zugewiesen.

Hinweis

Es gibt keinen Grund, weisen Sie dieses Benutzerrecht fr alle Benutzer auf Mitgliedsservern und Arbeitssta
keine Bedeutung hat.Es ist nur relevant auf Domnencontrollern und eigenstndigen Computern.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Erzwingen des Herunterfahrens von


einem Remotesystem
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer zum Herunterfahren eines Computers von einem
Remotestandort im Netzwerk aus. Dadurch knnen Mitglieder der Gruppe "Administratoren" oder
bestimmte Benutzer, Computer (fr Aufgaben wie z. B. ein Neustart) von einem Remotestandort aus zu
verwalten.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeRemoteShutdownPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Administratoren

Bewhrte Methoden
1.

Beschrnken Sie diesen Benutzer explizit rechts auf Mitglieder der Gruppe "Administratoren"
oder andere speziell zugewiesenen Rollen, die diese Funktion, wie z. B.-User Betriebspersonal
erfordern.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung Administratoren und Serveroperatoren auf Domnencontrollern
und Administratoren auf eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server


Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen


Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingefhrt. Es gibt keine
Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten Versionen von
Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Diese Einstellung muss auf dem Computer angewendet werden, die Remote zugegriffen wird.

Gruppenrichtlinie
Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomnenrichtlinie) und in der
lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Jeder Benutzer, das Herunterfahren eines Computers knnte eine Denial-of-Service-Bedingung
auftritt. Daher sollte diese Berechtigung strikt beschrnkt werden.

Gegenmanahme
Einschrnken derErzwingen des Herunterfahrens von einem Remotesystem ausrechts Mitglieder
der Gruppe "Administratoren" oder andere Benutzer ausdrcklich zugewiesen Rollen, die diese
Funktion, wie z. B.-User Betriebspersonal erfordern.

Mgliche Auswirkung
Auf einem Domnencontroller, wenn Sie entfernen dieErzwingen des Herunterfahrens von einem
Remotesystem ausBenutzer direkt aus der Gruppe "Serveroperatoren", knnen die Funktionen der
Benutzer mit bestimmten Administratorrollen in Ihrer Umgebung einschrnken. Sie sollten
sicherstellen, dass delegierte Aktivitten nicht beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Generieren von
sicherheitsberwachungen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Konten durch einen anderen Prozess verwendet werden knnen,
um Audit-Datenstze im Sicherheitsprotokoll zu generieren. Local Security Authority Subsystem
Service schreibt Ereignisse in das Protokoll. Die Informationen knnen im Sicherheitsprotokoll nicht
autorisierten Zugriff zu verfolgen.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: Agentaktionskonto

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Lokaler Dienst
Network Service (Netzwerkdienst)

Bewhrte Methoden
1.

Da das berwachungsprotokoll potenziell eine Sicherheitslcke Gefhrdung ein Kontos sein


kann, stellen Sie sicher, dass nur die Konten Lokaler Dienst und Netzwerkdienst ist
derGenerieren von sicherheitsberwachungenBenutzer zugewiesen.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung auf Domnencontrollern und eigenstndigen Servern lokaler
Dienst und Netzwerkdienst.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Missbrauch dieses Benutzerrecht kann dazu fhren, Generierung vieler berwachungsereignisse, die
potenziell Verbergen eines Angriffs oder einen Denial-of-Service-(DoS) verursacht, wenn dieAudit:
Herunterfahren des Systems zu Sicherheits-Audits protokolliertSicherheitsrichtlinie aktiviert
ist. Weitere Informationen finden Sie unterAudit: Herunterfahren des Systems sofort, wenn Sie zu.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein bswilliger Benutzer knnte Konten verwenden, die in das Sicherheitsprotokoll fllen Sie dieses
Protokoll mit sinnlosen Ereignissen schreiben knnen. Wenn der Computer konfiguriert ist, um
Ereignisse bei Bedarf berschrieben, knnen bswillige Benutzer diese Methode Beweise fr seine
nicht autorisierten Aktivitten entfernen. Wenn der Computer heruntergefahren wird, wenn es konnte
nicht in das Sicherheitsprotokoll geschrieben werden, und es nicht so konfiguriert ist, dass die
Protokolldateien automatisch gesichert konfiguriert ist, kann diese Methode zum Erstellen einer DoSBedingung verwendet werden.

Gegenmanahme
Stellen Sie sicher, dass nur die Konten Lokaler Dienst und Netzwerkdienst haben dieGenerieren von
sicherheitsberwachungenBenutzer zugewiesen.

Mgliche Auswirkung
Keiner.
Einschrnken derGenerieren von sicherheitsberwachungenBenutzer direkt auf die Konten Lokaler
Dienst und Netzwerkdienst ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Identittswechsel eines Clients nach der


Authentifizierung
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Programme Identitt eines Benutzers oder einer anderen
angegebenen Kontos und fr den Benutzer zulssig sind. Wenn dieses Benutzerrecht fr diese Art von
Identittswechsel erforderlich ist, kann kein nicht autorisierter Benutzer dazu fhren, dass einen Client
eine Verbindung herstellen (z. B. durch Remoteprozeduraufruf (RPC) oder named Pipes) an einen
Dienst, den sie erstellt haben, um diesen Client zu imitieren. (Eine solche Aktion knnte der unbefugte
Benutzer Berechtigungen fr administrative oder Systemebenen erhhen.)
Identittswechsel ist die Fhigkeit eines Threads in einem Sicherheitskontext ausfhren, der sich aus
dem Kontext des Prozesses unterscheidet, der den Thread besitzt. Identittswechsel soll die Sicherheit
von Client/Server-Anwendung erfllen. Bei Ausfhrung im Sicherheitskontext des Clients ist"ein
Dienst" der Client zu einem gewissen Grad. Einer der Threads den Dienst verwendet ein Zugriffstoken,
das die Anmeldeinformationen des Clients den Zugriff auf die Objekte auf die der Client zugreifen
kann darstellt.
Der Hauptgrund fr den Identittswechsel werden dazu fhren, dass Access berprft die Identitt des
Clients ausgefhrt wird. Verwenden die Identitt des Clients fr Zugriff berprft verursachen Zugriff
auf werden eingeschrnkt oder erweitert werden, je nachdem, was der Client berechtigt ist.
Dienste, die vom Dienstkontroll-Manager gestartet werden haben die integrierte Dienstgruppe
Zugriffstoken standardmig hinzugefgt. COM-Servern, die von der COM-Infrastruktur gestartet und
fr die Ausfhrung unter einem bestimmten Konto konfiguriert sind, haben auch die Dienstgruppe
Zugriffstoken hinzugefgt. Daher werden diese Prozesse dieses Benutzerrecht zugewiesen, beim
Starten.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeImpersonatePrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Standardwerte
Nicht definiert

Bewhrte Methoden
1.

Ein Benutzer kann ein Zugriffstoken imitieren, wenn eine der folgenden Ursachen vorhanden
ist:
o Das Zugriffstoken, das Identitt angenommen wird, ist fr diesen Benutzer.
o Der Benutzer in dieser Sitzung mit dem Netzwerk mit expliziten
Anmeldeinformationen angemeldet das Zugriffstoken zu erstellen.

Die angeforderte Datenschutzebene ist kleiner als Identitt, wie z. B. anonym oder
identifizieren.
Aufgrund dieser Faktoren mssen nicht in der Regel Benutzer diesem Benutzer zugewiesen
haben.
o

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung auf Domnencontrollern und eigenstndige ServerAdministratoren, lokaler Dienst, Netzwerkdienst und Service.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.

Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Angreifer mit denAnnehmen der Clientidentitt nach AuthentifizierungBenutzerrecht Erstellen
eines Diensts, Irrefhrung von einem Client in Verbindung mit dem Dienst und diesem Computer zum
Erhhen der Zugriffsebene des Angreifers, der den Computer dann zu imitieren.

Gegenmanahme
Auf Mitgliedsservern sicher, dass nur Administratoren und Dienstgruppen (Lokaler Dienst,
Netzwerkdienst und Service) ber dieAnnehmen der Clientidentitt nach
AuthentifizierungBenutzer zugewiesen.

Mgliche Auswirkung
In den meisten Fllen wirkt sich diese Konfiguration nicht. Wenn Sie optionale Komponenten wie z. B.
ASP.NET oder IIS installiert haben, mssen Sie mglicherweise zum Zuweisen derAnnehmen der
Clientidentitt nach Authentifizierungrechts Benutzer weitere Konten, die von diesen Komponenten,
wie z. B. IUSR_ erforderlich sind< ComputerName >IIS_WPG, ASP.NET oder IWAM_< ComputerName >.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Arbeitssatz eines Prozesses vergrern


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer erhhen oder verringern die Gre des Workingsets
eines Prozesses knnen. Der Arbeitssatz eines Prozesses ist der Satz von Speicherseiten, die derzeit fr
den Prozess im physischen RAM sichtbar. Diese Seiten sind resident und fr eine Anwendung
verwenden, ohne dass ein Seitenfehler ausgelst werden. Die minimale und maximale Gre der
Arbeitsseiten Einfluss auf den virtuellen Speicher Auslagern des Verhaltens eines Prozesses.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeIncreaseWorkingSetPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Sie sollten Benutzer beachten, negative Leistung zur Probleme auftreten, wenn sie diese
Einstellung ndern.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig wird dieses Recht Standardbenutzer haben.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Erhhen die Gre des Workingsets fr einen Prozess verringert die Menge des physischen Speichers,
der fr den Rest des Systems verfgbar ist.

Gegenmanahme
Erhhen des Benutzers Bewusstsein der Anstieg der Arbeitssatz eines Prozesses und wie Sie erkennen,
dass ihr System ungnstig beeinflusst wird, wenn sie diese Einstellung ndern.

Mgliche Auswirkung
Keiner.
Standardbenutzer den Arbeitssatz eines Prozesses erhhen, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Anheben der Zeitplanungsprioritt


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzerkonten die Basis Priorittsklasse eines Prozesses erhhen
knnen. Es ist kein privilegierter Vorgang, um die relative Prioritt innerhalb einer Priorittsklasse zu
erhhen. Dieses Benutzerrecht ist nicht erforderlich, Verwaltungstools, die mit dem Betriebssystem
geliefert werden, jedoch knnen Sie nach Tools zur Softwareentwicklung erforderlich sein.
Diese Einstellung wird auerdem bestimmt, welche Konten einen Prozess mit Schreibzugriff auf einen
anderen Prozess verwenden knnen, um die Ausfhrungsprioritt zu erhhen, die dem anderen
Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Planungsprioritt eines
Prozesses ber die Benutzeroberflche des Task-Managers ndern.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeIncreaseBasePriorityPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert
Administratoren

Bewhrte Methoden
1.

Knnen Sie den Standardwert, Administratoren, als das einzige Konto, das zum Steuern von
Planungsprioritten Prozess verantwortlich.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung die Administratoren auf Domnencontrollern und auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Benutzer, der dieses Benutzerrecht zugewiesen ist konnte die Planungsprioritt eines Prozesses zu
Echtzeit erhhen, die wenig Verarbeitungszeit fr alle anderen Prozesse lassen und kann zu einem
Denial-of-Service-Bedingung fhren.

Gegenmanahme
Stellen Sie sicher, dass nur Administratoren haben dieAnheben der ZeitplanungspriorittBenutzer
zugewiesen.

Mgliche Auswirkung
Keiner.
Einschrnken derAnheben der ZeitplanungspriorittBenutzer direkt auf Mitglieder der Gruppe
"Administratoren" ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Laden und Entfernen von


Gertetreibern
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer das dynamische Laden und Entladen von
Gertetreibern. Dieses Benutzerrecht ist nicht erforderlich, wenn ein signierter Treiber fr die neue
Hardware bereits in der Datei "Driver.cab" auf dem Computer vorhanden ist. Gertetreiber werden als
hoch privilegierter Code ausgefhrt.
Windows untersttzt die Plug & Play-Spezifikationen, die definieren, wie ein Computer erkennen und
neu hinzugefgte Hardware konfigurieren und den Gertetreiber automatisch installieren kann.Vor der
Plug & Play mussten Benutzer Gerte vor dem Anfgen an den Computer manuell
konfigurieren. Dieses Modell ermglicht es einem Benutzer in der Hardware, dann sucht Windows
nach einem Treiberpaket geeignetes Gert anschlieen und ohne Beeintrchtigung anderer Gerte
funktioniert automatisch konfiguriert.
Da die Gertetreibersoftware ausgefhrt wird, wird ein Teil des Betriebssystems mit unbeschrnktem
Zugriff auf den gesamten Computer, ist es wichtig, dass nur bekannte und autorisierte Gertetreiber
zugelassen werden.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeLoadDriverPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Standardwerte
Nicht definiert

Bewhrte Methoden
1.

Aufgrund des Sicherheitsrisikos weisen Sie dieses Benutzerrecht fr alle Benutzer, eine Gruppe
oder ein Prozess, der nicht ber das System bernehmen mchten.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung Druck-Operatoren und Administratoren auf Domnencontrollern
und Administratoren auf eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server


Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen


Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Gertetreiber werden als hoch privilegierter Code ausgefhrt. Ein Benutzer mit derLaden und
Entladen von GertetreibernBenutzerrecht konnte unbeabsichtigt Malware, die getarnt als

Gertetreiber installieren. Administratoren sollten vorsichtig vor, und nur Treiber mit besttigten
digitalen Signaturen installieren.

Hinweis

Sie mssen dieses Benutzerrecht besitzen oder ein Mitglied der lokalen Gruppe "Administratoren" einen neu
lokalen Drucker verwalten und Konfigurieren von Standardeinstellungen fr Optionen wie Duplexdruck.

Gegenmanahme
Weisen Sie dieLaden und Entladen von GertetreibernBenutzer nach rechts, um alle Benutzer oder
nur der Gruppe Administratoren auf Mitgliedsservern. Weisen Sie auf Domnencontrollern dieses
Benutzerrecht fr alle Benutzer oder die Gruppe Domnen-Admins.

Mgliche Auswirkung
Wenn Sie entfernen dieLaden und Entladen von GertetreibernBenutzer direkt aus der Gruppe der
Druck-Operatoren oder andere Konten, knnen die Funktionen der Benutzer mit bestimmten
Administratorrollen in Ihrer Umgebung einschrnken. Sie sollten sicherstellen, dass die Aufgaben nicht
beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Sperren von Seiten im Speicher


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Konten einen Prozess verwenden knnen, um Daten im physischen
Speicher zu halten, die verhindert, dass den Computer die Daten in den virtuellen Speicher auf einem
Datentrger auszulagern.
Normalerweise kann eine Anwendung unter Windows fr mehr physischen Speicher aushandeln und
als Antwort auf die Anforderung, die Anwendung wird gestartet, die Daten aus dem RAM (z. B. der
Datencache) auf einen Datentrger zu verschieben. Wenn auslagerungsfhigen Speichers auf einem
Datentrger verschoben wird, erfolgt automatisch mehr RAM fr das Betriebssystem zu verwenden.
Aktivieren diese Einstellung fr ein bestimmtes Konto (ein Benutzerkonto oder ein Prozesskonto fr
eine Anwendung) verhindert, dass die Paginierung der Daten. Somit betrgt die Speichermenge, die
von Windows unter Druck freigeben kann. Dies kann zu Leistungseinbuen fhren.

Hinweis

Konfigurieren Sie diese Einstellung, variiert die Leistung des Windows-Betriebssystems abhngig, wenn ein
werden und sie virtualisierte Bilder sind. Leistung unterscheiden sich auch zwischen frheren und spteren V

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeLockMemoryPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
Bewhrte Methoden sind abhngig von der Plattformarchitektur und die Anwendung, die auf diesen
Plattformen ausgefhrt.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses
Themas.Vorschlge fr die Implementierung unterscheidet sich jedoch abhngig, wenn eine
Anwendung auf 32-Bit- oder 64-Bit-Systemen ausgefhrt werden und sie virtualisierte Bilder sind.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer mit derSperren von Seiten im SpeicherBenutzerrecht konnte physischen Speicher
zuzuweisen, fr verschiedene Prozesse, die wenig oder keinen Arbeitsspeicher fr andere Prozesse
lassen und dazu fhren, dass ein Denial-of-Service-Bedingung konnte.

Gegenmanahme
Weisen Sie dieSperren von Seiten im SpeicherBenutzer fr alle Konten.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Anmelden als
Stapelverarbeitungsauftrag
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Konten mithilfe eines Batch-Warteschlange Tools wie dem
Taskplaner-Dienst anmelden knnen. Wenn ein Administrator den Assistenten zum Hinzufgen eines
geplanten Tasks zum Planen eines Tasks fr die Ausfhrung unter einem bestimmten Benutzernamen
und ein Kennwort verwendet wird, wird diesem Benutzer automatisch zugewiesen derAnmelden als
StapelverarbeitungsauftragRecht. Wenn der geplante Zeitpunkt eingeht, der Taskplaner-Dienst fr
den Benutzer als Stapelverarbeitungsauftrag statt als interaktiver Benutzer anmeldet, und der Task im
Sicherheitskontext des Benutzers ausgefhrt wird.
Diese Einstellung ist gewhrleistet die Kompatibilitt mit lteren Versionen von Windows.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeBatchLogonRight

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Standardwerte
Nicht definiert

Bewhrte Methoden

1.

Seien Sie vorsichtig, wenn Sie dieses Recht auf bestimmte Benutzer aus Sicherheitsgrnden
zuweisen. Die Standardeinstellungen sind in den meisten Fllen ausreichend.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung fr Administratoren, Sicherungsoperatoren und
Leistungsprotokollbenutzer auf Domnencontrollern und auf eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
InWindows Server 2008 R2die Gruppe der Leistungsprotokollbenutzer als Standardgruppe fr diese
Einstellung hinzugefgt wurde. Andere wurde nicht verndert wie diese Einstellung funktioniert
zwischen auf untersttzten Versionen von Windows, die in festgelegt werden dieBetrifftListe am
Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Taskplaner wird automatisch dieses Recht erteilt, wenn ein Benutzer eine Aufgabe plant. Die
Verwendung dieses Verhalten berschreiben dieAnmelden als Batchauftrag verweigernEinstellung
Zuweisen von Benutzerrechten.
Gruppenrichtlinien werden in der folgenden Reihenfolge angewendet, die Einstellungen auf dem
lokalen Computer bei der nchsten Aktualisierung der Gruppenrichtlinie berschrieben werden:

1.
2.
3.
4.

Einstellungen lokaler Richtlinien


Website-Richtlinien
Richtlinien fr die Domne
Richtlinien fr die Organisationseinheit

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
DieAnmelden als StapelverarbeitungsauftragBenutzerrecht stellt ein Sicherheitsrisiko mit geringem
Risiko. In den meisten Organisationen sind die Standardeinstellungen ausreichend. Mitglieder der
lokalen Gruppe Administratoren haben dieses Recht standardmig.

Gegenmanahme
Sie sollten die ermglichen dieses Benutzerrecht automatisch zu verwalten, wenn Sie geplante Tasks
fr bestimmte Benutzerkonten ausgefhrt werden soll. Wenn Sie nicht auf diese Weise den Taskplaner
verwenden mchten, konfigurieren Sie dieAnmelden als StapelverarbeitungsauftragRechte zum nur
das lokale Dienstkonto.
Fr IIS-Server sollten Sie diese Richtlinie lokal anstelle von durch domnenbasierte Gruppenrichtlinien
konfigurieren, die lokale IUSR_ sicherstellen zu knnen< ComputerName >und IWAM_<
ComputerName >Konten haben dieses Benutzerrecht.

Mgliche Auswirkung
Wenn Sie konfigurieren dieAnmelden als Stapelverarbeitungsauftragmit domnenbasierte
Gruppenrichtlinien festlegen, der Computer kann nicht den Benutzer direkt Konten zuweisen, die fr
geplante Auftrge im Taskplaner verwendet werden. Wenn Sie optionale Komponenten wie z. B.
ASP.NET oder IIS installieren, mssen Sie dieses Benutzerrecht zustzliche Konten zuweisen, die von
diesen Komponenten erforderlich sind. IIS erfordert z. B. Zuweisung von diesem Benutzer direkt zu der
Gruppe "IIS_WPG" IUSR_< ComputerName >ASPNET und IWAM_< ComputerName >Konten.Wenn
dieses Benutzerrecht nicht zu dieser Gruppe und diese Konten zugewiesen ist, kann nicht IIS einiger
COM-Objekte ausgefhrt werden, die fr die ordnungsgeme Funktionalitt erforderlich sind.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Melden Sie als Dienst an


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung legt fest, welche Dienstkonten einen Prozess als Dienst registrieren knnen. Einen
Prozess unter einem Dienstkonto ausgefhrt, umgeht menschlichen Eingriff.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeServiceLogonRight

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Minimieren Sie die Anzahl der Konten, die dieses Benutzerrecht gewhrt wird.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung Netzwerkdienst auf Domnencontrollern und Netzwerkdienst auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
ndern der StandardeinstellungenWindows Server 2008 R2undWindows 7von nicht darin, dass nur das
NETZWERKDIENST-Konto dieses Recht besitzt standardmig definiert. Jeder Dienst, der unter einem
anderen Benutzerkonto ausgefhrt wird, muss dieses Benutzerrecht zugewiesen werden.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Die EinstellungAnmeldung als Dienst verweigernhat Vorrang vor dieser Einstellung, wenn beide
Richtlinien ein Benutzerkontos unterliegt.
Gruppenrichtlinien werden in der folgenden Reihenfolge angewendet, die Einstellungen auf dem
lokalen Computer bei der nchsten Aktualisierung der Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

berlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
DieAnmelden als DienstBenutzerrecht ermglicht Konten mit der Netzwerkdienste oder Dienste, die
kontinuierlich auf einem Computer ausgefhrt wird, auch wenn kein Benutzer an der Konsole
angemeldet ist. Das Risiko ist die Tatsache, dass nur Benutzer mit Administratorrechten installieren und
Konfigurieren von Diensten knnen reduziert. Ein Angreifer, der bereits diese Zugriffsebene erreicht
hat, kann den Dienst mit dem lokalen Systemkonto ausgefhrt konfigurieren.

Gegenmanahme
Definitionsgem das Netzwerkdienstkonto verfgt dieAnmelden als DienstRecht. Dieses Recht wird
ber die Gruppenrichtlinie nicht gewhrt. Sie sollten die Anzahl der anderen Konten minimieren, die
dieses Benutzerrecht gewhrt wird.

Mgliche Auswirkung
Auf den meisten Computern einschrnken derAnmelden als DienstBenutzer direkt auf die integrierten
Konten Lokales System, lokaler Dienst und Netzwerkdienst ist die Standardkonfiguration, und es gibt
keine negativen Auswirkungen. Jedoch wenn Sie optionale Komponenten wie z. B. ASP.NET oder IIS
installiert haben, mssen Sie mglicherweise zum Zuweisen derAnmelden als Dienstrechts Benutzer
weitere Konten, die von diesen Komponenten erforderlich sind. IIS muss das Benutzerkonto ASPNET
dieses Benutzerrecht explizit erteilt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Verwalten von berwachungs- und


Sicherheitsprotokollen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung legt fest, welche Benutzer Object Access-berwachungsoptionen fr einzelne
Ressourcen wie Dateien, Active Directory-Objekte und Registrierungsschlssel angeben knnen. Diese
Objekte geben, dass ihre System Access Control lists, (Systemzugriffssteuerungsliste SACL). Ein
Benutzer, der dieses Benutzerrecht zugewiesen ist, kann auch anzeigen und Lschen des
Sicherheitsprotokolls in der Ereignisanzeige. Weitere Informationen zu den Objektzugriff
berwachungsrichtlinie, finden Sie unterObjektzugriff [Auditing_Events].
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: Berechtigung "SeSecurityPrivilege"

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Administratoren
Nicht definiert

Bewhrte Methoden
1.
2.

berprfen Sie bevor dieses Recht aus einer Gruppe entfernen, ob dieses Recht abhngig sind.
Im Allgemeinen ist es nicht notwendig, die dieses Benutzerrecht auf andere Gruppen als
Administratoren zuweisen.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung die Administratoren auf Domnencontrollern und auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
berwachung von Objektzugriffsversuchen werden nicht ausgefhrt, es sei denn, Sie verwenden den
Editor fr lokale Gruppenrichtlinien, der Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder das
Befehlszeilenprogramm "Auditpol" aktivieren.
Weitere Informationen zu den Objektzugriff berwachungsrichtlinie, finden Sie unterObjektzugriff
[Auditing_Events]. Informationen ber Auditpol finden BefehlszeilenreferenzAuditpol [Vista].

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien

3. Richtlinien fr die Domne


4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Jeder Benutzer mit derVerwalten berwachung und SicherheitsprotokollenBenutzerrecht kann das
Sicherheitsprotokoll, um wichtige Beweise fr nicht autorisierte Aktivitten lschen Lschen.

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Gruppe Administratoren ist dieVerwalten berwachung und
SicherheitsprotokollenRecht.

Mgliche Auswirkung
Einschrnken derVerwalten berwachung und SicherheitsprotokollenBenutzer direkt auf der
lokalen Gruppe Administratoren ist die Standardkonfiguration.

Warnung

Gruppen auer der lokalen Gruppe Administratoren dieses Benutzerrecht zugewiesen wurden, Entfernen die
einer anderen Anwendung mglicherweise. berprfen Sie bevor dieses Recht aus einer Gruppe entfernen,

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

ndern einer Objekt-Beschriftung


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Berechtigung wird bestimmt, welche Benutzerkonten die Bezeichnung der Integritt von
Objekten wie Dateien, Registrierungsschlssel oder Prozesse, die im Besitz von anderen Benutzern
gendert werden knnen. Prozesse, die unter einem Benutzerkonto ausgefhrt wird, knnen die
Bezeichnung eines Objekts im Besitz dieses Benutzers auf eine niedrigere Ebene ohne diese
Berechtigung ndern.
Die Bezeichnung fr die Integritt wird durch das Feature Windows Integrity Steuerelemente (WIC)
verwendet, die in Windows Server 2008 und Windows Vista eingefhrt wurde. WIC verhindert, dass
niedrigeren Integritt Prozesse hherer Integritt Prozesse ndern, indem Sie Objekte auf dem System
eine der sechs mglichen Bezeichnungen zuweisen. Obwohl NTFS Datei- und Ordnerberechtigungen,
die freigegebene Steuerelemente auf Objekte sind hnlich wie, sind die WIC-Integrittsebenen

obligatorische Steuerelemente, die Infrastrukturelemente und vom Betriebssystem erzwungen


werden. Die folgende Liste beschreibt die Integrittsstufen von der niedrigsten zur hchsten:
UntrustedStandard-Zuweisung fr Prozesse, die anonym angemeldet sind.
NiedrigStandard-Zuweisung fr Prozesse, die mit dem Internet zu interagieren.
MittelStandard-Zuweisung fr Standardbenutzerkonten und jedes Objekt, das mit einer
niedrigeren oder hheren Integrittsstufe nicht explizit festgelegt ist.
HoheStandard-Zuweisung fr Administratorkonten und Prozesse, die auf die Ausfhrung mit
Administratorrechten anfordern.
SystemZuweisung fr Windows-Kernel und Core Services Standard.
Installervon Installationsprogrammen verwendet wird, um die Software zu installieren. Es ist
wichtig, dass nur vertrauenswrdige Software auf Computern installiert ist, da Objekte, die der
Integrittsstufe des Installationsprogramms zugewiesen sind installieren knnen, ndern und
deinstallieren Sie alle anderen Objekte.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeRelabelPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Geben Sie keine eine beliebige Gruppe dieses Benutzerrecht.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung nicht auf Domnencontrollern und auf eigenstndigen Servern
definiert.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Diese Einstellung wurde in Windows Server 2008 und Windows Vista eingefhrt und wirkt sich nicht
auf frheren Versionen. Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen
den untersttzten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses
Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Jeder Benutzer mit derndern einer Beschriftung ObjektBenutzerrecht ndern der Integrittsebene
einer Datei oder verarbeitet werden, damit er wird erhht oder wird, bis zu einem Zeitpunkt verringert,
in dem niedrigeren Integritt Prozesse gelscht werden knnen. Entweder dieser Zustnde effektiv
umgeht den Schutz, der vom Windows Integrity-Steuerelemente bereitgestellt wird, und macht Ihr
System anfllig fr Angriffe durch bswillige Software.
Wenn bswilliger Software mit einer erhhten z. B. Trusted Installer oder System festgelegt ist, mssen
die Administratorkonten nicht ausreichend Integrittsebenen Programm aus dem System gelscht. In
diesem Fall verwendet diendern einer Beschriftung Objektrechts wird vorgeschrieben, dass das
Objekt relabeled werden kann. Allerdings muss, die neubezeichnen, mithilfe eines Prozesses, der auf
die gleiche oder eine hhere Ebene der Integritt als das Objekt, das Sie bezeichnen mchten.

Gegenmanahme
Weisen Sie eine beliebige Gruppe diese Berechtigung zu. Bei Bedarf fr einen eingeschrnkten
Zeitraum einer vertrauenswrdigen Person fr die Reaktion auf eine bestimmte Organisationseinheit
implementieren.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Verndern der
Firmwareumgebungsvariablen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, wer Firmwareumgebungsvariablen ndern
kann. Firmwareumgebungsvariablen sind Einstellungen, die in den permanenten RAM von nicht-X 86basierten Computern gespeichert sind. Die Auswirkung der Einstellung hngt vom Prozessor ab.
Auf X 86-basierten Computern ist der einzige Firmware Umgebung-Wert, der gendert werden kann,
indem dieses Benutzerrecht Zuweisen derLetzte als funktionierend bekannte
KonfigurationEinstellung, die nur vom System gendert werden sollte.
Auf Itanium-basierten Computern werden Startinformationen im permanenten Arbeitsspeicher
gespeichert. Benutzer mssen dieses Benutzerrecht bootcfg.exe ausfhren und ndern zugewiesen
werden dieStandardbetriebssystemfestlegen, mit derStart und Wiederherstellung-Funktion auf
dieErweitertauf der RegisterkarteSystemeigenschaften.
Die genaue Einstellung fr Firmwareumgebungsvariablen wird durch die Boot-Firmware bestimmt. Der
Speicherort dieser Werte wird auch von der Firmware angegeben. So enthlt beispielsweise auf einem
UEFI-basierte System NVRAM Firmwareumgebungsvariablen, die Boot-Systemeinstellungen angeben.
Dieses Benutzerrecht muss auf allen Computern installieren oder Aktualisieren von Windows.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeSystemEnvironmentPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Administratoren
Nicht definiert

Bewhrte Methoden
1.

Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist
dieFirmwareumgebungsvariablen ndernRecht.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung die Administratoren auf Domnencontrollern und auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen


Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Diese Einstellung wirkt sich nicht darauf aus, wer die Umgebungswerte sowie die Werte der Benutzer,
die auf angezeigt werden dieErweitertauf der RegisterkarteSystemeigenschaften.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Personen zugewiesen wird, ist dieFirmwareumgebungsvariablen ndernBenutzerrecht konnte
Konfigurieren der eine Hardwarekomponente zum fehlschlagen, dazu fhren, dass die Beschdigung
von Daten oder einen Denial-of-Service-Bedingung fhren knnte.

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist
dieFirmwareumgebungsvariablen ndernRecht.

Mgliche Auswirkung
Keiner.
Einschrnken derFirmwareumgebungsvariablen ndernBenutzer direkt auf die Mitglieder der
lokalen Gruppe Administratoren ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Ausfhren von
Volumewartungsaufgaben

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer Volume oder der Datentrger-Verwaltungsaufgaben, wie
ein vorhandenes Volume defragmentieren, erstellen oder Volumes entfernen und Ausfhren des Tools
fr Datentrger bereinigen ausfhren knnen.
Seien Sie vorsichtig, wenn Sie dieses Recht zuweisen. Benutzer mit diesem Benutzerrecht knnen
Datentrger durchsuchen und Dateien in den Arbeitsspeicher, andere Daten enthlt. Beim ffnen der
erweiterten Dateien der Benutzer mglicherweise die erfassten Daten zu lesen.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeManageVolumePrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist dieDurchfhren
von VolumewartungsaufgabenRecht.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung die Administratoren auf Domnencontrollern und auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive DC-Standardeinstellungen
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Benutzer zugewiesen wird, ist dieDurchfhren von VolumewartungsaufgabenBenutzerrecht
konnte ein Volume den Verlust von Daten oder einen Denial-of-Service-Bedingung fhren kann
gelscht werden. Datentrgerwartungsaufgaben knnen auch verwendet werden, zum ndern von
Daten auf dem Datentrger, z. B. Zuweisen von Benutzerrechten, die zur Ausweitung von
Berechtigungen fhren kann.

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist dieDurchfhren von
VolumewartungsaufgabenRecht.

Mgliche Auswirkung
Keiner.
Einschrnken derDurchfhren von VolumewartungsaufgabenBenutzer direkt auf der lokalen Gruppe
Administratoren ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Erstellen eines Profils fr einen


Einzelprozess
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis

Diese Einstellung bestimmt, welche Benutzer eine Beispiel-Leistung des Anwendungsprozesses


anzeigen knnen. In der Regel bentigen Sie nicht diese Benutzerrechte die Leistungsberichte im
Betriebssystem enthaltenen Tools verwenden. Allerdings brauchen Sie diese Benutzer verfgen, wenn
das System Monitor-Komponenten zum Sammeln von Daten ber die WindowsVerwaltungsinstrumentation (Windows Management Instrumentation, WMI) konfiguriert sind.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeProfileSingleProcessPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Administratoren
Nicht definiert

Bewhrte Methoden
1.

Dieses Recht sollte nicht einzelnen Benutzern erteilt werden. Es sollte nur fr
vertrauenswrdige Anwendung gewhrt werden, die andere Programme zu berwachen.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung die Administratoren auf Domnencontrollern und auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas. Beachten
Sie, dass die Hauptbenutzergruppe aus Kompatibilittsgrnden Windows XP zugewiesen ist.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
DieProfils fr einen EinzelprozessBenutzerrecht stellt ein geringes Sicherheitsrisiko dar. Angreifer mit
diesem Recht knnen die Leistung eines Computers, kritische Prozesse identifizieren, die direkt
angreifen mchte berwachen. Angreifer knnen mglicherweise bestimmen, welche Prozesse auf
dem Computer ausgefhrt werden, damit sie Gegenmanahmen identifizieren, die sie mglicherweise
vermeiden, z. B. Antivirensoftware oder ein System zur Erkennung von Netzwerkangriffen. Auch knnte
andere Benutzer identifizieren, die auf einem Computer angemeldet sind.

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist dieProfils fr einen
EinzelprozessRecht.

Mgliche Auswirkung
Wenn Sie entfernen dieProfils fr einen EinzelprozessBenutzer direkt ber die Gruppe
"Hauptbenutzer" oder andere Konten, knnen die Funktionen der Benutzer mit bestimmten
Administratorrollen in Ihrer Umgebung einschrnken. Sie sollten sicherstellen, dass die Aufgaben nicht
beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Erstellen eines Profils der


Systemleistung
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer Leistungsberwachungstools Windows zur berwachung
der Leistung von Systemprozessen verwenden knnen.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeSystemProfilePrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Administratoren
Nicht definiert

Bewhrte Methoden
1.

Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist dieProfil
SystemleistungRecht.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung die Administratoren auf Domnencontrollern und auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Abhngig von Ihrer Version von Windows und Ihrer Umgebung mssen Sie dieses Benutzerrecht das
lokale Systemkonto oder das lokale Dienstkonto hinzufgen, wenn Sie Fehler auftreten, wenn Sie das
Konto "Administratoren" verwenden.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne

4. Richtlinien fr die Organisationseinheit


Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
DieProfil SystemleistungBenutzerrecht stellt ein geringes Sicherheitsrisiko dar. Angreifer mit diesem
Recht knnen die Leistung eines Computers, kritische Prozesse identifizieren, die direkt angreifen
mchte berwachen. Angreifer kann mglicherweise auch bestimmen, welche Prozesse auf dem
Computer aktiv sind, so dass Gegenmanahmen zu vermeiden, z. B. Antivirensoftware oder ein System
zur Erkennung von Eindringversuchen identifiziert werden kann.

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist dieProfil
SystemleistungRecht.

Mgliche Auswirkung
Keiner.
Einschrnken derProfil SystemleistungBenutzer direkt auf der lokalen Gruppe Administratoren ist die
Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Entfernen des Computers aus der


Dockingstation
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, ob ein Benutzer einen tragbaren Computer von der Dockingstation
abdocken kann, ohne sich anzumelden. Diese Einstellung wirkt sich nur auf Szenarien, bei denen einen
tragbaren Computer und die Dockingstation.
Wenn dieses Benutzerrecht zugewiesen ist, das Konto des Benutzers (oder wenn der Benutzer ein
Mitglied der Gruppe zugewiesen ist), der Benutzer muss anmelden, bevor der tragbare Computer von
der Dockingstation entfernt. Als Sicherheitsmanahme, andernfalls wird der Benutzer nicht anmelden,
nachdem der Computer von der Dockingstation entfernt wird. Wenn diese Richtlinie nicht zugewiesen
ist, kann der Benutzer den tragbaren Computer ohne vorherige Anmeldung aus der Dockingstation
entfernen und dann haben die Mglichkeit, starten, und melden Sie sich anschlieend in seiner
abgedockt.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeUndockPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Weisen Sie dieses Benutzerrecht nur die Konten, die den tragbaren Computer verwenden
drfen.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Obwohl dieses Szenario tragbaren Computer normalerweise nicht fr Server gilt, ist diese Einstellung
Administratoren auf Domnencontrollern und auf eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas. Jedoch
wurden die Gruppen und Hauptbenutzer als Standardeinstellungen fr Abwrtskompatibilitt
Kompatibilitt in Windows Vista hinzugefgt.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Jeder Benutzer mit derEntfernen eines Computers aus der DockingstationBenutzerrecht Anmelden
und dann einen tragbaren Computer von der Dockingstation entfernen kann. Wenn diese Einstellung
nicht definiert ist, hat dieselbe Wirkung, als ob alle Benutzer dieses Recht erteilt wurde. Jedoch wird
der Wert der Implementierung dieser Gegenmanahmen von den folgenden Faktoren reduziert:
Wenn Angreifer den Computer neu starten knnen, knnen sie aus der Dockingstation nach
dem Starten des BIOS, jedoch bevor das Betriebssystem gestartet wird entfernt.
Diese Einstellung betrifft nicht Server, da sie normalerweise nicht in der Dockingstation
installiert sind.
Ein Angreifer knnte den Computer und die Dockingstation zusammen stehlen.
Computer, die nicht mechanisch entfernt werden knnen knnen vom Benutzer physisch
entfernt werden, ob sie die Windows-Funktionalitt Abdocken verwendet.

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Administratorgruppe und das Benutzerkonto, das der Computer
zugeordnet ist, zugewiesen werden dieEntfernen eines Computers aus der DockingstationRecht.

Mgliche Auswirkung
Standardmig sind nur Mitglieder der lokalen Gruppe Administratoren das Recht erteilt. Andere
Benutzerkonten mssen dieses Benutzerrecht nach Bedarf wird, explizit erteilt werden. Wenn Benutzer
in Ihrem Unternehmen, die nicht Mitglieder der lokalen Administratoren Gruppen auf tragbaren
Computern sind, knnen sie ihre tragbaren Computer aus ihrer Dockingstation entfernen, wenn es sich
bei sie nicht zuerst Herunterfahren des Computers. Sie mchten daher weisen dieEntfernen eines
Computers aus der DockingstationBerechtigung zur lokalen Benutzergruppe fr tragbare Computer.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Ersetzen eines Tokens auf


Prozessebene
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche bergeordneten Prozesse des Zugriffstokens ersetzen knnen, die
einen untergeordneten Prozess zugeordnet ist.
Insbesondere dieErsetzen ein Tokens auf ProzessebeneEinstellung bestimmt, welche Benutzerkonten
die CreateProcessAsUser()-Anwendungsprogrammierschnittstelle (API) aufrufen knnen, damit ein
Dienst keinen anderen Vorgang starten kann. Ein Beispiel fr einen Prozess, der dieses Benutzerrecht

verwendet wird, den Taskplaner, wo das Benutzerrecht fr Prozesse erweitert wird, die durch den
Taskplaner verwaltet werden knnen.
Ein Zugriffstoken ist ein Objekt, das den Sicherheitskontext fr einen Prozess oder Thread
beschrieben. Die Informationen in einem Token zhlen die Identitt und die Berechtigungen fr das
Benutzerkonto an, das den Prozess oder Thread zugeordnet ist. Mit diesem Benutzerrecht mssten alle
untergeordneten Prozess, der fr dieses Benutzerkonto ausgefhrt wird seinen Zugriffstoken, der
durch den Prozessebenentoken ersetzt.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeAssignPrimaryTokenPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Standard
Nicht definiert

Bewhrte Methoden
1.

Fr Mitgliedsserver, stellen Sie sicher, dass nur die Konten Lokaler Dienst und Netzwerkdienst
haben dieErsetzen ein Tokens auf ProzessebeneRecht.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung Netzwerkdienst und lokaler Dienst auf Domnencontrollern und
auf eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Benutzer mit derErsetzen ein Tokens auf ProzessebeneBenutzerrecht kann Prozesse als ein anderer
Benutzer starten, wenn sie wissen, dass die Anmeldeinformationen des Benutzers.

Gegenmanahme
Fr Mitgliedsserver, stellen Sie sicher, dass nur die Konten Lokaler Dienst und Netzwerkdienst haben
dieErsetzen ein Tokens auf ProzessebeneRecht.

Mgliche Auswirkung
Auf den meisten Computern einschrnken derErsetzen ein Tokens auf ProzessebeneBenutzer direkt
auf den lokalen Dienst und den integrierten Netzwerkdienstkonten ist die Standardkonfiguration, und
es gibt keine negativen Auswirkungen. Jedoch, wenn Sie optionale Komponenten wie z. B. ASP.NET
oder IIS installiert haben, mssen Sie mglicherweise zum Zuweisen derErsetzen ein Tokens auf
ProzessebeneBenutzer zustzliche Konten nach rechts. Z. B. IIS erfordert, dass der Dienst,
Netzwerkdienst und IWAM_< ComputerName >Konten explizit gewhrt dieses Benutzerrecht sein.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Wiederherstellen von Dateien und


Verzeichnissen
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis

Diese Einstellung bestimmt, welche Benutzer umgehen knnen, Dateien, Verzeichnisse, Registrierung
und andere persistente Objektberechtigungen, wenn sie beim Wiederherstellen von Dateien und
Verzeichnissen gesichert und legt fest, welche Benutzer gltige Sicherheitsprinzipale als Besitzer eines
Objekts festlegen knnen.
Dieses Benutzerrecht auf ein Konto gewhren hnelt der erteilen des Kontos der folgenden
Berechtigungen fr alle Dateien und Ordner auf dem System:
Ordner durchsuchen / Datei ausfhren
Schreiben
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeRestorePrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Standard
Nicht definiert

Bewhrte Methoden
1.

Benutzer mit diesem Recht knnen Registrierungseintrge zu berschreiben, Ausblenden von


Daten, und Ihr Besitz von Systemobjekten, also nur dieser Benutzer Rechte vertrauenswrdigen
Benutzern zuweisen.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist dieses Recht den Gruppen Administratoren, Sicherungsoperatoren und ServerOperatoren auf Domnencontrollern und den Gruppen Administratoren und Sicherungsoperatoren auf
eigenstndigen Servern zugewiesen.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Ein Angreifer mit denWiederherstellen von Dateien und VerzeichnissenBenutzerrecht konnte
vertrauliche Daten auf einem Computer wiederherstellen und berschreiben von Daten, die neuere,
was zum Verlust wichtiger Daten, beschdigte Daten oder einen Denial-of-Service-Bedingung fhren
knnte. Angreifer knnten berschrieben werden ausfhrbare Dateien, die von autorisierten
Administratoren verwendet werden, oder Dienste mit Versionen, die bsartigen Software, um sich mit
erhhten Rechten erteilen Berechtigungen, Daten gefhrden oder installieren, dass Programme
enthalten Geben Sie weiterhin Zugriff auf den Computer.

Hinweis

Auch wenn die folgende Gegenmanahme konfiguriert ist, konnte ein Angreifer Daten auf einem Computer
wird. Daher ist es wichtig, dass Organisationen sorgfltig Medien zu schtzen, die zum Sichern von Daten v

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Gruppe Administratoren zugewiesen ist dieWiederherstellen
von Dateien und VerzeichnissenRecht, es sei denn, Ihre Organisation Rollen fr Sicherung und
Wiederherstellung Personal klar definiert wurde.

Mgliche Auswirkung
Wenn Sie entfernen dieWiederherstellen von Dateien und VerzeichnissenBenutzer direkt aus der
Gruppe "Sicherungsoperatoren" und anderen Konten, Benutzer, die nicht Mitglied der lokalen Gruppe
"Administratoren" sind Daten kann nicht geladen werden. Wenn das Wiederherstellen von
Sicherungen auf eine Teilmenge der IT-Mitarbeiter in Ihrer Organisation delegiert wird, sollten Sie

sicherstellen, dass diese nderung nicht negativ auf die Mglichkeit zur Ausfhrung ihrer Aufgaben
der Mitarbeiter Ihres Unternehmens auswirkt.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Herunterfahren des Systems


Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung wird bestimmt, ob ein Benutzer lokal an einem Computer angemeldet ist das
Betriebssystem herunterfahren kann, mit dem Befehl "Herunterfahren".
Herunterfahren von Domnencontrollern sind fr Funktionen wie z. B. Verarbeitung Anmeldeanfragen
bedienen und Verarbeitung von Gruppenrichtlinien Beantwortung von Abfragen (LDAP = Lightweight
Directory Access Protocol) nicht verfgbar. Herunterfahren von Domnencontrollern, die
Betriebsmasterrollen (auch als flexible einfache Mastervorgnge oder FSMO-Rollen) zugewiesen
wurden, kann wichtige Domnenfunktionalitt deaktivieren. z. B. Verarbeitung Anmeldeanfragen fr
neue Kennwrter, die von der Emulationsmaster primary Domain Controller (PDC) erfolgt.
DieHerunterfahren des SystemsBerechtigung ist erforderlich, um das Aktivieren der Untersttzung
fr den Ruhezustand, um die energieverwaltungseinstellungen festzulegen und Cancela
Herunterfahren.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeShutdownPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste von Konten


Standard
Nicht definiert

Bewhrte Methoden
1.

2.

Stellen Sie sicher, dass nur Administratoren und Sicherungsoperatoren haben


dieHerunterfahren des SystemsBenutzer direkt auf Mitgliedsservern und, dass nur
Administratoren, die den Benutzer direkt auf den Domnencontrollern. Entfernen diesen
Standardgruppen kann die Funktionen der Benutzer einschrnken, die bestimmte
administrative Rollen in der Umgebung zugewiesen werden. Stellen Sie sicher, dass ihre
Aufgaben nicht negativ beeinflusst werden.
Die Mglichkeit, Domnencontroller herunterzufahren, sollte auf eine sehr kleine Anzahl
vertrauenswrdiger Administratoren beschrnkt werden. Obwohl das Herunterfahren des
Systems die Mglichkeit, melden Sie sich an den Server erforderlich ist, sollten Sie vorsichtig
sehr ber die Konten und Gruppen, die Ihnen ermglichen, einen Domnencontroller
herunterzufahren.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmig ist diese Einstellung Administratoren "," Sicherungsoperatoren "," Server-Operatoren


"und" Druck-Operatoren auf Domnencontroller, und Administratoren und Sicherungsoperatoren auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie

Standardeinstellungen fr eigenstndige Server

Effektive Standardeinstellungen der Domne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas. Die
Einstellung ist jedoch nicht kompatibel mit Computern unter Microsoft Windows 2000 Server mit
Service Pack 1 oder frher.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Wenden Sie diese Einstellung nicht auf Computern unter Microsoft Windows 2000 Server mit Service
Pack 1 oder frher.
Dieses Benutzerrecht keinen dieselbe Wirkung wie dasErzwingen des Herunterfahrens von einem
Remotesystem aus. Weitere Informationen finden Sie unter Erzwingen des Herunterfahrens von
einem Remotesystem.
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:

1. Einstellungen lokaler Richtlinien


2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Die Mglichkeit, Domnencontroller herunterzufahren, sollte auf eine sehr kleine Anzahl
vertrauenswrdiger Administratoren beschrnkt werden. Obwohl dieHerunterfahren des
SystemsBerechtigung erfordert, dass auf dem Server anmelden, sehr vorsichtig ber die Konten und
Gruppen, die Sie zum Herunterfahren eines Domnencontrollers knnen.
Wenn ein Domnencontroller heruntergefahren wird, ist nicht mehr zum Verarbeiten von Anfragen zur
Anmeldung, Gruppenrichtlinien zu verarbeiten und Beantworten von Abfragen (LDAP = Lightweight
Directory Access Protocol) zur Verfgung. Wenn Sie Domnencontroller, die Betriebsmasterrollen
besitzen herunterzufahren, knnen Sie wichtige Domnenfunktionalitt, wie die Verarbeitung von
Anfragen zur Anmeldung fr neue Kennwrter deaktivieren, die von der PDC ausgefhrt wird.
Fr andere Serverrollen, besonders solche verfgen Nichtadministratoren ber Rechte zum Anmelden
an den Server (z. B. Remotedesktop-Sitzungshostserver), es ist wichtig, dass dieses Benutzerrecht von
Benutzern, die nicht ber eine berechtigte Grnde entfernt fr den Neustart der Server verfgen.

Gegenmanahme
Stellen Sie sicher, dass nur Administratoren und Sicherungsoperatoren Gruppen zugewiesen sind
dieHerunterfahren des SystemsBenutzer auf Mitgliedsservern, und stellen Sie sicher, dass nur die
Gruppe "Administratoren" den Benutzer direkt auf Domnencontrollern zugewiesen ist.

Mgliche Auswirkung
Die Auswirkungen des Entfernens dieser Gruppen aus derHerunterfahren des SystemsBenutzerrecht
konnte die delegierten Funktionen des zugewiesenen Rollen in Ihrer Umgebung zu beschrnken.Sie
sollten sicherstellen, dass delegierte Aktivitten nicht beeintrchtigt werden.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

Directory Service Daten


synchronisieren
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer und Gruppen verfgen, alle Directory Service-Daten,
unabhngig von den Schutz fr Objekte und Eigenschaften synchronisieren wollen. Dieses Recht wird

mithilfe von LDAP-Verzeichnissynchronisierungsdienste (Dirsync) erforderlich. Domnencontroller


haben dieses Benutzers rechts grundstzlich, da der Synchronisierungsprozess im Kontext ausgefhrt
wird dieSystemKonto auf Domnencontrollern.
Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeSyncAgentPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Stellen Sie sicher, dass keine Konten zugewiesen sind dieDirectory Service Daten
synchronisierenRecht. Nur Domnencontroller bentigen diese Berechtigung, die sie an sich.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung nicht auf Domnencontrollern und auf eigenstndigen Servern
definiert.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
DieDirectory Service Daten synchronisierenBerechtigung betrifft Domnencontroller (nur
Domnencontroller Service Verzeichnisdaten synchronisiert werden soll). Domnencontroller haben
dieses Benutzers rechts grundstzlich, da der Synchronisierungsprozess im Kontext ausgefhrt wird
dieSystemKonto auf Domnencontrollern. Angreifer, die ber diese Berechtigung verfgen, knnen
alle Informationen anzeigen, der innerhalb des Verzeichnisses gespeichert sind. Sie knnen dann
mithilfe dieser Informationen Weitere Angriffe oder vertrauliche Daten, wie z. B. Telefonnummern oder
physischen Adressen offen legen.

Gegenmanahme
Stellen Sie sicher, dass keine Konten zugewiesen sind dieDirectory Service Daten
synchronisierenRecht.

Mgliche Auswirkung
Keiner.
Nicht definiert, ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft

bernehmen des Besitzes an Dateien


und Objekten
Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2,
Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Security Policy-Referenzthema fr IT-Experten beschreibt die bewhrten Methoden,
Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte fr diese
Einstellung.

Verweis
Diese Einstellung bestimmt, welche Benutzer die Besitzrechte fr ein sicherungsfhiges Objekt in dem
Computer, einschlielich Active Directory-Objekte, NTFS-Dateien und Ordner, Drucker,
Registrierungsschlssel, Dienste, Prozesse und Threads bernehmen knnen.
Jedes Objekt hat einen Besitzer, ob das Objekt in ein NTFS-Volume oder in Active Directory-Datenbank
befindet. Der Besitzer steuert, zum Festlegen von Berechtigungen fr das Objekt und, denen
Berechtigungen gewhrt werden.
Standardmig ist der Besitzer die Person, die oder der Prozess, der das Objekt erstellt. Besitzer
knnen jederzeit Berechtigungen fr Objekte, ndern, selbst wenn alle Zugriff auf das Objekt
verweigert werden.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden untersttzt dieBetrifftListe
am Anfang dieses Themas.
Konstanten: SeTakeOwnershipPrivilege

Mgliche Werte

Eine benutzerdefinierte Liste der Konten


Nicht definiert

Bewhrte Methoden
1.

Dieses Benutzerrecht zuweisen, kann ein Sicherheitsrisiko darstellen. Da Besitzer von Objekten
die vollstndige Kontrolle ber diese verfgen, nur weisen Sie vertrauenswrdigen Benutzern
dieses Recht zu.

Speicherort
GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte
Standardmig ist diese Einstellung die Administratoren auf Domnencontrollern und auf
eigenstndigen Servern.
Die folgende Tabelle enthlt die tatschliche und effektive Richtlinie Standardwerte fr die neuesten
untersttzten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite fr die
Richtlinie aufgefhrt.

Server-Typ oder das Gruppenrichtlinienobjekt


Standarddomnenrichtlinie
Standarddomnencontroller-Richtlinie
Standardeinstellungen fr eigenstndige Server
Effektive Standardeinstellungen der Domne-Controller
Member Server effektiv Standardeinstellungen
Effektiven Standardwert fr Clientcomputer

Betriebssystem-Versionsunterschiede
Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den untersttzten
Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Richtlinienverwaltung
Dieser Abschnitt beschreibt die Features, Tools und Leitfden zum Verwalten dieser Richtlinie.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede nderung an der Benutzerrechte fr ein Konto wird das nchste Mal, wenn, das der Besitzer des
Kontos anmeldet, wirksam.
Besitz ausgefhrt werden kann:
Ein Administrator. Standardmig erhlt die Gruppe "Administratoren" diebernehmen des
Besitzes von Dateien oder anderen ObjektenRecht.
Jeder Benutzer oder jede Gruppe, verfgt dieBesitzBenutzer direkt auf das Objekt.
Ein Benutzer mit derWiederherstellen von Dateien und VerzeichnissenRecht.
Der Besitz kann auf folgende Weise bertragen werden:

Der aktuelle Besitzer kann erteilen derBesitzBenutzer direkt an einen anderen Benutzer, wenn
dieser Benutzer Mitglied einer Gruppe, die im Zugriffstoken des aktuellen Besitzers definiert
ist.Der Benutzer muss den Besitz die bertragung abgeschlossen.
Ein Administrator kann den Besitz bernehmen.
Ein Benutzer mit derWiederherstellen von Dateien und Verzeichnissenkann recht
Doppelklicken Sie aufandere Benutzer und Gruppenund whlen Sie alle Benutzer oder
Gruppen, um den Besitz zuweisen.

Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)
angewendet, die Einstellungen auf dem lokalen Computer bei der nchsten Aktualisierung der
Gruppenrichtlinie berschrieben werden:
1. Einstellungen lokaler Richtlinien
2. Website-Richtlinien
3. Richtlinien fr die Domne
4. Richtlinien fr die Organisationseinheit
Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem
Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

berlegungen zur Sicherheit


In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen knnte ein Feature oder eine seiner
Konfiguration wie die Gegenmanahme und die negativen Konsequenzen Gegenmanahme
Implementierung implementiert.

Sicherheitsrisiko
Alle Benutzer mit derbernehmen des Besitzes von Dateien oder anderen Objekten, das
BenutzerrechtSteuerung eines beliebigen Objekts unabhngig von den Berechtigungen fr dieses
Objekt bernehmen knnen, und stellen nderungen, die sie fr dieses Objekt machen mchten. Eine
solche nderung knnen Offenlegung von Daten, die Beschdigung von Daten oder einen Denial-ofService-Zustand fhren.

Gegenmanahme
Stellen Sie sicher, dass nur die lokale Gruppe Administratoren ist diebernehmen des Besitzes von
Dateien oder anderen ObjektenRecht.

Mgliche Auswirkung
Keiner.
Einschrnken derbernehmen des Besitzes von Dateien oder anderen ObjektenBenutzer direkt auf
der lokalen Gruppe Administratoren ist die Standardkonfiguration.

Siehe auch
Zuweisen von Benutzerrechten
2015 Microsoft