Sie sind auf Seite 1von 97

Ich stimme zu, dass diese Seite Cookies für Analysen, personalisierten Inhalt und Werbung verwendet

Auflistung

Das Dokument wird wie vorliegend bereitgestellt. Die in diesem Dokument enthaltenen Informationen und Ansichten, einschließlich URLs und andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Sie erhalten durch dieses Dokument keinerlei Rechte an geistigem Eigentum in Produkten oder Produktnamen von Microsoft. Sie dürfen das Dokument intern zu Ihrer eigenen Information kopieren und verwenden. Sie dürfen das Dokument intern zu Ihrer eigenen Information ändern. © 2015 Microsoft. Alle Rechte vorbehalten. Nutzungsbedingungen (https://technet.microsoft.com/cc300389.aspx) | Marken

(http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)

Table Of Contents

Kapitel 1

Kapitel 1

Access Anmeldeinformations-Manager als ein vertrauenswürdiger Aufrufer

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

DieZugriff Anmeldeinformations-Manager als ein vertrauenswürdiger AufruferRichtlinie wird durch den Anmeldeinformations-Manager während der Sicherung und Wiederherstellung verwendet. Keine Konten sollte diese Berechtigung, da er nur an den Winlogon-Dienst zugewiesen ist. Gespeicherte Anmeldeinformationen von Benutzern können beeinträchtigt werden, wenn diese Berechtigung anderen Entitäten angegeben ist. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeTrustedCredManAccessPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

Ändern Sie diese Einstellung den Standardwert nicht.

Speicherort

\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-

Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige server

Effektive Standardeinstellungen der Domäne-controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingeführt. Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Wenn ein Konto dieses Benutzerrecht zugewiesen wird, kann der Benutzer des Kontos eine Anwendung erstellen, die in den Anmeldeinformations-Manager aufgerufen und die Anmeldeinformationen für einen anderen Benutzer zurückgegeben.

Gegenmaßnahme

Definieren Sie nicht dieZugriff Anmeldeinformations-Manager als ein vertrauenswürdiger AufruferEinstellung für alle Konten außer den Anmeldeinformations-Manager.

Mögliche Auswirkung

Keiner. Nicht definiert, ist die Standardkonfiguration.

© 2015 Microsoft

Auf diesen Computer vom Netzwerk aus zugreifen.

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

DieZugriff auf diesen Computer vom Netzwerk auslegt fest, welche Benutzer über das Netzwerk mit dem Computer herstellen können. Diese Funktion ist eine Reihe von Netzwerkprotokollen, einschließlich Server Message Block SMB-basierte Protokolle, NetBIOS, Common Internet File System (CIFS) und Component Object Model Plus (COM+) erforderlich. Benutzer, Computer und Dienstkonten gewinnen oder verlieren dieauf diesen Computer vom Netzwerk ausBenutzer nach rechts explizit oder implizit hinzugefügt oder entfernt aus einer Sicherheitsgruppe, die diese Berechtigung erteilt wurde. Klicken Sie z. B. ein Benutzerkonto oder ein Computerkonto kann explizit hinzugefügt werden eine benutzerdefinierte Sicherheitsgruppe oder integrierte Sicherheitsgruppe von einem Administrator oder es implizit hinzugefügt werden durch das Betriebssystem zu einer vordefinierten Sicherheitsgruppe, wie z. B. Domänenbenutzer, authentifizierte Benutzer oder Domänencontroller der Organisation. Standardmäßig werden Benutzer- und Computerkonten gewährt derauf diesen Computer vom Netzwerk ausBenutzer sofort, wenn berechnete Gruppen, z. B. authentifizierte Benutzer und für Domänencontroller, die Enterprise-Domänencontrollergruppe in der Standard-Domänencontroller (Group Policy Object, GPO) definiert sind. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: "SeNetworkLogonRight"

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

Auf Desktopcomputern oder Mitgliedsservern diese Berechtigung nur für Benutzer und Administratoren.

Gewähren Sie dieses Recht nur authentifizierte Benutzer, Domänencontroller der Organisation und Administratoren auf Domänencontrollern.

Diese Einstellung enthält diejederGruppe, um die Abwärtskompatibilität sicherzustellen. Nach der Aktualisierung von Windows, nachdem Sie überprüft haben, dass alle Benutzer und Gruppen ordnungsgemäß migriert werden, sollten Sie entfernen diejederund verwenden Sie dieAuthentifizierte BenutzerGruppe.

Speicherort

\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-

Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige server

Effektive Standardeinstellungen der Domäne- controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Jeder Benutzer, Administratoren, authentifizierte Ben kompatibler Zugriff

Jeder Benutzer, Administratoren, Benutzer, Sicherun

Jeder Benutzer, Administratoren, authentifizierte Ben kompatibler Zugriff

Jeder Benutzer, Administratoren, Benutzer, Sicherun

Jeder Benutzer, Administratoren, Benutzer, Sicherun

Betriebssystem-Versionsunterschiede

Diese Einstellung wurde in Windows Server 2003 und Windows XP mit Service Pack 2 eingeführt. Diese Einstellung wurde nicht geändert, und es enthält diejederGruppe, um die Abwärtskompatibilität sicherzustellen. Nachdem Sie überprüft haben, dass alle Benutzer und Gruppen ordnungsgemäß migriert werden, sollten Sie entfernen diejederund verwenden Sie dieAuthentifizierte BenutzerGruppe.

Wenn Sie dieses Benutzerrecht ändern, möglicherweise die folgenden Aktionen bewirken, Benutzern und Diensten Netzwerkzugriffsprobleme auftreten:

Entfernen die Sicherheitsgruppe der Domänencontroller der Organisation

Entfernen der Gruppe der authentifizierten Benutzer oder eine explizite Gruppe, die die Berechtigung zum Herstellen von Computern über das Netzwerk ermöglicht es, Benutzern, Computern und Dienstkonten

Entfernen alle Benutzer und Computer

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)

angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Benutzer, die von ihrem Computer mit dem Netzwerk verbinden können können Ressourcen auf den Zielcomputern zugreifen, für die sie die Berechtigung haben. Zum Beispiel dieZugriff auf diesen Computer vom Netzwerk ausBerechtigung ist erforderlich, damit Benutzer auf freigegebene Drucker und Ordner zugreifen. Wenn dieses Benutzerrecht zugeordnet ist diejederGruppe Mitglied der Gruppe kann die Dateien in diesen freigegebenen Ordnern lesen. Diese Situation ist unwahrscheinlich, da die

Gruppen, indem eine Standardinstallation von erstelltWindows Server 2012Windows Server 2008 R2Windows 8undWindows 7enthalten nicht diejederGruppe. Jedoch, wenn ein Computer aktualisiert wird und der ursprüngliche Computer enthält diejederGruppe als Teil seiner definierte Benutzer und Gruppen, die dieser Gruppe als Teil des Aktualisierungsprozesses gewechselt wird und auf dem Computer vorhanden ist.

Gegenmaßnahme

Einschränken derZugriff auf diesen Computer vom Netzwerk ausBenutzer direkt nur auf die Benutzer und Gruppen, die Zugriff auf den Computer benötigen. Beispielsweise, wenn Sie diese Einstellung zum Konfigurieren derAdministratorenundBenutzergruppiert, melden Sie sich bei der Domäne auf Ressourcen zugreifen kann, die von den Servern in der Domäne verwendet werden, wenn, Benutzer Mitglieder derDomänenbenutzerGruppe befinden sich in der lokalenBenutzerGruppe.

Gruppe befinden sich in der lokalen Benutzer Gruppe. Hinweis Wenn Sie IPsec verwenden, die um sichere

Hinweis

Wenn Sie IPsec verwenden, die um sichere Kommunikation in Ihrer Organisation zu helfen, stellen Sie sich erteilt wird. Dieses Recht ist für die erfolgreiche Authentifizierung erforderlich. Dieses Recht zuweisenAut Anforderung.

Mögliche Auswirkung

Entfernen derZugriff auf diesen Computer vom Netzwerk ausrechts auf Domänencontrollern für alle Benutzer niemand kann Benutzer, Anmelden auf die Domäne oder verwenden. Wenn Sie diesen Benutzer direkt auf Mitgliedsservern entfernen, herstellen nicht Benutzern diese Server über das Netzwerk. Wenn Sie optionale Komponenten wie z. B. ASP.NET oder Internet Information Services (IIS) installiert haben, müssen Sie dieses Benutzerrecht zusätzliche Konten zuweisen, die von diesen Komponenten erforderlich sind. Es ist wichtig, um sicherzustellen, dass autorisierte Benutzer die Benutzer direkt bei den Computern zugewiesen sind, die sie benötigen Zugriff auf das Netzwerk.

© 2015 Microsoft

Einsetzen Sie als Teil des Betriebssystems

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

DieEinsetzen als Teil des Betriebssystemslegt fest, ob ein Prozess kann die Identität eines Benutzers annehmen und dadurch auf die Ressourcen Zugriff, die der Benutzer autorisiert ist, Zugriff auf.Normalerweise erfordern nur einfache Authentifizierungsdienste dieses Benutzerrecht. Potenzielle Zugriff ist nicht beschränkt, was standardmäßig dem Benutzer zugeordnet ist. Der aufrufende Prozess verlangen, dass beliebige zusätzliche Privilegien zum Zugriffstoken hinzugefügt werden. Der

aufrufende Prozess kann auch ein Zugriffstoken erstellen, das keine primäre Identität für die Überwachung in den Systemereignisprotokollen bereitstellt. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeTcbPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

Weisen Sie dieses Recht für alle Benutzerkonten. Weisen Sie nur vertrauenswürdigen Benutzern dieses Benutzerrecht.

Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst zum Anmelden mit dem lokalen Systemkonto, das dieses Benutzerrecht grundsätzlich enthält. Erstellen Sie ein separates Konto nicht, und weisen Sie diesem Benutzer direkt zu.

Speicherort

\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien-

Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige server

Effektive Standardeinstellungen der Domäne-controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingeführt. Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

2.

Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

DieEinsetzen als Teil des BetriebssystemsBenutzerrecht ist sehr leistungsstark. Benutzer mit dieser Berechtigung können die vollständige Kontrolle über den Computer und Beweise für seine Aktivitäten löschen.

Gegenmaßnahme

Einschränken derEinsetzen als Teil des BetriebssystemsBenutzer direkt auf möglichst wenige Konten wie möglich Es sollte nicht selbst zugewiesen werden der Gruppe "Administratoren" unter normalen Umständen. Wenn ein Dienst diese Berechtigung erfordert, konfigurieren Sie den Dienst, melden Sie sich mit dem lokalen Systemkonto, die grundsätzlich enthält dieses Recht. Erstellen Sie ein separates Konto nicht, und weisen Sie diesem Benutzer direkt zu.

Mögliche Auswirkung

Es sollte nur wenig oder gar keine Auswirkung sein, da dieEinsetzen als Teil des Betriebssystemsrecht selten alle Konten als das lokale Systemkonto erforderlich ist.

© 2015 Microsoft

Hinzufügen von Arbeitsstationen zur Domäne

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, den Speicherort, die Werte, die Policy Management und Security Considerations für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer einer bestimmten Domäne einen Computer hinzufügen können. Es wirksam wird muss zugewiesen werden, damit sie auf mindestens einem Domänencontroller angewendet wird. Ein Benutzer, der dieses Benutzerrecht zugewiesen ist, kann bis zu zehn Arbeitsstationen zur Domäne hinzufügen. Hinzufügen eines Computerkontos zur Domäne kann der Computer in Active Directory-basierten Netzwerken teilnehmen. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeMachineAccountPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Konfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zum Hinzufügen von Computern zur Domäne zulässig sind.

Speicherort

Computer Configuration\Windows Settings\Security Einstellungen\Benutzername\Lokale Rechte Assignment\

Standardwerte

Standardmäßig mit dieser Einstellung können den Zugriff für authentifizierte Benutzer auf Domänencontrollern, und es ist nicht auf eigenständigen Servern definiert. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Benutzer können auch einen Computer einer Domäne beitreten, wenn sie die Berechtigung Computerobjekte erstellen für eine Organisationseinheit (OU) oder für den Container "Computer" in das Verzeichnis verfügen. Benutzer mit dieser Berechtigung können eine unbegrenzte Anzahl von Computern hinzufügen, mit der Domäne, unabhängig davon, ob dieHinzufügen von Arbeitsstationen zur DomäneRecht. Darüber hinaus Computerkonten werden erstellt, mit der dieHinzufügen von Arbeitsstationen zur DomäneBenutzerrecht verfügen Domänenadministratoren als Besitzer des Computerkontos.Computerkonten, die über Berechtigungen für Container des Computers erstellt werden mithilfe den Ersteller als Besitzer des Computerkontos. Verfügt ein Benutzer verfügt über Berechtigungen für den Container und zudem über dieArbeitsstation zu Domäne hinzufügenBenutzerrecht, der der Computer hinzugefügt wird basierend auf den Container Computerberechtigungen statt das Benutzerrecht. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)

angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

Diese Richtlinie weist die folgenden Sicherheitsaspekte:

Sicherheitsrisiko

DieHinzufügen von Arbeitsstationen zur DomäneBenutzerrecht stellt ein geringes Sicherheitsrisiko dar. Benutzer mit dieser Berechtigung konnte einen Computer zur Domäne hinzufügen, die so konfiguriert ist, die Sicherheitsrichtlinien des Unternehmens verstößt. Wenn Ihre Organisation keine Benutzer auf ihren Computern über Administratorrechte verfügen, können Benutzer z. B. Windows auf ihren Computern installieren und dann die Computer der Domäne hinzufügen. Der Benutzer würde kennen das Kennwort für das lokale Administratorkonto konnte mit dem Konto anmelden und dann einen persönlichen Domänenkonto der lokalen Administratorgruppe hinzufügen.

Gegenmaßnahme

Konfigurieren Sie diese Einstellung, sodass nur autorisierte Mitglieder des IT-Teams zum Hinzufügen von Computern zur Domäne zulässig sind.

Mögliche Auswirkung

Für Organisationen, die nie zugelassen haben Benutzer ihre eigenen Computer einrichten und der Domäne hinzugefügt werden, wirkt sich diese Gegenmaßnahme nicht. Für diejenigen, die einige oder alle Benutzer konfigurieren ihren eigenen Computern zugelassen haben, erzwingt diese Gegenmaßnahme die Organisation einen formalen Prozess für diese Verfahren für die Zukunft herstellen. Sie wirkt vorhandene Computer sich nicht, wenn sie aufgehoben und dann der Domäne hinzugefügt werden.

© 2015 Microsoft

Anpassen der Arbeitsspeicherquoten für einen Prozess

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Berechtigung bestimmt, wer den maximalen Arbeitsspeicher ändern kann, der von einem Prozess genutzt werden können. Diese Berechtigung eignet sich für die systemoptimierung auf Basis Gruppen- oder Benutzernamen.

Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomänenrichtlinie) und in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeIncreaseQuotaPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Einschränken derAnpassen von Speicherkontingenten für einen Prozessrechts Benutzer nur die Benutzer die Möglichkeit zum Anpassen von Speicherkontingenten zur Durchführung ihrer Aufgaben erforderlich ist.

2. Wenn diese Berechtigung für ein Benutzerkonto erforderlich ist, können sie ein lokales Computerkonto anstelle von einem Domänenkonto zugewiesen werden.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Einstellungen\Benutzername\Lokale Rechte Assignment\

Standardwerte

Standardmäßig verfügen Mitglieder der Administratoren, lokaler Dienst und Netzwerkdienst Gruppen über dieses Recht. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein Benutzer mit derAnpassen von Speicherkontingenten für einen ProzessBerechtigung kann der verfügbare Arbeitsspeicher auf alle Prozesse, die geschäftskritische netzwerkanwendungen langsam oder Fehlschlagen verursachen könnte reduzieren. Dieses Privileg konnte von einem böswilligen Benutzer verwendet werden, um einen Denial-of-Service-Angriff (DoS) zu starten.

Gegenmaßnahme

Einschränken derAnpassen von Speicherkontingenten für einen ProzessBenutzer Rechte für Benutzer, die erforderlich ist, führen Sie ihre Arbeit, z. B. Anwendungsadministratoren und Pflege der Datenbank-Managementsysteme oder Domänen-Admins, die im Verzeichnis der Organisation und der unterstützenden Infrastruktur verwalten.

Mögliche Auswirkung

Organisationen, die keine Rollen mit eingeschränkten Berechtigungen Nutzungsrichtlinie haben finden es möglicherweise schwierig, diese Gegenmaßnahme verlangen. Auch, wenn Sie optionale Komponenten wie z. B. ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zum Zuweisen derAnpassen von Speicherkontingenten für einen Prozessrechts Benutzer weitere Konten, die von diesen Komponenten erforderlich sind. IIS ist es erforderlich, dass diese Berechtigung explizit die IWAM_ < ComputerName >, Netzwerkdienst und Dienstkonten zugewiesen werden. Andernfalls hat diese Gegenmaßnahme sollte keine Auswirkung auf den meisten Computern. Wenn diese Berechtigung für ein Benutzerkonto erforderlich ist, können sie ein lokales Computerkonto anstelle von einem Domänenkonto zugewiesen werden.

© 2015 Microsoft

Lokal anmelden zulassen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer eine interaktive Sitzung auf dem Computer starten können.Benutzer müssen dieses Benutzerrecht Anmelden über Remotedesktopdienste oder Terminaldienste-Sitzung, die auf einem Windows-basierten Mitgliedscomputer oder der Domänencontroller ausgeführt wird.

oder der Domänencontroller ausgeführt wird. Hinweis Benutzer, die nicht über diese Berechtigung

Hinweis

Benutzer, die nicht über diese Berechtigung verfügen, können trotzdem eine interaktive Remotesitzung auf Remotedesktopdienste zulassenrechten.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeInteractiveLogonRight

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Die Elemente der folgenden Gruppen verfügen standardmäßig über dieses Recht auf Arbeitsstationen

und Servern:

Administratoren

Sicherungsoperatoren

Benutzer

Die Elemente der folgenden Gruppen verfügen standardmäßig über dieses Recht auf Domänencontrollern:

Konten-Operatoren

Administratoren

Sicherungsoperatoren

Druck-Operatoren

Server-Operatoren

Bewährte Methoden

1. Beschränken Sie diesen Benutzer direkt auf legitime Benutzer an der Konsole des Computers anmelden müssen.

2. Standardgruppen selektiv entfernen, können Sie die Funktionen von Benutzern beschränken, die bestimmte administrative Rollen in Ihrer Organisation zugeordnet sind.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows.Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.Remote Desktop Services wurde früher als Terminaldienste bezeichnet.

Neustart des Computers ist nicht erforderlich, um diese Änderung zu implementieren. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. Ändern diese Einstellung kann die Kompatibilität mit Clients, Dienste und Programme auswirken.Seien Sie vorsichtig beim Entfernen von Dienstkonten, die von Komponenten und Programmen auf Mitgliedscomputern und Domänencontrollern in der Domäne aus der Standarddomänencontroller Richtlinie verwendet werden.Beim Entfernen von Benutzern oder Sicherheitsgruppen, die melden Sie sich bei der Konsole von Mitgliedscomputern in der Domäne oder Entfernen von Dienstkonten, die in der lokalen Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) von Mitgliedscomputern oder Arbeitsgruppencomputern definiert sind, wird ebenfalls verwenden Sie Vorsicht. Wenn Sie ein Benutzerkonto die Anmeldung an einem Domänencontroller einräumen möchten, achten Sie dieser Benutzer Mitglied einer Gruppe, die bereits dielokale Anmeldung zugelasseneSystem rechten oder erteilen, das Recht, dieses Benutzerkonto. Die Domänencontroller in der Domäne Freigeben des Default Domain Controller Objekt (GPO).Wenn Sie ein Konto erteilen derLokal anmelden zulassenlassen Sie dieses Konto lokal auf allen Domänencontrollern in der Domäne anmelden.

Wenn die Gruppe "Benutzer", in aufgeführt ist derLokal anmelden zulassenfür ein Gruppenrichtlinienobjekt festlegen, alle Domänenbenutzer können lokal anmelden.Die integrierte Gruppe Benutzer werden Domänenbenutzer als Member enthält.

Gruppenrichtlinie

Gruppenrichtlinien werden über Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein Konto mit denLokal anmelden zulassenauf der Konsole des Computers Benutzerrecht anmelden kann.Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzer einschränken, die in der Konsole des Computers anmelden müssen, konnte nicht autorisierte Benutzer herunterladen und Ausführen von bösartiger Software, um ihre Rechte zu erhöhen.

Gegenmaßnahme

Weisen Sie für Domänencontroller, dieLokal anmelden zulassenBerechtigung nur für die Gruppe "Administratoren".Sie können für andere Serverrollen die Sicherungsoperatoren neben Administratoren hinzufügen.Für den Endbenutzer-Computer sollten Sie auch dieses Recht der Gruppe Benutzer zuweisen. Alternativ können Sie Gruppen wie Konten-Operatoren, Server-Operatoren und Gäste zuweisen derLokal anmelden verweigernRecht.

Mögliche Auswirkung

Wenn Sie diesen Standardgruppen entfernen, können Sie die Funktionen der Benutzer begrenzen, die bestimmte administrative Rollen in der Umgebung zugewiesen werden.Wenn Sie optionale Komponenten wie z. B. ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zum Zuweisen derLokal anmelden zulassenrechts Benutzer weitere Konten, die von diesen Komponenten erforderlich sind.IIS muss dieses Benutzerrecht zugewiesen werden, bis die IUSR_< ComputerName >Konto.Sie sollten sicherstellen, dass delegierte Aktivitäten nicht von Änderungen beeinträchtigt werden, die Sie vornehmen derLokal anmelden zulassenZuweisen von Benutzerrechten.

© 2015 Microsoft

Anmelden über Remotedesktopdienste zulassen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Richtlinie.

Diese Einstellung bestimmt, welche Benutzer oder Gruppen den Anmeldebildschirm eines Remotecomputers über eine Remote Desktop Services-Verbindung zugreifen können. Es ist möglich, dass ein Benutzer eine Remote Desktop Services-Verbindung mit einem bestimmten Server jedoch nicht an der Konsole des dem gleichen Server anmelden. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeRemoteInteractiveLogonRight

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Öffnen Sie eine Verbindung mit Remote Desktop Services und am Computer anmelden können, hinzufügen oder Entfernen von Benutzern aus der Gruppe Remotedesktopbenutzer steuern.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig verfügen Mitglieder der Gruppe "Administratoren" dieses Recht auf Domänencontrollern, Arbeitsstationen und Servern. Die Desktops-Benutzergruppe hat dieses Recht auch auf Arbeitsstationen und Servern. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Gab es keine Änderungen an den Einstellungen und Effekte der richtigen Benutzer festlegen, da es in Windows Server 2003 und Windows XP eingeführt wurde. Der Name der Einstellung wurde jedochWindows Server 2008 R2undWindows 7ausAnmelden über Terminaldienste zulassen.

Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfügung, die Ihnen helfen, diese Richtlinie zu verwalten.

Gruppenrichtlinie

Um RDS erfolgreich anmelden an einem Remotecomputer verwenden möchten, klicken Sie den Benutzer oder die Gruppe muss ein Mitglied der Gruppe "Remotedesktopbenutzer" oder "Administratoren" sein und gewährt werden, dieAnmelden über Remotedesktopdienste zulassenrechten. Es ist möglich, für einen Benutzer stellen eine RDS-Sitzung mit einem bestimmten Server, jedoch nicht auf dem gleichen Server die Konsole anmelden. Sie können zum Ausschließen von Benutzern oder Gruppen zuweisen derAnmelden über Remotedesktopdienste VerweigernBenutzer direkt auf die Benutzer oder Gruppen. Jedoch vorsichtig sein, wenn Sie diese Methode verwenden, da Konflikte für autorisierte Benutzer oder Gruppen, die Zugriff über zugelassen wurde erstellt werden konnte dieAnmelden über Remotedesktopdienste zulassenRecht. Weitere Informationen finden Sie unter Anmelden über Remotedesktopdienste verweigern. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.

Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. Gruppenrichtlinien werden über Gruppenrichtlinienobjekte in der folgenden Reihenfolge angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein Konto mit denAnmelden über Remotedesktopdienste zulassenRecht an der Remotekonsole des Computers anmelden kann. Wenn Sie nicht diesen Benutzer direkt auf autorisierte Benutzer einschränken, die in der Konsole des Computers anmelden müssen, konnte nicht autorisierte Benutzer herunterladen und Ausführen von bösartiger Software, um ihre Rechte zu erhöhen.

Gegenmaßnahme

Weisen Sie für Domänencontroller, dieAnmelden über Remotedesktopdienste zulassenBerechtigung nur für die Gruppe "Administratoren". Fügen Sie für andere Serverrollen und Endbenutzer-Computer die Gruppe Remotedesktopbenutzer hinzu. Bei Servern, die der Remote Desktop (RD)-Sitzungshost wurde-Rollendienst aktiviert und nicht im Anwendungsservermodus ausführen, stellen Sie sicher, dass nur autorisierte IT-Mitarbeiter, die die Remoteverwaltung von Computern müssen diese Gruppen angehören.

von Computern müssen diese Gruppen angehören. Achtung Remotedesktop-Sitzungshostserver, die im

Achtung

Remotedesktop-Sitzungshostserver, die im Anwendungsservermodus ausführen, sicherstellen Sie, dass nur Gruppe Remotedesktopbenutzer gehören verfügen, da diese integrierten Gruppe dieses Anmelderecht stand

Alternativ können Sie zuweisen derAnmelden über Remotedesktopdienste VerweigernBenutzer direkt zu Gruppen wie Konten-Operatoren, Server-Operatoren und Gäste. Jedoch vorsichtig sein, wenn Sie diese Methode verwenden, da Sie den Zugriff von autorisierten Administratoren, die ebenfalls zu

einer Gruppe gehören blockieren könnten, verfügt dieAnmelden über Remotedesktopdienste VerweigernRecht.

Mögliche Auswirkung

Entfernen derAnmelden über Remotedesktopdienste zulassenBenutzer direkt aus anderen Gruppen (oder die Änderung der Mitgliedschaft in diesen Standardgruppen) kann die Funktionen von Benutzern, die bestimmte Verwaltungsfunktionen in Ihrer Umgebung ausführen einschränken. Sie sollten sicherstellen, dass delegierte Aktivitäten nicht beeinträchtigt werden.

© 2015 Microsoft

Sichern von Dateien und Verzeichnissen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Dieses Benutzerrecht legt fest, welche Benutzer im Rahmen der Sicherung des Systems Datei- und Verzeichnis, Registrierungsschlüssel und andere persistente Objektberechtigungen umgehen können. Dieses Benutzerrecht gilt nur, wenn eine Anwendung, den Zugriff über die NTFS-backup

Anwendungsprogrammierschnittstelle (API) über ein Sicherungstool, z. B. "Ntbackup versucht". EXE- DATEI. Andernfalls gelten standardmäßige Datei- und Verzeichnisberechtigungen. Dieses Benutzerrecht entspricht ungefähr den folgenden Berechtigungen für den Benutzer oder die Gruppe aus, die Sie auf alle Dateien und Ordner auf dem System ausgewählt haben:

Ordner durchlaufen oder Datei ausführen

Ordner auflisten oder Daten lesen

Attribute lesen

Erweiterte Attribute lesen

Berechtigungen lesen

Standardwert für Arbeitsstationen und Server:

Administratoren

Sicherungsoperatoren

Standardwert für Domänencontroller:

Administratoren

Sicherungsoperatoren

Server-Operatoren

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeBackupPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Einschränken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder des IT-Teams, die als Teil ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Da es keine Möglichkeit, achten Sie darauf, dass ein Benutzer sichern, weisen Diebstahl von Daten oder beim Kopieren von Daten verteilt werden, dieses Benutzerrecht nur vertrauenswürdigen Benutzern.

2. Wenn Sie Sicherungssoftware, die unter bestimmten Dienstkonten ausgeführt wird verwenden, nur mit diesen Konten (und nicht das IT-Personal) müssen dieSichern von Dateien und VerzeichnissenRecht.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

In der Standardeinstellung wird dieses Recht für Administratoren und Sicherungsoperatoren auf Arbeitsstationen und Servern zugewiesen. Auf Domänencontrollern verfügen Administratoren, Sicherungsoperatoren und Server-Operatoren über dieses Recht. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)

angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Benutzer, die Daten von einem Computer sichern können dauerte die Sicherungsmedien auf einem Domänencomputer, auf denen sie über Administratorrechte verfügen, und anschließend die Daten wiederherstellen. Sie könnten Übernehmen des Besitzes von Dateien und Anzeigen von unverschlüsselten Daten, die im Sicherungssatz enthalten ist.

Gegenmaßnahme

Einschränken derSichern von Dateien und VerzeichnissenBenutzer direkt auf Mitglieder des IT- Teams, die als Teil ihrer täglichen Aufgaben Unternehmensdaten sichern müssen. Wenn Sie Sicherungssoftware, die unter bestimmten Dienstkonten ausgeführt wird verwenden, nur mit diesen Konten (und nicht das IT-Personal) müssen dieSichern von Dateien und VerzeichnissenRecht.

Mögliche Auswirkung

Ändert die Mitgliedschaft der Gruppen, die dieSichern von Dateien und VerzeichnissenBenutzerrecht konnte die Funktionen der Benutzer mit bestimmten Administratorrollen in Ihrer Umgebung einschränken. Sie sollten sicherstellen, dass autorisierte backup-Administratoren noch Sicherungsvorgänge ausführen können.

© 2015 Microsoft

Auslassen der durchsuchenden Überprüfung

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer (oder ein Prozess, der für das Konto des Benutzers) über die Berechtigung einen Objektpfad im NTFS-Dateisystem oder in der Registrierung navigieren, ohne dass überprüft wird, für die spezielle Berechtigung Ordner durchsuchen. Dieses Benutzerrecht lässt sich nicht auf den Benutzer zum Auflisten des Inhalts eines Ordners aus. Es kann nur der Benutzer Ordner Zugriff auf den zulässigen Dateien oder Unterordner durchsuchen.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeChangeNotifyPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Verwenden Sie Access-basierten-Enumeration, wenn Sie verhindern, dass Benutzer sehen einen Ordner oder eine Datei, auf die sie keinen Zugriff haben, möchten.

2. Verwenden Sie in den meisten Fällen die Standardeinstellungen dieser Richtlinie. Wenn Sie die Einstellungen ändern, überprüfen Sie Ihre Absicht durch Tests.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Stan

Standarddomänenrichtlinie

Nich

Standarddomänencontroller-Richtlinie

Adm

Auth

Jede

Lok

Net

Prä-

Standardeinstellungen für eigenständige Server

Adm

Sich

Ben

Jede

Lok

Net

Effektive Standardeinstellungen der Domäne-Controller

Adm

Auth

Jede

Lok

Net

Prä-

Member Server effektiv Standardeinstellungen

Adm

Sich

Ben

Jede

Lok

 

Net

Effektiven Standardwert für Clientcomputer

Adm

Sich

Ben

Jede

Lok

Net

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Berechtigungen für Dateien und Ordner werden gesteuert, obwohl die entsprechende Konfiguration der Datei System Access Control (ACLs) aufgelistet. Die Möglichkeit, den Ordner durchlaufen bietet keine Lese- oder Schreibvorgang Berechtigungen für dem Benutzer. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Die Standardkonfiguration für dieAuslassen der durchsuchenden Überprüfungwird in allen Benutzern das Auslassen der durchsuchenden Überprüfung ermöglichen. Obwohl die entsprechende Konfiguration des Dateisystemzugriff Zugriffssteuerungslisten (ACLs), da die Möglichkeit, den Ordner durchlaufen keine Lese- oder Schreibvorgang Berechtigungen für dem Benutzer bietet, werden Berechtigungen für Dateien und Ordner gesteuert. Das einzige Szenario, in dem die Standardkonfiguration zu Missverständnissen führen könnte, wäre, wenn der Administrator, der die Konfiguration von Berechtigungen nicht versteht, wie diese Einstellung funktioniert. Angenommen, erwarten der Administrator, dass Benutzer, die nicht auf einen Ordner zugreifen können nicht auf den Inhalt von untergeordneten Ordnern zugreifen können. Eine solchen Situation ist unwahrscheinlich und, daher stellt diese Sicherheitslücke geringes Risiko.

Gegenmaßnahme

Organisationen, die Sicherheit besorgt sind möglicherweise die jeder entfernen möchten Gruppe, und vielleicht die Benutzergruppe, aus der Liste der Gruppen auf, dieAuslassen der durchsuchenden ÜberprüfungRecht. Explizite Kontrolle über Traversal Zuweisungen kann eine effiziente Möglichkeit, den Zugriff auf vertrauliche Informationen einzuschränken. Access-Aufzählung kann auch verwendet

werden. Bei Verwendung von Access-basierten Enumeration nicht Benutzer angezeigt, einen Ordner oder eine Datei, auf die sie keinen Zugriff haben. Weitere Informationen zu dieser Funktion finden Sie unterzugriffsbasierte Aufzählung.

Mögliche Auswirkung

Windows-Betriebssysteme und viele Programme wurden unter der Annahme entworfen, dass jeder Benutzer, die berechtigterweise auf den Computer zugreifen kann dieses Benutzerrecht hat. Daher wird empfohlen, alle Änderungen an den Zuweisungen von gründlich testen, dieAuslassen der durchsuchenden ÜberprüfungRecht, bevor Sie diese Änderungen auf den Produktionssystemen vornehmen. Insbesondere IIS erfordert dieses Benutzerrecht zugewiesen werden, Netzwerkdienst, lokaler Dienst, IIS_WPG, IUSR_< ComputerName >und IWAM_< ComputerName >Konten. (sie müssen auch das ASPNET-Konto über die Mitgliedschaft in der Gruppe "Benutzer" zugewiesen werden.) Es wird empfohlen, diese Einstellung bei der Standardkonfiguration zu lassen.

© 2015 Microsoft

Ändern der Systemzeit

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer die Zeit auf der internen Uhr des Computers anpassen können. Dieses Recht ermöglicht es den Computerbenutzer zum Ändern von Datum und Uhrzeit, die Datensätze in den Ereignisprotokollen, Datenbanktransaktionen und das Dateisystem zugeordnet. Dieses Recht wird auch vom Prozess erforderlich, die Synchronisierung ausführt. Diese Einstellung hat keinen Einfluss auf die Fähigkeit zum Ändern der Zeitzone oder anderer Anzeigeeigenschaften der Systemzeit des Benutzers. Informationen zum Zuweisen von rechts, um die Zeitzone ändern, finden Sie unterÄndern der Zeitzone. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeSystemtimePrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Einschränken derÄndern der SystemzeitBenutzer direkt an Benutzer mit legitimer müssen so ändern Sie die Systemzeit, z. B. Mitglieder der IT-Team.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig Mitglied der Administratoren und lokale Gruppen verfügen über dieses Recht auf Arbeitsstationen und Servern. Mitglieder der Administratoren, Server-Operatoren und lokalen Dienstgruppen verfügen über dieses Recht auf Domänencontrollern.

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive DC-Standardeinstellungen

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Benutzer, die auf einem Computer ändern können, können verschiedene Probleme auslösen. Beispiel:

Zeitstempel in Ereignisprotokolleinträgen konnte ungenaue hergestellt werden

Die Zeitstempel von Dateien und Ordnern, die erstellt oder geändert werden könnten falsch sein.

Computer, die zu einer Domäne gehören möglicherweise nicht selbst authentifizieren

Benutzer, die versuchen, die von Computern mit ungenauen Mal an der Domäne anmelden kann möglicherweise nicht authentifizieren. Auch, da das Kerberos-Authentifizierungsprotokoll muss die anfordernde Person und der

Authentifikator ihre Uhren innerhalb einer vom Administrator definierte Zeitversatz synchronisiert haben, ein Angreifer, der Uhrzeit des Computers ändert sich möglicherweise, bis dieser Computer nicht mehr abrufen oder Tickets des Authentifizierungsprotokolls Kerberos zu gewähren. Das Risiko von diesen Typen von Ereignissen wird auf den meisten Domänencontrollern, Mitgliedsservern und Endbenutzercomputern verringert, da der Windows-Zeitdienst automatisch mit den Domänencontrollern auf folgende Weise Synchronisation:

Alle desktop-Clientcomputern und Mitgliedsserver verwenden den authentifizierenden Domänencontroller als Zeitgeber.

Alle Domänencontroller in einer Domäne benennen die primäre Domäne Emulationsbetriebsmaster des Domänencontrollers (PDC) als Zeitgeber.

Alle PDC-Emulator-Betriebsmaster folgen die Hierarchie von Domänen in der Auswahl der Zeitgeber.

Der Betriebsmaster am Stamm der Domäne ist für die Organisation autorisierend. Aus diesem Grund empfehlen wir, dass Sie diesen Computer zum Synchronisieren mit einem zuverlässigen externen Zeitserver konfigurieren. Diese Sicherheitslücke ist eine große Gefahr, wenn ein Angreifer kann zum Ändern der Systemzeit und der Windows-Zeitdienst beenden oder neu konfigurieren, die mit einem Zeitserver zu synchronisieren, die nicht korrekt ist.

Gegenmaßnahme

Einschränken derÄndern der SystemzeitBenutzer direkt an Benutzer mit legitimer müssen so ändern Sie die Systemzeit, z. B. Mitglieder der IT-Team.

Mögliche Auswirkung

Da für die meisten Organisationen Synchronisierung für alle Computer, die der Domäne angehören, vollständig automatisiert werden sollten sollte nicht beeinträchtigt sein. Computer, die nicht zur Domäne gehören, sollte für die Synchronisierung mit einer externen Quelle, z. B. einen Webdienst konfiguriert werden.

© 2015 Microsoft

Ändern der Zeitzone

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer die Zeitzone angepasst werden können, die vom Computer verwendet wird, zum Anzeigen der lokalen Zeit, einschließlich der Systemzeit plus der Zeitzone Offset.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeTimeZonePrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

Keiner.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen auf unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung des Kontos für diese Benutzerrechte wird wirksam, das nächste Mal, wenn das Konto anmeldet.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

4.

Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ändern der Zeitzone darstellt kleine Sicherheitslücke, da die Systemzeit nicht beeinträchtigt wird. Mit dieser Einstellung kann lediglich Benutzer ihren bevorzugten Zeitzone anzeigen, während Sie mit Domänencontrollern in verschiedenen Zeitzonen synchronisiert wird.

Gegenmaßnahme

Gegenmaßnahmen sind nicht erforderlich, da die Systemzeit von dieser Einstellung nicht betroffen ist.

Mögliche Auswirkung

Keiner.

© 2015 Microsoft

Erstellen einer Auslagerungsdatei

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Das Windows-Betriebssystem kennzeichnet standardmäßig einen Abschnitt der Festplatte als virtueller Arbeitsspeicher als die Auslagerungsdatei oder genauer gesagt, als "Pagefile.sys" bezeichnet. Er dient als Ergänzung des Computers Arbeitsspeicher (RAM) zur Verbesserung der Leistung für Programme und Daten, die häufig verwendet werden. Obwohl die Datei von der Suche ausgeblendet ist, können Sie mithilfe der Systemeinstellungen verwalten. Diese Einstellung bestimmt, welche Benutzer erstellen und Ändern der Größe einer Seitendatei können. Bestimmt, ob Benutzer eine Auslagerungsdatei für ein bestimmtes Laufwerk im angeben, können dieLeistungsoptionenFeld befindet sich auf derErweitertauf der Registerkarte dieSystemeigenschaften(Dialogfeld) oder durch die Verwendung von internen Anwendung Interfaces (APIs). Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeCreatePagefilePrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Administratoren

Bewährte Methoden

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig verfügen Mitglieder der Gruppe der Administratoren über dieses Recht. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Die Größe der Auslagerungsdatei zu ändern, können Benutzer machen können sehr klein oder Verschieben der Datei in einem stark fragmentierten Speichermedium, Leistung des Computers verringert die verursachen.

Gegenmaßnahme

Einschränken derErstellen einer AuslagerungsdateiBenutzer direkt auf Mitglieder der Gruppe "Administratoren".

Mögliche Auswirkung

Keiner. Beschränken das Recht zum Mitglied der Gruppe "Administratoren" ist die Standardkonfiguration.

© 2015 Microsoft

Erstellen eines Tokenobjekts

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Konten von einem Prozess ein Token erstellen können und welche Konten es können dann verwenden, um Zugriff auf lokale Ressourcen zu erhalten, wenn der Prozess NtCreateToken() oder andere APIs Token-Erstellung verwendet. Wenn ein Benutzer sich auf dem lokalen Computer meldet oder eine Verbindung mit einem Remotecomputer über ein Netzwerk her, erstellt Windows Zugriffstoken des Benutzers. Das System überprüft dann das Token, um die Berechtigungsebene des Benutzers zu bestimmen. Wenn Sie ein Recht sperren, die Änderung wird sofort aufgezeichnet, aber die Änderung ist nicht im Zugriffstoken des Benutzers übernommen, bis zur nächsten Ausführung der Benutzer anmeldet oder eine Verbindung herstellt. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeCreateTokenPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Wenn es erforderlich ist, weisen Sie dieses Benutzerrecht an einen Benutzer, eine Gruppe oder ein Prozess als lokales System.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Dieses Benutzerrecht wird intern vom Betriebssystem verwendet. Standardmäßig ist er keine Benutzergruppen zugewiesen. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Implementierung implementiert. Sicherheitsrisiko Achtung Ein Benutzerkonto, das dieses Benutzerrecht erhält

Achtung

Ein Benutzerkonto, das dieses Benutzerrecht erhält hat die vollständige Kontrolle über das System und kan dass Sie keine Benutzerkonten dieses Recht zuweisen.

Das Betriebssystem überprüft Zugriffstoken eines Benutzers, um die Berechtigungsebene des Benutzers zu bestimmen. Zugriffstoken werden erstellt, wenn Benutzer melden Sie sich auf dem lokalen Computer oder auf einem Remotecomputer über ein Netzwerk herstellen. Wenn Sie ein Recht sperren, die Änderung wird sofort aufgezeichnet, aber die Änderung ist nicht im Zugriffstoken des

Benutzers übernommen, bis zur nächsten Ausführung der Benutzer anmeldet oder eine Verbindung herstellt. Benutzer mit der Möglichkeit zum Erstellen oder Ändern von Token können die Zugriffsstufe für jedes Konto auf einem Computer ändern, wenn sie derzeit angemeldet sind. Sie konnte ihre Rechte auszuweiten, oder erstellen Sie eine DoS-Zustand.

Gegenmaßnahme

Weisen Sie dieErstellen eines TokenobjektsBenutzer Rechte für alle Benutzer. Prozesse, die dieses Recht erfordern sollte das Konto Lokales System bereits verwenden, anstatt ein separates Benutzerkonto, die diesem Benutzer zugewiesen hat.

Mögliche Auswirkung

Keiner. Nicht definiert, ist die Standardkonfiguration.

© 2015 Microsoft

Globale Objekte erstellen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer globale Objekte erstellen können, die für alle Sitzungen verfügbar sind. Benutzer können weiterhin Objekte erstellen, die ihre eigenen Sitzung spezifisch sind, wenn sie nicht über diese Berechtigung verfügen. Ein globales Objekt ist ein Objekt, das erstellt wird, um die verwendet werden, eine beliebige Anzahl von Prozessen oder Threads, auch wenn diese nicht in der Sitzung des Benutzers gestartet. Remote Desktop Services verwendet globale Objekte in seine Prozesse, um Verbindungen und den Zugriff zu erleichtern. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeCreateGlobalPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Im folgenden aufgeführten Standardkonten

Bewährte Methoden

1. Alle Benutzerkonten-dieses Recht nicht zuweisen.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security SettingsLocal Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig verfügen Mitglieder der Gruppe "Administratoren" dieses Recht, als lokaler Dienst und Netzwerkdienst-zu den unterstützten Versionen von Windows Konten. Dienst für die Abwärtskompatibilität enthalten ist die Kompatibilität mit früheren Versionen von Windows.

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Vor Windows Server 2008 und Windows Vista enthalten die Standardwerte für diese Sicherheitsrichtlinie Administratoren, Dienst, Lokales System. Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Implementierung implementiert. Sicherheitsrisiko Achtung Ein Benutzerkonto, das dieses Benutzerrecht erhält

Achtung

Ein Benutzerkonto, das dieses Benutzerrecht erhält hat die vollständige Kontrolle über das System und kan dass Sie keine Benutzerkonten dieses Recht zuweisen.

Das Betriebssystem überprüft Zugriffstoken eines Benutzers, um die Berechtigungsebene des Benutzers zu bestimmen. Zugriffstoken werden erstellt, wenn Benutzer melden Sie sich auf dem lokalen Computer oder auf einem Remotecomputer über ein Netzwerk herstellen. Wenn Sie ein Recht sperren, die Änderung wird sofort aufgezeichnet, aber die Änderung ist nicht im Zugriffstoken des Benutzers übernommen, bis zur nächsten Ausführung der Benutzer anmeldet oder eine Verbindung herstellt. Benutzer mit der Möglichkeit zum Erstellen oder Ändern von Token können die Zugriffsstufe für derzeit angemeldete Konto ändern. Sie könnten ihre Rechte auszuweiten oder eine Denial-of- Service (DoS)-Bedingung zu erstellen.

Gegenmaßnahme

Weisen Sie dieErstellen eines TokenobjektsBenutzer Rechte für alle Benutzer. Prozesse, die dieses Recht erfordern sollte das Konto Lokales System bereits verwenden, anstatt ein separates Benutzerkonto mit diesem Benutzer zugewiesen.

Mögliche Auswirkung

Keiner. Nicht definiert, ist die Standardkonfiguration für Domäne Richtlinie.

© 2015 Microsoft

Permanente freigegebene Objekte erstellen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Dieses Benutzerrecht legt fest, welche Konten von Prozessen verwendet werden können, um ein Verzeichnisobjekt erstellen, mit dem Objekt-Manager. Verzeichnisobjekte umfassen Active Directory- Objekte, Dateien und Ordner, Drucker, Registrierungsschlüssel, Prozesse und Threads. Benutzer mit

dieser Funktion können dauerhafte freigegebene Objekte, einschließlich Geräte, Semaphoren und Mutexe erstellen. Dieses Benutzerrecht eignet sich für Kernelmodus-Komponenten, die den Objektnamespace erweitern. Da Komponenten, die grundsätzlich im Kernelmodus ausgeführt werden, diesem Benutzer zugewiesen haben, ist es nicht erforderlich, manuell zugewiesen. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeCreatePermanentPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Benutzer mit derpermanent freigegebene Objekte erstellenBenutzerrecht neue freigegebene Objekte erstellen und vertrauliche Daten im Netzwerk offen legen. Daher weisen Sie dieses Recht für alle Benutzer.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

In der StandardeinstellungLocalSystemist das einzige Konto, das über diese Berechtigung verfügt. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfügung, die Ihnen helfen, diese Richtlinie zu verwalten. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)

angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Benutzer mit derpermanent freigegebene Objekte erstellenBenutzerrecht neue freigegebene Objekte erstellen und vertrauliche Daten im Netzwerk offen legen.

Gegenmaßnahme

Weisen Sie diepermanent freigegebene Objekte erstellenBenutzer Rechte für alle Benutzer. Prozesse, die dieses Recht erfordern sollte das Systemkonto, das dieses Benutzerrecht bereits enthält, anstatt ein separates Benutzerkonto verwenden.

Mögliche Auswirkung

Keiner. Nicht definiert, ist die Standardkonfiguration.

© 2015 Microsoft

Erstellen symbolischer Verknüpfungen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Dieses Benutzerrecht legt fest, ob der Benutzer vom Computer eine symbolische Verknüpfung erstellen, bei dem sie angemeldet sind. Eine symbolische Verknüpfung ist ein Dateisystem-Objekt, das auf ein anderes Dateisystem-Objekt verweist. Das Objekt, das auf die gezeigt wird, wird das Ziel aufgerufen. Symbolische Links sind für den Benutzer transparent. Die Links werden als normale Dateien oder Verzeichnisse angezeigt, und sie können durch den Benutzer oder die Anwendung ergriffen werden, auf dieselbe Weise.Symbolische Verknüpfungen dienen zur Unterstützung bei der Migration und Anwendungskompatibilität mit UNIX- Betriebssystemen. Microsoft hat symbolische Verknüpfungen wie UNIX-Links-Funktion implementiert. Warnungdieses Recht sollte nur vertrauenswürdigen Benutzern erteilt werden. Symbolische Verknüpfungen können Sicherheitsrisiken in Clientanwendungen verfügbar machen, die deren Behandlung ausgelegt sind. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas.

Konstanten: SeCreateSymbolicLinkPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Dieses Benutzerrecht sollte nur vertrauenswürdigen Benutzern zugewiesen werden. Symbolische Verknüpfungen können Sicherheitsrisiken in Clientanwendungen verfügbar machen, die nicht entwickelt wurden, um sie zu behandeln.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig verfügen Mitglieder der Gruppe der Administratoren über dieses Recht. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die verschiedenen Features und Tools zur Verfügung, die Ihnen helfen, diese Richtlinie zu verwalten. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

Befehlszeilentools

Diese Einstellung kann in Verbindung mit einer symbolischen Verknüpfung dateisystemeinstellung verwendet werden, die bearbeitet werden können, mit dem Befehlszeilentool, um die Arten von symbolische Links zu steuern, die auf dem Computer zulässig sind. TypFsutil Verhalten festlegen Symlinkevalution /?in der Befehlszeile, um weitere Informationen zufsutilund symbolische Verknüpfungen.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Benutzer mit dererstellen symbolische VerknüpfungenBenutzerrecht konnte versehentlich oder böswillig Ihres Systems symbolische Verknüpfung Angriffe machen. Symbolische Verknüpfung Angriffe können zum Ändern der Berechtigungen auf eine Datei, um die Beschädigung von Daten, um Daten zu zerstören oder als einen DoS-Angriff verwendet werden.

Gegenmaßnahme

Weisen Sie diesymbolische Verknüpfungen erstellenBenutzer direkt dem Standardbenutzer. Dieses Recht auf vertrauenswürdige Administratoren zu beschränken. Sie können diefsutilBefehl eine symbolische Verknüpfung-Dateisystem festlegen, herstellen steuert die Art der symbolische Verknüpfungen, die auf einem Computer erstellt werden können.

Mögliche Auswirkung

Keiner. Nicht definiert, ist die Standardkonfiguration.

© 2015 Microsoft

Debuggen von Programmen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer zuordnen können, oder Öffnen alle Prozesse, auch solche, die sie nicht besitzen. Entwickler, die eigene Anwendung debuggen müssen nicht dieses Benutzerrecht zugewiesen werden. Entwickler, die neue Systemkomponenten debuggen, benötigen dieses Benutzers rechts. Dieses Benutzerrecht bietet Zugriff auf wichtige Komponenten des Betriebssystems. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeDebugPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern um Sicherheitsrisiken zu verringern.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig verfügen Mitglieder der Gruppe der Administratoren über dieses Recht. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Funktionen und Tools, die zum Verwalten dieser Richtlinie verfügbar sind. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)

angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

DieProgramme DebuggenBenutzerrecht vertraulichen Computerinformationen im Systemspeicher zu erfassen oder zum Zugreifen auf und Ändern von Kernel oder Anwendung Strukturen ausgenutzt werden kann. Einige Angriffstools Nutzen dieser Benutzer nach rechts, um verschlüsselte Kennwörter und andere private Sicherheitsinformationen zu extrahieren oder Rootkit Code einfügen. In der Standardeinstellung dieProgramme DebuggenBenutzerrecht ist nur Administratoren zugewiesen, das Risiko zu mindern unterstützt.

Gegenmaßnahme

Entfernen Sie die Konten aller Benutzer und Gruppen, die keine erfordern dieProgramme DebuggenRecht.

Mögliche Auswirkung

Wenn Sie dieses Benutzerrecht widerrufen, kann niemand Programme debuggen. Normalen Betrieb erfordern jedoch selten diese Funktion auf Produktionscomputern. Wenn ein Problem, die eine Anwendung auf einem Produktionsserver gedebuggt werden muss auftritt, können Sie den Server vorübergehend auf eine andere Organisationseinheit (OU) verschieben und Zuweisen derProgramme DebuggenBenutzer direkt zu einer separaten Gruppenrichtlinie für diese Organisationseinheit.

© 2015 Microsoft

Zugriff vom Netzwerk auf diesen Computer verweigern

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer daran gehindert werden, Zugriff auf einen Computer über das Netzwerk. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: "SeDenyNetworkLogonRight"

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Gast

Bewährte Methoden

1. Da alle Active Directory-Domänendienste-Programme zur Anmeldung am Netzwerk für den Zugriff verwenden, verwenden Sie diesen Benutzer direkt auf den Domänencontrollern zuweisen.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig ist diese Einstellung Gast, auf den Domänencontrollern sowie auf eigenständigen Servern. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Funktionen und Tools zur Verfügung, die Ihnen helfen, diese Richtlinie zu verwalten. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Diese Einstellung hat Vorrang vor denZugriff auf diesen Computer vom Netzwerk ausRichtlinie festlegen, wenn beide Richtlinien ein Benutzerkontos unterliegt. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)

angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Benutzer, die über das Netzwerk auf den Computer anmelden können, können Listen mit Kontennamen, Gruppennamen und freigegebenen Ressourcen auflisten. Benutzer mit der Berechtigung zum Zugriff auf freigegebene Ordner und Dateien können über das Netzwerk eine Verbindung herstellen und möglicherweise Daten anzeigen oder ändern.

Gegenmaßnahme

Weisen Sie dieVerweigern des Zugriffs auf diesen Computer vom Netzwerk ausBenutzer direkt auf die folgenden Konten:

Anonymous-Anmeldung

Integrierte lokale Administratorkonto

Lokales Gastkonto

Alle Dienstkonten

Eine wichtige Ausnahme von dieser Liste ist die Dienstkonten, die verwendet werden, um Dienste zu starten, die auf den Computer über das Netzwerk eine Verbindung herstellen muss. Nehmen wir z. B. für Web-Server Zugriff auf einen freigegebenen Ordner konfiguriert wurde und Sie Inhalte in diesem Ordner über eine Website angezeigt. Sie müssen das Konto zu ermöglichen, das IIS zum Anmelden am Server mit dem freigegebenen Ordner über das Netzwerk ausgeführt wird. Dieses Benutzerrecht ist besonders effektiv, wenn Sie konfigurieren müssen, Servern und Arbeitsstationen, auf denen vertraulicher Informationen aufgrund der Einhaltung Aspekte behandelt wird.

Mögliche Auswirkung

Wenn Sie konfigurieren dieVerweigern des Zugriffs auf diesen Computer vom Netzwerk ausBenutzer für andere Konten, können die Funktionen der Benutzer mit bestimmten Administratorrollen in Ihrer Umgebung einschränken. Sie sollten sicherstellen, dass delegierte Vorgänge dadurch nicht beeinträchtigt werden.

© 2015 Microsoft

Anmelden als Batchauftrag verweigern

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung legt fest, welche Konten für die Anmeldung mit einem Tool für die Warteschlange der Stapelverarbeitung planen und Aufträge in Zukunft automatisch starten gehindert werden. Die Fähigkeit, melden Sie sich mithilfe eines Tools für die Warteschlange der Stapelverarbeitung wird für jedes Konto benötigt, die zum Starten von geplanter Aufträgen mithilfe des Taskplaners verwendet wird. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeDenyBatchLogonRight

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Wenn Sie diese Berechtigung zuweisen, testen Sie gründlich, wie gewünscht wird.

3.

Anmelden als Batchauftrag verweigernverhindert, dass Administratoren oder Operatoren verwenden ihre persönlichen Konten zum Planen von Aufgaben, das mit Business Continuity unterstützt, wenn diese Person an andere Positionen oder Verantwortungsbereiche wechselt.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

werden die Betrifft Liste am Anfang dieses Themas. Hinweis Diese Einstellung ist nicht kompatibel mit Computern

Hinweis

Diese Einstellung ist nicht kompatibel mit Computern unter Windows 2000 Server mit Service Pack 1 oder

Dieser Abschnitt beschreibt die Funktionen und Tools zur Verfügung, die Ihnen helfen, diese Richtlinie zu verwalten. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. Diese Einstellung kann zu Konflikten mit und negieren derAnmelden als StapelverarbeitungsauftragEinstellung.

Gruppenrichtlinie

Auf einem Computer einer Domäne, einschließlich des Domänencontrollers kann dieser Richtlinie durch eine Domänenrichtlinie überschrieben werden, kann Sie keine Einstellung der lokalen Richtlinie ändern. Wenn Sie den Taskplaner auf dem Domänencontroller konfigurieren möchten, überprüfen Sie z. B. die Registerkarte "Einstellungen", der zwei Standarddomänencontroller-Richtlinie und Domänenrichtlinie GPOs in der Gruppenrichtlinien-Verwaltungskonsole (GPMC). Überprüfen Sie, ob das Ziel Konto

existiert nicht in derAnmelden als Batchauftrag verweigernZuweisen von Benutzerrechten und auch ordnungsgemäß konfiguriert, derAnmelden als StapelverarbeitungsauftragEinstellung. Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Konten mit demAnmelden als Batchauftrag verweigernBenutzerrecht konnte zum Planen von Aufträgen, die übermäßige Ressourcen beanspruchen und dazu führen, dass eine Denial-of-Service- Bedingung verwendet werden.

Gegenmaßnahme

Weisen Sie dieAnmelden als Batchauftrag verweigernBenutzer direkt auf dem lokalen Konto Gast.

Mögliche Auswirkung

Wenn Sie beim Zuweisen derAnmelden als Batchauftrag verweigernBenutzer direkt auf andere Konten, könnte die Möglichkeit, den Auftrag erforderlichen Aktivitäten für Benutzer führen, die bestimmte administrative Rollen zugewiesen sind verweigern. Sie sollten sicherstellen, dass die Aufgaben nicht beeinträchtigt werden.

© 2015 Microsoft

Anmelden als Dienst verweigern

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer anmelden an die Service-Anwendung auf einem Computer verhindert werden. Ein Dienst ist ein Anwendungstyp, der im Hintergrund ohne Benutzeroberfläche ausgeführt wird. Es bietet zentralen Betriebssystemfeatures, wie z. B. Webserving, Protokollierung, File-Serving, drucken, Kryptographie und Fehlerberichterstattung. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeDenyServiceLogonRight

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Wenn Sie diese Berechtigung zuweisen, testen Sie gründlich, wie gewünscht wird.

2. Ändern Sie diese Einstellung auf das entsprechende Gruppenrichtlinienobjekt (GPO) innerhalb einer Domäne.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Funktionen und Tools zur Verfügung, die Ihnen helfen, diese Richtlinie zu verwalten. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. Informationen zum Konfigurieren eines Diensts finden Sie unterkonfigurieren wie ein Dienst wurde gestartet.

Gruppenrichtlinie

Auf einem Computer einer Domäne, einschließlich des Domänencontrollers kann dieser Richtlinie

durch eine Domänenrichtlinie überschrieben werden, kann Sie keine Einstellung der lokalen Richtlinie ändern. Diese Einstellung kann zu Konflikten mit und negieren derAnmelden als DienstEinstellung. Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

3.

Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Konten, melden Sie sich bei einer Service-Anwendung verwendet werden könnte kann so konfigurieren und starten die neue nicht autorisierte Dienste, wie z. B. eine Keylogger oder anderer schädlicher Software. Der Vorteil der angegebenen Gegenmaßnahme Kbps durch die Tatsache, dass nur Benutzer mit Administratorrechten können Services installiert und konfiguriert, und ein Angreifer, der bereits diese Zugriffsebene erreicht hat, konnte den Dienst mit dem Systemkonto ausgeführt konfigurieren.

Gegenmaßnahme

Es wird empfohlen, dass Sie keine Zuweisen derAnmelden als Dienst verweigernBenutzer für alle Konten. Hierbei handelt es sich um die Standardkonfiguration. Organisationen, die Sicherheit besorgt sind möglicherweise Zuweisen dieser Benutzer Recht Gruppen und Konten, wenn sie sicher sind, dass sie nie eine Dienst-Anwendung anmelden müssen.

Mögliche Auswirkung

Wenn Sie weisen dieAnmelden als Dienst verweigernBenutzer direkt auf bestimmte Konten, Dienste möglicherweise nicht gestartet und kann einen Denial-of-Service-Zustand führen.

© 2015 Microsoft

Lokal anmelden verweigern

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer daran gehindert werden, direkt an den Computer- Konsole anmelden. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeDenyInteractiveLogonRight

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

2.

Testen Sie Ihre Änderungen an diese Einstellung zusammen mit derLokal anmelden zulassenEinstellung, um festzustellen, ob das Benutzerkonto, das beide Richtlinien werden.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

werden die Betrifft Liste am Anfang dieses Themas. Hinweis Diese Einstellung ist nicht kompatibel mit Computern

Hinweis

Diese Einstellung ist nicht kompatibel mit Computern unter Windows 2000 Server mit Service Pack 1 oder

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. Wenn Sie diese Einstellung jeder Gruppe anwenden, nicht werden lokal anmelden.

Gruppenrichtlinie

Diese Einstellung hat Vorrang vor denLokal anmelden zulassenRichtlinie festlegen, wenn beide Richtlinien ein Benutzerkontos unterliegt. Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein Konto mit der Möglichkeit zur lokalen Anmeldung konnte zum Anmelden an der Konsole des Computers verwendet werden. Dieses Benutzerrecht nicht auf autorisierte Benutzer beschränkt ist, die in der Konsole des Computers anmelden müssen, können nicht autorisierte Benutzer herunterladen und Ausführen von Malware, die ihre Benutzerrechte erhöht.

Gegenmaßnahme

Weisen Sie dieLokal anmelden verweigernBenutzer direkt auf dem lokalen Konto Gast. Wenn Sie optionale Komponenten wie z. B. ASP.NET installiert haben, empfiehlt es sich, dieses Benutzerrecht zusätzliche Konten zuweisen, die von diesen Komponenten erforderlich sind.

Mögliche Auswirkung

Wenn Sie beim Zuweisen derLokal anmelden verweigernrechts Benutzer weitere Konten, können die Funktionen der Benutzer auf bestimmte Rollen in Ihrer Umgebung zugewiesen sind einschränken. Allerdings sollte dieses Benutzerrecht explizit das ASPNET-Konto auf dem Computer zugewiesen werden, die mit der Webserver-Rolle konfiguriert sind. Sie sollten sicherstellen, dass delegierte Aktivitäten nicht beeinträchtigt werden.

© 2015 Microsoft

Anmelden über Remotedesktopdienste verweigern

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer anmelden am Computer über eine Remotedesktopverbindung über Remote Desktop Services verhindert werden. Es ist möglich, dass ein Benutzer eine Remotedesktopverbindung mit einem bestimmten Server herzustellen, jedoch nicht auf der Konsole von diesem Server anmelden. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeDenyRemoteInteractiveLogonRight

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1.

Öffnen Sie eine Remotedesktopverbindung und melden Sie sich bei dem Computer kann, fügen das Benutzerkonto hinzu oder Entfernen von Benutzerkonten aus der Gruppe Remotedesktopbenutzer steuern.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas. Remote Desktop Services wurde zuvor als Terminaldienste bezeichnet. Der Benennungsunterschied wirkt sich nicht darauf aus, wie diese Einstellung funktioniert.

sich nicht darauf aus, wie diese Einstellung funktioniert. Hinweis Diese Einstellung ist nicht kompatibel mit Computern

Hinweis

Diese Einstellung ist nicht kompatibel mit Computern unter Windows 2000 Server mit Service Pack 1 oder

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. DieRemote SystemEigenschaft steuert die Einstellungen für Remotedesktopdienste (Zulassen oder verhindern, dass Remoteverbindungen mit dem Computer) und für die Remoteunterstützung (Remoteunterstützungsverbindungen mit diesem Computer zulassen).

Gruppenrichtlinie

Diese Einstellung hat Vorrang vor denAnmelden über Remotedesktopdienste zulassenRichtlinie festlegen, wenn beide Richtlinien ein Benutzerkontos unterliegt. Gruppenrichtlinien werden in der folgenden Reihenfolge angewendet. Überschreiben diese Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie.

1.

Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein Konto mit dem Recht zum Anmelden über Remotedesktopdienste konnte für die Anmeldung an der Remotekonsole des Computers verwendet werden. Dieses Benutzerrecht nicht auf autorisierte Benutzer beschränkt ist, die Anmeldung an der Konsole des Computers benötigen, möglicherweise böswillige Benutzern herunterladen und Ausführen von Software, die die Benutzerrechte erhöht.

Gegenmaßnahme

Weisen Sie dieAnmelden über Remotedesktopdienste VerweigernBenutzer direkt auf das integrierte lokale Gastkonto und alle Dienstkonten. Wenn Sie optionale Komponenten, wie z. B. ASP.NET installiert haben empfiehlt es sich, dieses Benutzerrecht zusätzliche Konten zuweisen, die von diesen Komponenten erforderlich sind.

Mögliche Auswirkung

Wenn Sie zuweisen derAnmelden über Remotedesktopdienste VerweigernBenutzer direkt auf andere Gruppen, können die Funktionen von Benutzern, die bestimmte administrative Rollen in Ihrer Umgebung sind einschränken. Konten, die dieses Benutzerrecht besitzen Verbindung keine mit dem Computer über Remote Desktop Services oder die Remoteunterstützung. Sie sollten sicherstellen, dass die Aufgaben nicht beeinträchtigt werden.

© 2015 Microsoft

Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer festlegen, können diefür Delegierungszwecke vertrautfür einen Benutzer oder Computer-Objekt festlegen. Delegierung von Sicherheitskonten bietet die Möglichkeit, eine Verbindung mit mehreren Servern herstellen, und jede serveränderung behält die Anmeldeinformationen für die Authentifizierung des

ursprünglichen Clients.Delegierung der Authentifizierung ist eine Funktion, die Client- und serveranwendungen verwenden, wenn sie mehrere Ebenen aufweisen.Sie können einen öffentlichen Dienst auf Client-Anmeldeinformationen verwenden, um zu einer Anwendung zu authentifizieren oder Datenbankdienst.Für diese Konfiguration möglich ist müssen der Client und der Server unter Konten ausgeführt, die für Delegierungszwecke vertraut sind. Nur Administratoren mit denAktivieren von Computer- und Benutzerkonten für Delegierungszwecke vertraut seinAnmeldeinformationen kann Delegierung einrichten.Domänen- Admins und Organisations-Admins über diese Anmeldeinformationen verfügen.Die Prozedur ermöglicht es einen Benutzer für Delegierungszwecke vertraut wird, hängt von der Funktionsebene der Domäne ab. Das Benutzer oder Computer-Objekt, das dieses Recht erteilt benötigen Schreibzugriff auf die Kontosteuerungsflags.Ein Serverprozess ausgeführt auf einem Computer (oder in einem Benutzerkontext), die für Delegierungszwecke vertraut wird kann mithilfe der delegierten Anmeldeinformationen eines Clients auf Ressourcen auf einem anderen Computer zugreifen.Allerdings müssen das Clientkonto Schreibzugriff auf die Kontosteuerungsflags des Objekts. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeEnableDelegationPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Es gibt keinen Grund, weisen Sie dieses Benutzerrecht für alle Benutzer auf Mitgliedsservern und Arbeitsstationen, die zu einer Domäne gehören, da es in diesen Kontexten keine Bedeutung hat.Es ist nur relevant auf Domänencontrollern und eigenständigen Computern.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows.Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.Allerdings

konfigurieren diese Einstellung unterschiedliche Effekte auf Servern möglicherweise bei diesen Servern verschiedene Funktionsebenen.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ändern diese Einstellung kann die Kompatibilität mit Clients, Dienste und Programme auswirken. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomänenrichtlinie) und in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert. Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Missbrauch von derAktivieren von Computer- und Benutzerkonten für Delegierungszwecke vertraut seinBenutzerrecht können nicht autorisierte Benutzer anderen Benutzern im Netzwerk annehmen.Ein Angreifer könnte diese Berechtigung, um auf Netzwerkressourcen zuzugreifen und nur schwer bestimmen, wo nach einem Sicherheitsvorfall ausnutzen.

Gegenmaßnahme

DieAktivieren von Computer- und Benutzerkonten für Delegierungszwecke vertraut seinBerechtigung zugeordnet sein sollte, nur dann, wenn ein klares für seine Funktionalität benötigen.Wenn Sie dieses Recht zuweisen, sollten Sie die Verwendung der eingeschränkten Delegierung steuern, was die delegierten Konten möglich untersuchen.Dieses Recht ist auf Domänencontrollern standardmäßig der Gruppe "Administratoren" zugewiesen.

der Gruppe "Administratoren" zugewiesen. Hinweis Es gibt keinen Grund, weisen Sie dieses

Hinweis

Es gibt keinen Grund, weisen Sie dieses Benutzerrecht für alle Benutzer auf Mitgliedsservern und Arbeitsst keine Bedeutung hat.Es ist nur relevant auf Domänencontrollern und eigenständigen Computern.

Mögliche Auswirkung

Keiner. Nicht definiert, ist die Standardkonfiguration.

© 2015 Microsoft

Erzwingen des Herunterfahrens von einem Remotesystem

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer zum Herunterfahren eines Computers von einem Remotestandort im Netzwerk aus. Dadurch können Mitglieder der Gruppe "Administratoren" oder bestimmte Benutzer, Computer (für Aufgaben wie z. B. ein Neustart) von einem Remotestandort aus zu verwalten. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeRemoteShutdownPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Administratoren

Bewährte Methoden

1. Beschränken Sie diesen Benutzer explizit rechts auf Mitglieder der Gruppe "Administratoren" oder andere speziell zugewiesenen Rollen, die diese Funktion, wie z. B.-User Betriebspersonal erfordern.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig ist diese Einstellung Administratoren und Serveroperatoren auf Domänencontrollern und Administratoren auf eigenständigen Servern. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Diese Einstellung wurde mit Windows Vista und Windows Server 2008 eingeführt. Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. Diese Einstellung muss auf dem Computer angewendet werden, die Remote zugegriffen wird.

Gruppenrichtlinie

Dieses Benutzerrecht wird in den Controller Gruppe Objekt (Standarddomänenrichtlinie) und in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert. Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Jeder Benutzer, das Herunterfahren eines Computers könnte eine Denial-of-Service-Bedingung auftritt. Daher sollte diese Berechtigung strikt beschränkt werden.

Gegenmaßnahme

Einschränken derErzwingen des Herunterfahrens von einem Remotesystem ausrechts Mitglieder der Gruppe "Administratoren" oder andere Benutzer ausdrücklich zugewiesen Rollen, die diese Funktion, wie z. B.-User Betriebspersonal erfordern.

Mögliche Auswirkung

Auf einem Domänencontroller, wenn Sie entfernen dieErzwingen des Herunterfahrens von einem Remotesystem ausBenutzer direkt aus der Gruppe "Serveroperatoren", können die Funktionen der Benutzer mit bestimmten Administratorrollen in Ihrer Umgebung einschränken. Sie sollten sicherstellen, dass delegierte Aktivitäten nicht beeinträchtigt werden.

© 2015 Microsoft

Generieren von sicherheitsüberwachungen

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Konten durch einen anderen Prozess verwendet werden können, um Audit-Datensätze im Sicherheitsprotokoll zu generieren. Local Security Authority Subsystem Service schreibt Ereignisse in das Protokoll. Die Informationen können im Sicherheitsprotokoll nicht autorisierten Zugriff zu verfolgen. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: Agentaktionskonto

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Lokaler Dienst

Network Service (Netzwerkdienst)

Bewährte Methoden

1. Da das Überwachungsprotokoll potenziell eine Sicherheitslücke Gefährdung ein Kontos sein kann, stellen Sie sicher, dass nur die Konten Lokaler Dienst und Netzwerkdienst ist derGenerieren von sicherheitsüberwachungenBenutzer zugewiesen.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig ist diese Einstellung auf Domänencontrollern und eigenständigen Servern lokaler Dienst und Netzwerkdienst. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen Effektiven Standardwert für Clientcomputer

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam. Missbrauch dieses Benutzerrecht kann dazu führen, Generierung vieler Überwachungsereignisse, die potenziell Verbergen eines Angriffs oder einen Denial-of-Service-(DoS) verursacht, wenn dieAudit:

Herunterfahren des Systems zu Sicherheits-Audits protokolliertSicherheitsrichtlinie aktiviert ist. Weitere Informationen finden Sie unterAudit: Herunterfahren des Systems sofort, wenn Sie zu.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO)

angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein böswilliger Benutzer könnte Konten verwenden, die in das Sicherheitsprotokoll füllen Sie dieses Protokoll mit sinnlosen Ereignissen schreiben können. Wenn der Computer konfiguriert ist, um Ereignisse bei Bedarf überschrieben, können böswillige Benutzer diese Methode Beweise für seine nicht autorisierten Aktivitäten entfernen. Wenn der Computer heruntergefahren wird, wenn es konnte nicht in das Sicherheitsprotokoll geschrieben werden, und es nicht so konfiguriert ist, dass die Protokolldateien automatisch gesichert konfiguriert ist, kann diese Methode zum Erstellen einer DoS- Bedingung verwendet werden.

Gegenmaßnahme

Stellen Sie sicher, dass nur die Konten Lokaler Dienst und Netzwerkdienst haben dieGenerieren von sicherheitsüberwachungenBenutzer zugewiesen.

Mögliche Auswirkung

Keiner. Einschränken derGenerieren von sicherheitsüberwachungenBenutzer direkt auf die Konten Lokaler Dienst und Netzwerkdienst ist die Standardkonfiguration.

© 2015 Microsoft

Identitätswechsel eines Clients nach der Authentifizierung

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Programme Identität eines Benutzers oder einer anderen angegebenen Kontos und für den Benutzer zulässig sind. Wenn dieses Benutzerrecht für diese Art von Identitätswechsel erforderlich ist, kann kein nicht autorisierter Benutzer dazu führen, dass einen Client eine Verbindung herstellen (z. B. durch Remoteprozeduraufruf (RPC) oder named Pipes) an einen Dienst, den sie erstellt haben, um diesen Client zu imitieren. (Eine solche Aktion könnte der unbefugte Benutzer Berechtigungen für administrative oder Systemebenen erhöhen.) Identitätswechsel ist die Fähigkeit eines Threads in einem Sicherheitskontext ausführen, der sich aus dem Kontext des Prozesses unterscheidet, der den Thread besitzt. Identitätswechsel soll die Sicherheit von Client/Server-Anwendung erfüllen. Bei Ausführung im Sicherheitskontext des Clients ist"ein Dienst" der Client zu einem gewissen Grad. Einer der Threads den Dienst verwendet ein Zugriffstoken, das die Anmeldeinformationen des Clients den Zugriff auf die Objekte auf die der Client zugreifen kann darstellt. Der Hauptgrund für den Identitätswechsel werden dazu führen, dass Access überprüft die Identität des Clients ausgeführt wird. Verwenden die Identität des Clients für Zugriff überprüft verursachen Zugriff auf werden eingeschränkt oder erweitert werden, je nachdem, was der Client berechtigt ist. Dienste, die vom Dienstkontroll-Manager gestartet werden haben die integrierte Dienstgruppe Zugriffstoken standardmäßig hinzugefügt. COM-Servern, die von der COM-Infrastruktur gestartet und für die Ausführung unter einem bestimmten Konto konfiguriert sind, haben auch die Dienstgruppe Zugriffstoken hinzugefügt. Daher werden diese Prozesse dieses Benutzerrecht zugewiesen, beim Starten. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeImpersonatePrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Standardwerte

Nicht definiert

Bewährte Methoden

1. Ein Benutzer kann ein Zugriffstoken imitieren, wenn eine der folgenden Ursachen vorhanden ist:

o

Das Zugriffstoken, das Identität angenommen wird, ist für diesen Benutzer.

o

Der Benutzer in dieser Sitzung mit dem Netzwerk mit expliziten Anmeldeinformationen angemeldet das Zugriffstoken zu erstellen.

o Die angeforderte Datenschutzebene ist kleiner als Identität, wie z. B. anonym oder identifizieren. Aufgrund dieser Faktoren müssen nicht in der Regel Benutzer diesem Benutzer zugewiesen haben.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig ist diese Einstellung auf Domänencontrollern und eigenständige Server- Administratoren, lokaler Dienst, Netzwerkdienst und Service. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.

Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein Angreifer mit denAnnehmen der Clientidentität nach AuthentifizierungBenutzerrecht Erstellen eines Diensts, Irreführung von einem Client in Verbindung mit dem Dienst und diesem Computer zum Erhöhen der Zugriffsebene des Angreifers, der den Computer dann zu imitieren.

Gegenmaßnahme

Auf Mitgliedsservern sicher, dass nur Administratoren und Dienstgruppen (Lokaler Dienst, Netzwerkdienst und Service) über dieAnnehmen der Clientidentität nach AuthentifizierungBenutzer zugewiesen.

Mögliche Auswirkung

In den meisten Fällen wirkt sich diese Konfiguration nicht. Wenn Sie optionale Komponenten wie z. B. ASP.NET oder IIS installiert haben, müssen Sie möglicherweise zum Zuweisen derAnnehmen der Clientidentität nach Authentifizierungrechts Benutzer weitere Konten, die von diesen Komponenten, wie z. B. IUSR_ erforderlich sind< ComputerName >IIS_WPG, ASP.NET oder IWAM_< ComputerName >.

© 2015 Microsoft

Arbeitssatz eines Prozesses vergrößern

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer erhöhen oder verringern die Größe des Workingsets eines Prozesses können. Der Arbeitssatz eines Prozesses ist der Satz von Speicherseiten, die derzeit für den Prozess im physischen RAM sichtbar. Diese Seiten sind resident und für eine Anwendung verwenden, ohne dass ein Seitenfehler ausgelöst werden. Die minimale und maximale Größe der Arbeitsseiten Einfluss auf den virtuellen Speicher Auslagern des Verhaltens eines Prozesses.

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeIncreaseWorkingSetPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

1. Sie sollten Benutzer beachten, negative Leistung zur Probleme auftreten, wenn sie diese Einstellung ändern.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig wird dieses Recht Standardbenutzer haben. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Erhöhen die Größe des Workingsets für einen Prozess verringert die Menge des physischen Speichers, der für den Rest des Systems verfügbar ist.

Gegenmaßnahme

Erhöhen des Benutzers Bewusstsein der Anstieg der Arbeitssatz eines Prozesses und wie Sie erkennen, dass ihr System ungünstig beeinflusst wird, wenn sie diese Einstellung ändern.

Mögliche Auswirkung

Keiner. Standardbenutzer den Arbeitssatz eines Prozesses erhöhen, ist die Standardkonfiguration.

© 2015 Microsoft

Anheben der Zeitplanungspriorität

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzerkonten die Basis Prioritätsklasse eines Prozesses erhöhen können. Es ist kein privilegierter Vorgang, um die relative Priorität innerhalb einer Prioritätsklasse zu erhöhen. Dieses Benutzerrecht ist nicht erforderlich, Verwaltungstools, die mit dem Betriebssystem geliefert werden, jedoch können Sie nach Tools zur Softwareentwicklung erforderlich sein. Diese Einstellung wird außerdem bestimmt, welche Konten einen Prozess mit Schreibzugriff auf einen anderen Prozess verwenden können, um die Ausführungspriorität zu erhöhen, die dem anderen Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Planungspriorität eines Prozesses über die Benutzeroberfläche des Task-Managers ändern. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeIncreaseBasePriorityPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Administratoren

Bewährte Methoden

1. Können Sie den Standardwert, Administratoren, als das einzige Konto, das zum Steuern von Planungsprioritäten Prozess verantwortlich.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig ist diese Einstellung die Administratoren auf Domänencontrollern und auf eigenständigen Servern. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Ein Benutzer, der dieses Benutzerrecht zugewiesen ist konnte die Planungspriorität eines Prozesses zu Echtzeit erhöhen, die wenig Verarbeitungszeit für alle anderen Prozesse lassen und kann zu einem Denial-of-Service-Bedingung führen.

Gegenmaßnahme

Stellen Sie sicher, dass nur Administratoren haben dieAnheben der ZeitplanungsprioritätBenutzer zugewiesen.

Mögliche Auswirkung

Keiner. Einschränken derAnheben der ZeitplanungsprioritätBenutzer direkt auf Mitglieder der Gruppe "Administratoren" ist die Standardkonfiguration.

© 2015 Microsoft

Laden und Entfernen von Gerätetreibern

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Benutzer das dynamische Laden und Entladen von Gerätetreibern. Dieses Benutzerrecht ist nicht erforderlich, wenn ein signierter Treiber für die neue Hardware bereits in der Datei "Driver.cab" auf dem Computer vorhanden ist. Gerätetreiber werden als hoch privilegierter Code ausgeführt. Windows unterstützt die Plug & Play-Spezifikationen, die definieren, wie ein Computer erkennen und neu hinzugefügte Hardware konfigurieren und den Gerätetreiber automatisch installieren kann.Vor der Plug & Play mussten Benutzer Geräte vor dem Anfügen an den Computer manuell konfigurieren. Dieses Modell ermöglicht es einem Benutzer in der Hardware, dann sucht Windows nach einem Treiberpaket geeignetes Gerät anschließen und ohne Beeinträchtigung anderer Geräte funktioniert automatisch konfiguriert. Da die Gerätetreibersoftware ausgeführt wird, wird ein Teil des Betriebssystems mit unbeschränktem Zugriff auf den gesamten Computer, ist es wichtig, dass nur bekannte und autorisierte Gerätetreiber zugelassen werden. Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeLoadDriverPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Standardwerte

Nicht definiert

Bewährte Methoden

1. Aufgrund des Sicherheitsrisikos weisen Sie dieses Benutzerrecht für alle Benutzer, eine Gruppe oder ein Prozess, der nicht über das System übernehmen möchten.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Standardmäßig ist diese Einstellung Druck-Operatoren und Administratoren auf Domänencontrollern und Administratoren auf eigenständigen Servern. Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.

Dieser Abschnitt beschreibt die Features, Tools und Leitfäden zum Verwalten dieser Richtlinie. Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird. Jede Änderung an der Benutzerrechte für ein Konto wird das nächste Mal, wenn, das der Besitzer des Kontos anmeldet, wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge durch einen Group Policy Object (GPO) angewendet, die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden:

1. Einstellungen lokaler Richtlinien

2. Website-Richtlinien

3. Richtlinien für die Domäne

4. Richtlinien für die Organisationseinheit

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass es sich bei einem

Gruppenrichtlinienobjekt derzeit diese Einstellung steuert.

In diesem Abschnitt wird beschrieben, wie ein Angreifer ausnutzen könnte ein Feature oder eine seiner Konfiguration wie die Gegenmaßnahme und die negativen Konsequenzen Gegenmaßnahme Implementierung implementiert.

Sicherheitsrisiko

Gerätetreiber werden als hoch privilegierter Code ausgeführt. Ein Benutzer mit derLaden und Entladen von GerätetreibernBenutzerrecht konnte unbeabsichtigt Malware, die getarnt als

Gerätetreiber installieren. Administratoren sollten vorsichtig vor, und nur Treiber mit bestätigten digitalen Signaturen installieren.

HinweisTreiber mit bestätigten digitalen Signaturen installieren. Sie müssen dieses Benutzerrecht besitzen oder ein Mitglied

Sie müssen dieses Benutzerrecht besitzen oder ein Mitglied der lokalen Gruppe "Administratoren" einen ne lokalen Drucker verwalten und Konfigurieren von Standardeinstellungen für Optionen wie Duplexdruck.

Gegenmaßnahme

Weisen Sie dieLaden und Entladen von GerätetreibernBenutzer nach rechts, um alle Benutzer oder nur der Gruppe Administratoren auf Mitgliedsservern. Weisen Sie auf Domänencontrollern dieses Benutzerrecht für alle Benutzer oder die Gruppe Domänen-Admins.

Mögliche Auswirkung

Wenn Sie entfernen dieLaden und Entladen von GerätetreibernBenutzer direkt aus der Gruppe der Druck-Operatoren oder andere Konten, können die Funktionen der Benutzer mit bestimmten Administratorrollen in Ihrer Umgebung einschränken. Sie sollten sicherstellen, dass die Aufgaben nicht beeinträchtigt werden.

© 2015 Microsoft

Sperren von Seiten im Speicher

Betrifft: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8 In diesem Security Policy-Referenzthema für IT-Experten beschreibt die bewährten Methoden, Speicherort, Werte, Gruppenrichtlinien-Verwaltungskonsole und Sicherheitsaspekte für diese Einstellung.

Diese Einstellung bestimmt, welche Konten einen Prozess verwenden können, um Daten im physischen Speicher zu halten, die verhindert, dass den Computer die Daten in den virtuellen Speicher auf einem Datenträger auszulagern. Normalerweise kann eine Anwendung unter Windows für mehr physischen Speicher aushandeln und als Antwort auf die Anforderung, die Anwendung wird gestartet, die Daten aus dem RAM (z. B. der Datencache) auf einen Datenträger zu verschieben. Wenn auslagerungsfähigen Speichers auf einem Datenträger verschoben wird, erfolgt automatisch mehr RAM für das Betriebssystem zu verwenden. Aktivieren diese Einstellung für ein bestimmtes Konto (ein Benutzerkonto oder ein Prozesskonto für eine Anwendung) verhindert, dass die Paginierung der Daten. Somit beträgt die Speichermenge, die von Windows unter Druck freigeben kann. Dies kann zu Leistungseinbußen führen.

Hinweisfreigeben kann. Dies kann zu Leistungseinbußen führen. Konfigurieren Sie diese Einstellung, variiert die Leistung

Konfigurieren Sie diese Einstellung, variiert die Leistung des Windows-Betriebssystems abhängig, wenn ei werden und sie virtualisierte Bilder sind. Leistung unterscheiden sich auch zwischen früheren und späteren

Diese Einstellung ist in Versionen von Windows, die in festgelegt werden unterstützt dieBetrifftListe am Anfang dieses Themas. Konstanten: SeLockMemoryPrivilege

Mögliche Werte

Eine benutzerdefinierte Liste der Konten

Nicht definiert

Bewährte Methoden

Bewährte Methoden sind abhängig von der Plattformarchitektur und die Anwendung, die auf diesen Plattformen ausgeführt.

Speicherort

GPO_name\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien Settings\Security Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Rechte Zuweisung

Standardwerte

Die folgende Tabelle enthält die tatsächliche und effektive Richtlinie Standardwerte für die neuesten unterstützten Versionen von Windows. Standardwerte sind auch auf der Eigenschaftenseite für die Richtlinie aufgeführt.

Server-Typ oder das Gruppenrichtlinienobjekt

Standarddomänenrichtlinie

Standarddomänencontroller-Richtlinie

Standardeinstellungen für eigenständige Server

Effektive Standardeinstellungen der Domäne-Controller

Member Server effektiv Standardeinstellungen

Effektiven Standardwert für Clientcomputer

Betriebssystem-Versionsunterschiede

Es gibt keine Unterschiede in der Funktionsweise dieser Einstellung zwischen den unterstützten Versionen von Windows, die in festgelegt werden dieBetrifftListe am Anfang dieses Themas.Vorschläge für die Implementierung unterscheidet sich jedoch abhängig, wenn eine Anwendung auf 32-Bit- oder 64-Bit-Systemen ausgeführt werden und sie virtualisierte Bilder sind.