Einsetzen als Teil des Betriebssystems
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Einsetzen als Teil des Betriebssystems beschrieben.
Referenzen
Mit der Richtlinieneinstellung Einsetzen als Teil des Betriebssystems legen Sie fest, ob ein Prozess die Identität eines Benutzers annehmen kann und dadurch die Zugriffsrechte des Benutzers auf Ressourcen erhält. Normalerweise benötigen nur einfache Authentifizierungsdienste dieses Recht. Der potenzielle Zugriff ist nicht auf die Ressourcen beschränkt, die dem Benutzer standardmäßig zugewiesen wurden. Der aufrufende Prozess kann anfordern, dass dem Zugriffstoken weitere beliebige Berechtigungen hinzugefügt werden. Zudem kann der aufrufende Prozess ein Zugriffstoken erstellen, das keine primäre Identität für die Überwachung in den Systemereignisprotokollen bereitstellt.
Konstante: SeTcbPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Weisen Sie diese Berechtigung keinen Benutzerkonten zu. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzer zu.
Wenn ein Dienst diese Berechtigung benötigt, konfigurieren Sie den Dienst so, dass er sich über das lokale Systemkonto anmeldet, das grundsätzlich über diese Berechtigung verfügt. Erstellen Sie kein separates Konto, um ihm dieses Benutzerrecht zuzuweisen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Das Benutzerrecht Einsetzen als Teil des Betriebssystems ist extrem leistungsstark. Benutzer mit diesem Benutzerrecht können die vollständige Kontrolle über das Gerät erlangen und jeglichen Nachweis für ihre Aktivitäten löschen.
Gegenmaßnahme
Beschränken Sie das Benutzerrecht Einsetzen als Teil des Betriebssystems auf möglichst wenig Konten. Es sollte in der Regel nicht einmal der Gruppe „Administratoren“ zugewiesen werden. Wenn ein Dienst dieses Benutzerrecht benötigt, konfigurieren Sie den Dienst so, dass er sich über das lokale Systemkonto anmeldet, das grundsätzlich über diese Berechtigung verfügt. Erstellen Sie kein separates Konto, um ihm dieses Benutzerrecht zuzuweisen.
Mögliche Auswirkung
Da das Benutzerrecht Einsetzen als Teil des Betriebssystems selten von anderen Konten als dem lokalen Systemkonto benötigt wird, sollte dies kaum oder gar keine Auswirkungen haben.