Erstellen eines Tokenobjekts
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Erstellen eines Tokenobjekts beschrieben.
Referenz
Mit dieser Richtlinieneinstellung wird bestimmt, welche Konten ein Prozess zum Erstellen eines Tokens verwenden kann und welche Konten dann für den Zugriff auf lokale Ressourcen verwendet werden können, wenn der Prozess NtCreateToken() oder andere APIs zum Erstellen von Token verwendet.
Wenn ein Benutzer sich auf dem lokalen Gerät anmeldet oder über ein Netzwerk eine Verbindung mit einem Remotegerät herstellt, erstellt Windows das Zugriffstoken des Benutzers. Das System überprüft dann das Token, um die Ebene der Berechtigungen des Benutzers zu bestimmen. Wenn Sie eine Berechtigung widerrufen, wird die Änderung sofort erfasst, sie wird jedoch erst im Zugriffstoken des Benutzers übernommen, wenn er sich das nächste Mal anmeldet oder eine Verbindung herstellt.
Konstante: SeCreateTokenPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Diese Benutzerberechtigung wird intern vom Betriebssystem verwendet. Wenn es nicht erforderlich ist, weisen Sie diese Benutzerberechtigung keinem Benutzer, keiner Gruppe und keinem Prozess außer dem „Lokales System“ zu.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Diese Benutzerberechtigung wird intern vom Betriebssystem verwendet. Standardmäßig wird sie keinen Benutzergruppen zugewiesen.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Lokales System |
Effektive Standardeinstellungen für Mitgliedsserver |
Lokales System |
Effektive Standardeinstellungen für Clientcomputer |
Lokales System |
Richtlinienverwaltung
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Achtung
Ein Benutzerkonto, dem diese Benutzerberechtigung zugewiesen wird, hat die vollständige Kontrolle über das System. Dies kann zu einer Gefährdung des Systems führen. Es wird dringend empfohlen, diese Berechtigung keinen Benutzerkonten zuzuweisen.
Windows überprüft das Zugriffstoken eines Benutzers, um die Ebene der Berechtigungen des Benutzers zu bestimmen. Zugriffstoken werden erstellt, wenn Benutzer sich auf dem lokalen Gerät anmelden oder über ein Netzwerk eine Verbindung mit einem Remotegerät herstellen. Wenn Sie eine Berechtigung widerrufen, wird die Änderung sofort erfasst, sie wird jedoch erst im Zugriffstoken des Benutzers übernommen, wenn er sich das nächste Mal anmeldet oder eine Verbindung herstellt. Benutzer mit der Möglichkeit zum Erstellen oder Ändern von Token können die Zugriffsebene für jedes Konto auf einem Computer ändern, solange sie angemeldet sind. Sie können ihre Berechtigungen ausweiten oder einen DoS-Zustand herbeiführen.
Gegenmaßnahme
Weisen Sie die Benutzerberechtigung Erstellen eines Tokenobjekts keinen Benutzern zu. Prozesse, die diese Benutzerberechtigung benötigen, sollten das Konto „Lokales System“ verwenden, das bereits über die Berechtigung verfügt, und kein separates Benutzerkonto, dem diese Benutzerberechtigung zugewiesen wurde.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.