Zugriff vom Netzwerk auf diesen Computer verweigern

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Zugriff vom Netzwerk auf diesen Computer verweigern beschrieben.

Referenz

Diese Richtlinieneinstellung legt fest, welche Benutzer am Zugriff auf ein Gerät über das Netzwerk gehindert werden.

Konstante: SeDenyNetworkLogonRight

Mögliche Werte

  • Benutzerdefinierte Liste von Konten

  • Gast

Bewährte Methoden

  • Da bei allen Programmen der Active Directory-Domänendienste der Zugriff über eine Netzwerkanmeldung erfolgt, gehen Sie mit Bedacht vor, wenn Sie dieses Benutzerrecht für Domänencontroller zuweisen.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Die standardmäßige Einstellung ist „Gast“ auf Domänencontrollern und eigenständigen Servern.

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Gast

Standardeinstellungen für eigenständige Server

Gast

Effektive Standardeinstellungen für Domänencontroller

Gast

Effektive Standardeinstellungen für Mitgliedsserver

Gast

Effektive Standardeinstellungen für Clientcomputer

Gast

 

Richtlinienverwaltung

In diesem Abschnitt werden die Features und Tools beschrieben, mit denen diese Richtlinie verwaltet wird.

Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Diese Richtlinieneinstellung hat Vorrang gegenüber der Richtlinieneinstellung Auf diesen Computer vom Netzwerk aus zugreifen, wenn für ein Benutzerkonto beide Richtlinien gelten.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen

  2. Websiterichtlinieneinstellungen

  3. Domänenrichtlinieneinstellungen

  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Benutzer, die sich über das Netzwerk am Gerät anmelden können, können Listen von Kontonamen, Gruppennamen und freigegebenen Ressourcen enumerieren. Benutzer mit der Berechtigung für den Zugriff auf freigegebene Ordner und Dateien können eine Verbindung über das Netzwerk herstellen und möglicherweise Daten anzeigen oder ändern.

Gegenmaßnahme

Weisen Sie das Benutzerrecht Zugriff vom Netzwerk auf diesen Computer verweigern den folgenden Konten zu:

  • Anonyme Anmeldung

  • Integriertes lokales Administratorkonto

  • Lokales Gastkonto

  • Alle Dienstkonten

Eine wichtige Ausnahme von dieser Liste sind Dienstkonten zum Starten von Diensten, die über das Netzwerk eine Verbindung mit dem Gerät herstellen müssen. Angenommen, Sie haben einen freigegebenen Ordner für den Zugriff von Webservern konfiguriert, und Sie stellen die Inhalte in diesem Ordner über eine Website bereit. Sie müssen u. U. dem Konto für die Ausführung von IIS gestatten, sich aus dem Netzwerk beim Server mit dem freigegebenen Ordner anzumelden. Dieses Benutzerrecht ist besonders effektiv, wenn Sie Server und Arbeitsstationen konfigurieren müssen, auf denen in Erfüllung gesetzlicher Auflagen vertrauliche Informationen verarbeitet werden.

Mögliche Auswirkung

Wenn Sie das Benutzerrecht Zugriff vom Netzwerk auf diesen Computer verweigern für andere Konten konfigurieren, beschränken Sie u. U. die Fähigkeit von Benutzern, denen in Ihrer Umgebung bestimmte Administratorrollen zugewiesen sind. Sie sollten sich vergewissern, dass die zugewiesenen Aufgaben nicht beeinträchtigt werden.

Verwandte Themen

Zuweisen von Benutzerrechten