Anmelden als Dienst verweigern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anmelden als Dienst verweigern beschrieben.
Referenz
Diese Einstellung bestimmt, welche Benutzer am Anmelden bei den Dienstanwendungen auf einem Gerät gehindert werden.
Ein Dienst ist ein Anwendungstyp, der im Hintergrund des Systems ohne Benutzeroberfläche ausgeführt wird. Er enthält residente Betriebssystemfeatures, z. B. Webdienste, Ereignisprotokollierung, Dateidienste, Drucken, Kryptografie und Fehlerberichterstattung.
Konstante: SeDenyServiceLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Beim Zuweisen dieser Berechtigung müssen Sie gründlich testen, ob die Auswirkungen Ihren Absichten entsprechen.
Ändern Sie diese Einstellung in einer Domäne für das entsprechende Gruppenrichtlinienobjekt (GPO).
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features und Tools beschrieben, mit denen diese Richtlinie verwaltet wird.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Auf einem Gerät in einer Domäne (einschließlich des Domänencontrollers) kann dieser Richtlinie durch eine Domänenrichtlinie überschrieben werden, die das Ändern der lokalen Richtlinieneinstellung verhindert.
Diese Richtlinieneinstellung kann einen Konflikt mit der Einstellung Anmelden als Dienst verursachen und diese außer Kraft setzen.
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Mit Konten, die sich bei einer Dienstanwendung anmelden können, können neue nicht autorisierte Dienste konfiguriert und gestartet werden, z. B. ein Keylogger oder sonstige Schadsoftware. Der Vorteil der beschriebenen Gegenmaßnahme wird in gewisser Weise durch folgenden Umstand gemindert: Nur Benutzer mit Administratorrechten können Dienste installieren und konfigurieren, und ein Angreifer, der bereits eine solche Zugriffsstufe erlangt hat, kann den Dienst über das Systemkonto für die Ausführung konfigurieren.
Gegenmaßnahme
Wir empfehlen, dass Sie das Benutzerrecht Anmelden als Dienst verweigern keinem Konto zuweisen. Dies ist die Standardkonfiguration. In Organisationen, bei denen die Sicherheit einen hohen Stellenwert einnimmt, kann dieses Benutzerrecht Gruppen und Konten zugewiesen werden, wenn sicher ist, dass sich diese nie bei einer Dienstanwendung anmelden müssen.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Anmelden als Dienst verweigern bestimmten Konten zuweisen, werden Dienste u. U. nicht gestartet, und dies kann einen Denial-of-Service-Zustand verursachen.