Erzwingen des Herunterfahrens von einem Remotesystem aus

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Erzwingen des Herunterfahrens von einem Remotesystem aus beschrieben.

Referenz

Diese Einstellung bestimmt, welche Benutzer ein Gerät von einem Remotestandort im Netzwerk aus herunterfahren dürfen. Dadurch wird Mitgliedern der Gruppe „Administratoren“ oder bestimmten Benutzern das Verwalten von Computern (für Aufgaben wie einen Neustart) von einem Remotestandort aus gestattet.

Konstante: SeRemoteShutdownPrivilege

Mögliche Werte

  • Benutzerdefinierte Liste von Konten

  • Administratoren

Bewährte Methoden

  • Beschränken Sie dieses Benutzerrecht direkt auf Mitglieder der Gruppe „Administratoren“ oder sonstige speziell zugewiesenen Rollen, die diese Fähigkeit benötigen (z. B. Mitarbeiter ohne administrative Aufgaben).

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Standardwerte

Die standardmäßige Einstellung ist „Administratoren“ und „Serveroperatoren“ bei Domänencontrollern und „Administratoren“ bei eigenständigen Servern.

In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Administratoren

Serveroperatoren

Standardeinstellungen für eigenständige Server

Administratoren

Effektive Standardeinstellungen für Domänencontroller

Administratoren

Serveroperatoren

Effektive Standardeinstellungen für Mitgliedsserver

Administratoren

Effektive Standardeinstellungen für Clientcomputer

Administratoren

 

Richtlinienverwaltung

In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.

Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.

Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.

Diese Einstellung muss auf den Computer angewendet werden, auf den remote zugegriffen wird.

Gruppenrichtlinie

Dieses Benutzerrecht wird im Gruppenrichtlinienobjekt (GPO) für den Standarddomänencontroller sowie in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:

  1. Lokale Richtlinieneinstellungen

  2. Websiterichtlinieneinstellungen

  3. Domänenrichtlinieneinstellungen

  4. OE-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Jeder Benutzer, der ein Gerät herunterfahren darf, kann einen Denial-of-Service-Zustand verursachen. Daher sollte diese Berechtigung strikt beschränkt werden.

Gegenmaßnahme

Beschränken Sie das Benutzerrecht Erzwingen des Herunterfahrens von einem Remotesystem aus auf Mitglieder der Gruppe „Administratoren“ oder sonstige speziell zugewiesene Rollen, die diese Fähigkeit benötigen, z. B. Mitarbeiter ohne administrative Aufgaben.

Mögliche Auswirkung

Wenn Sie auf einem Domänencontroller der Gruppe „Serveroperatoren“ das Benutzerrecht Erzwingen des Herunterfahrens von einem Remotesystem aus entziehen, beschränken Sie u. U. die Fähigkeiten von Benutzern, denen in Ihrer Umgebung bestimmte Administratorrollen zugewiesen sind. Sie müssen sich vergewissern, dass delegierte Aktivitäten nicht beeinträchtigt werden.

Verwandte Themen

Zuweisen von Benutzerrechten