Ersetzen eines Tokens auf Prozessebene
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Ersetzen eines Tokens auf Prozessebene beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, welche übergeordneten Prozesse das Zugriffstoken ersetzen können, das einem untergeordneten Prozess zugeordnet ist.
Insbesondere die Einstellung Ersetzen eines Tokens auf Prozessebene bestimmt, von welchen Benutzerkonten die CreateProcessAsUser()-Anwendungsprogrammierschnittstelle (API) aufgerufen werden kann, sodass ein Dienst von einem anderen gestartet werden kann. Ein Beispiel für einen Prozess, der dieses Benutzerrecht verwendet, ist die Aufgabenplanung, in der das Benutzerrecht auf alle Prozesse ausgeweitet wird, die von der Aufgabenplanung verwaltet werden können.
Ein Zugriffstoken ist ein Objekt, das den Sicherheitskontext eines Prozesses oder Threads beschreibt. Die Informationen in einem Token umfassen die Identität und Berechtigungen des Benutzerkontos, das dem Prozess oder Thread zugeordnet ist. Bei diesem Benutzerrecht wird das Zugriffstoken jedes untergeordneten Prozesses, der im Namen dieses Benutzerkontos ausgeführt wird, durch das Token auf Prozessebene ersetzt.
Konstante: SeAssignPrimaryTokenPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Standardwerte
Nicht definiert
Bewährte Methoden
- Stellen Sie bei Mitgliedsservern sicher, dass nur die Konten „Lokaler Dienst“ und „Netzwerkdienst“ über das Benutzerrecht Ersetzen eines Tokens auf Prozessebene verfügen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung ist „Netzwerkdienst“ und „Lokaler Dienst“ auf Domänencontrollern und eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Netzwerkdienst Lokaler Dienst |
Standardeinstellungen für eigenständige Server |
Netzwerkdienst Lokaler Dienst |
Effektive Standardeinstellungen für Domänencontroller |
Netzwerkdienst Lokaler Dienst |
Effektive Standardeinstellungen für Mitgliedsserver |
Netzwerkdienst Lokaler Dienst |
Effektive Standardeinstellungen für Clientcomputer |
Netzwerkdienst Lokaler Dienst |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer mit dem Benutzerrecht Ersetzen eines Tokens auf Prozessebene können Prozesse im Namen eines anderen Benutzers starten, wenn sie dessen Anmeldeinformationen kennen.
Gegenmaßnahme
Stellen Sie bei Mitgliedsservern sicher, dass nur die Konten „Lokaler Dienst“ und „Netzwerkdienst“ über das Benutzerrecht Ersetzen eines Tokens auf Prozessebene verfügen.
Mögliche Auswirkung
Bei den meisten Computern besteht die Standardkonfiguration in der Beschränkung des Benutzerrechts Ersetzen eines Tokens auf Prozessebene auf die integrierten Konten „Lokaler Dienst“ und „Netzwerkdienst“, und dies hat keine negativen Auswirkungen. Wenn Sie jedoch optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen das Benutzerrecht Ersetzen eines Tokens auf Prozessebene u. U. zusätzlichen Konten zuweisen. IIS erfordert beispielsweise, dass dieses Benutzerrecht dem Dienst-, Netzwerkdienst- und IWAM_<ComputerName>-Konto explizit gewährt wird.