Anhang H: Schützen lokaler Administratorkonten und -gruppen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang H: Schützen lokaler Administratorkonten und -gruppen

Bei allen Versionen von Windows derzeit im Mainstream-Support ist das lokale Administratorkonto standardmäßig deaktiviert, wodurch das Konto für Pass-the-Hash- und andere Diebstahlangriffe auf Anmeldeinformationen unbrauchbar wird. In Umgebungen mit älteren Betriebssystemen oder in denen lokale Administratorkonten aktiviert wurden, können diese Konten jedoch wie zuvor beschrieben verwendet werden, um kompromittierte Elemente auf Mitgliedsserver und Arbeitsstationen zu verteilen. Jedes lokale Administratorkonto und jede Lokale Administratorgruppe sollte wie in den nachfolgenden Schrittanleitungen beschrieben gesichert werden.

Ausführliche Informationen zu Überlegungen zum Sichern integrierter Administratorgruppen (Built-in Administrator, BA) finden Sie unter Implementing Least-Privilege Administrative Models.

Steuerelemente für lokale Administratorkonten

Für das lokale Administratorkonto in jeder Domäne in Ihrer Gesamtstruktur sollten Sie die folgenden Einstellungen konfigurieren:

  • Konfigurieren von Gruppenrichtlinienobjekten, um die Verwendung des Administratorkontos der Domäne auf in die Domäne beigetretenen Systemen einzuschränken
    • Fügen Sie in mindestens einem Gruppenrichtlinienobjekt, das Sie erstellen und mit Arbeitsstations- und Mitgliedsserver-OUs in jeder Domäne verknüpfen, das Administratorkonto den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows Einstellungen\Sicherheit Einstellungen\Lokale Richtlinien\Benutzerrechtezuweisungen hinzu:

      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Schritt-für-Schritt-Anleitung zum Schützen lokaler Administratorgruppen

Konfigurieren von Gruppenrichtlinienobjekten zum Einschränken des Administratorkontos auf Domain-Joined Systemen
  1. Klicken Server-Manager auf Extras und anschließend auf Gruppenrichtlinie Management.

  2. Erweitern Sie in der <Forest> Konsolenstruktur \Domains<Domain , und dann Gruppenrichtlinie Objects (wobei der Name der Gesamtstruktur und der Name der Domäne ist, in der Sie \ > die <Forest> <Domain> Gruppenrichtlinie).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste Gruppenrichtlinie Objekte, und klicken Sie auf Neu.

    Screenshot: Registerkarte "Mitglieder" zum Konfigurieren von Gruppenrichtlinienobjekten zum Einschränken des Administratorkontos auf in die Domäne beigetretenen Systemen

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt ein, und klicken Sie <GPO Name> auf OK (wobei der Name <GPO Name> dieses Gruppenrichtlinienobjekts ist).

    Screenshot, der zeigt, wo sie das Gruppenrichtlinienobjekt benennen können, damit Sie Gruppenrichtlinienobjekte konfigurieren können, um das Administratorkonto auf in die Domäne beigetretenen Systemen einzuschränken.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste <GPO Name> auf , und klicken Sie auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows Einstellungen\Sicherheit Einstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot, der zeigt, wo Sie navigieren können, damit Sie Gruppenrichtlinienobjekte konfigurieren können, um das Administratorkonto auf in die Domäne beigetretenen Systemen einzuschränken.

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das lokale Administratorkonto über das Netzwerk auf Mitgliederserver und Arbeitsstationen zutritt:

    1. Doppelklicken Sie auf Zugriff auf diesen Computer über das Netzwerk verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist "Administrator". Dies ist die Standardeinstellung, wenn Windows installiert wird.

      Screenshot, der zeigt, wie Sie überprüfen können, ob Sie die Benutzerrechte konfiguriert haben, um zu verhindern, dass das lokale Administratorkonto über das Netzwerk auf Mitgliederserver und Arbeitsstationen zutritt.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren, indem Sie die Konten beschriften. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Deny-Rechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie administrator in diese Benutzerrechteeinstellungen in der Gruppenrichtlinienobjekt-Editor eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  8. Konfigurieren Sie die Benutzerrechte wie folgt, um zu verhindern, dass sich das lokale Administratorkonto als Batchauftrag anmelden kann:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist "Administrator". Dies ist die Standardeinstellung, wenn Windows installiert wird.

      Screenshot, der zeigt, wie Sie überprüfen, ob Sie die Benutzerrechte konfiguriert haben, um zu verhindern, dass sich das lokale Administratorkonto als Batchauftrag anmelden kann.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren, indem Sie die Konten beschriften. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Deny-Rechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie administrator in diese Benutzerrechteeinstellungen in der Gruppenrichtlinienobjekt-Editor eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  9. Konfigurieren Sie die Benutzerrechte wie folgt, um zu verhindern, dass sich das lokale Administratorkonto als Dienst anmelden kann:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist "Administrator". Dies ist die Standardeinstellung, wenn Windows installiert wird.

      Screenshot, der zeigt, wie Sie überprüfen können, ob Sie die Benutzerrechte konfiguriert haben, um zu verhindern, dass sich das lokale Administratorkonto als Dienst anmelden kann.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren, indem Sie die Konten beschriften. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Deny-Rechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie administrator in diese Benutzerrechteeinstellungen in der Gruppenrichtlinienobjekt-Editor eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  10. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das lokale Administratorkonto über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zutritt:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist "Administrator". Dies ist die Standardeinstellung, wenn Windows installiert wird.

      Screenshot, der zeigt, wie Sie überprüfen, ob Sie die Benutzerrechte konfiguriert haben, um den Zugriff des lokalen Administratorkontos auf Mitgliedsserver und Arbeitsstationen über Remotedesktopdienste.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren, indem Sie die Konten beschriften. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Deny-Rechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie administrator in diese Benutzerrechteeinstellungen in der Gruppenrichtlinienobjekt-Editor eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  11. Klicken Sie zum Gruppenrichtlinienverwaltungs-Editor auf Datei und dann auf Beenden.

  12. Verknüpfen Gruppenrichtlinie-Verwaltung das Gruppenrichtlinienobjekt wie folgt mit dem Mitgliedsserver und den Arbeitsstations-OUs:

    1. Navigieren Sie zur Domäne \Domains<(wobei der Name der Gesamtstruktur und der Name der Domäne ist, in der Sie <Forest> \ die Domäne > <Forest> <Domain> Gruppenrichtlinie).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot, der die Menüoption Vorhandenes Gruppenrichtlinienobjekt verknüpfen zeigt, wenn Sie versuchen, das Gruppenrichtlinienobjekt mit dem Mitgliedsserver und den Arbeitsstations-OUs zu verknüpfen.

    3. Wählen Sie das gruppenrichtlinienobjekt aus, das Sie erstellt haben, und klicken Sie auf OK.

      Screenshot, der zeigt, wo Sie das GPO auswählen können, das Sie gerade erstellt haben, während Sie das Gruppenrichtlinienobjekt mit dem Mitgliedsserver und den Arbeitsstations-OUs verknüpfen.

    4. Erstellen Sie Links zu allen anderen Organisations o.a., die Arbeitsstationen enthalten.

    5. Erstellen Sie Links zu allen anderen Organisations o.a., die Mitgliedsserver enthalten.

Überprüfungsschritte

Überprüfen Sie, ob das Gruppenrichtlinienobjekt "Zugriff auf diesen Computer über das Netzwerk verweigern" Einstellungen

Versuchen Sie von allen Mitgliedsservern oder Arbeitsstationen, die von den Änderungen des Gruppenrichtlinienobjekts nicht betroffen sind (z. B. einem Sprungserver), über das Netzwerk, das von den Gruppenrichtlinienobjektänderungen betroffen ist, auf einen Mitgliedsserver oder eine Arbeitsstation zu zugreifen. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mithilfe des NET USE-Befehls zu zuordnen.

  1. Melden Sie sich lokal bei allen Mitgliedsservern oder Arbeitsstationen an, die von den Änderungen des Gruppenrichtlinienobjekts nicht betroffen sind.

  2. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Leiste Charms angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen die Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Wenn Sie aufgefordert werden, die Erhöhung der Rechte zu genehmigen, klicken Sie auf Ja.

    Screenshot: Dialogfeld "Benutzerkontensteuerung", das beim Überprüfen der Gruppenrichtlinienobjekteinstellungen angezeigt wird

  5. Geben Sie im Eingabeaufforderungsfenster ein, wobei der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über net use \\<Server Name>\c$ /user:<Server Name>\Administrator das Netzwerk zugreifen <Server Name> möchten.

    Hinweis

    Die lokalen Administratoranmeldeinformationen müssen sich auf demselben System anmelden, auf das Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden sollte.

    Screenshot: Fehlermeldung "Anmeldefehler" beim Überprüfen der Gruppenrichtlinienobjekteinstellungen

Überprüfen Sie das Gruppenrichtlinienobjekt "Anmeldung als Batchauftrag verweigern" Einstellungen

Melden Sie sich von allen Mitgliedsservern oder Arbeitsstationen, die von den Änderungen des Gruppenrichtlinienobjekts betroffen sind, lokal an.

Erstellen einer Batchdatei
  1. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Leiste Charms angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Suchfeld Editor ein, und klicken Sie auf Editor.

  3. Geben Editor in den Text dir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname <Filename>.bat (wobei der Name der neuen <Filename> Batchdatei ist) ein.

Planen einer Aufgabe
  1. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Leiste Charms angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Taskplaner ein, und klicken Sie Taskplaner.

    Hinweis

    Geben Sie auf Computern, Windows 8 ausführen, im Suchfeld Zeitplanaufgaben ein, und klicken Sie auf Aufgaben planen.

  3. Klicken Sie auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Task erstellen ein <Task Name> (wobei der Name der neuen Aufgabe <Task Name> ist).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Klicken Sie im Feld Aktion auf Programm starten.

  7. Klicken Sie im Feld Programm/Skript auf Durchsuchen, suchen Und wählen Sie die Batchdatei aus, die im Abschnitt Erstellen einer Batchdatei erstellt wurde, und klicken Sie auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie im Feld Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen des lokalen Administratorkontos des Systems ein, klicken Sie auf Namen überprüfen und dann auf OK.

  12. Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht, und speichern Sie das Kennwort nicht. Der Task hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem Anmeldeinformationen für das Benutzerkonto zum Ausführen der Aufgabe erforderlich sind.

  15. Klicken Sie nach der Eingabe der Anmeldeinformationen auf OK.

  16. Ein Dialogfeld ähnlich dem folgenden sollte angezeigt werden.

    Screenshot, der das Dialogfeld Taskplaner, das beim Planen einer Aufgabe angezeigt wird.

Überprüfen Sie das Gruppenrichtlinienobjekt "Anmelden als Dienst verweigern" Einstellungen
  1. Melden Sie sich von allen Mitgliedsservern oder Arbeitsstationen, die von den Änderungen des Gruppenrichtlinienobjekts betroffen sind, lokal an.

  2. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Leiste Charms angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Suchfeld dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach , und doppelklicken Sie auf Druckspooler.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Klicken Sie im Feld Anmelden als auf Dieses Konto.

  7. Klicken Sie auf Durchsuchen, geben Sie das lokale Administratorkonto des Systems ein, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

  8. Geben Sie in den Feldern Kennwort und Kennwort bestätigen das Kennwort des ausgewählten Kontos ein, und klicken Sie auf OK.

  9. Klicken Sie drei weitere Male auf OK.

  10. Klicken Sie mit der rechten Maustaste auf Druckspooler, und klicken Sie auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot, der eine Meldung zeigt, die angibt, Windows den Druckspooler auf dem lokalen Computer nicht starten konnte.

Rückgängig machen von Änderungen am Druckerspoolerdienst
  1. Melden Sie sich von allen Mitgliedsservern oder Arbeitsstationen, die von den Änderungen des Gruppenrichtlinienobjekts betroffen sind, lokal an.

  2. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Leiste Charms angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Suchfeld dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach , und doppelklicken Sie auf Druckspooler.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie im Feld Anmelden als: die Option Lokales Systemkonto aus, und klicken Sie auf OK.

Überprüfen Sie das Gruppenrichtlinienobjekt "Anmeldung über Remotedesktopdienste verweigern" Einstellungen
  1. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Leiste Charms angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen die Remotedesktopverbindung ein, und klicken Sie Remotedesktopverbindung.

  3. Geben Sie im Feld Computer den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie auf Verbinden. (Sie können auch die IP-Adresse anstelle des Computernamens eingeben.)

  4. Wenn Sie dazu aufgefordert werden, geben Sie Anmeldeinformationen für das lokale Administratorkonto des Systems an.

  5. Ein Dialogfeld ähnlich dem folgenden sollte angezeigt werden.

    Sichern lokaler Administratorkonten und -gruppen