Richtlinien-CSP – LocalPoliciesSecurityOptions


LocalPoliciesSecurityOptions-Richtlinien

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Hinweis

Informationen zum Suchen von Datenformaten (und anderen richtlinienbezogenen Details) finden Sie in der Richtlinien-DDF-Datei.

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Diese Richtlinieneinstellung verhindert, dass Benutzer neue Microsoft-Konten auf diesem Computer hinzufügen.

Wenn Sie die Option "Benutzer können keine Microsoft-Konten hinzufügen" auswählen, können Benutzer auf diesem Computer keine neuen Microsoft-Konten erstellen, kein lokales Konto zu einem Microsoft-Konto wechseln oder ein Domänenkonto mit einem Microsoft-Konto verbinden. Dies ist die bevorzugte Option, wenn Sie die Verwendung von Microsoft-Konten in Ihrem Unternehmen einschränken müssen.

Wenn Sie die Option "Benutzer können sich nicht mit Microsoft-Konten anmelden" auswählen, können sich vorhandene Microsoft-Kontobenutzer nicht bei Windows anmelden. Wenn Sie diese Option auswählen, kann es für einen vorhandenen Administrator auf diesem Computer unmöglich sein, sich anzumelden und das System zu verwalten.

Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren (empfohlen), können Benutzer Microsoft-Konten mit Windows verwenden.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Konten: Microsoft-Konten blockieren
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

Die folgende Liste zeigt die unterstützten Werte:

  • 0 – deaktiviert (Benutzer können Microsoft-Konten mit Windows verwenden).
  • 1 – aktiviert (Benutzer können keine Microsoft-Konten hinzufügen).

LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken

Diese Sicherheitseinstellung bestimmt, ob lokale Konten, die nicht kennwortgeschützte Konten sind, verwendet werden können, um sich von anderen Speicherorten als der physischen Computerkonsole anzumelden. Wenn diese Option aktiviert ist, können sich lokale Konten, die nicht kennwortgeschützte Konten sind, nur an der Tastatur des Computers anmelden.

Standard: Aktiviert.

Warnung

Computer, die sich nicht an physisch sicheren Speicherorten befinden, sollten immer richtlinien für sichere Kennwörter für alle lokalen Benutzerkonten erzwingen. Andernfalls kann sich jeder Benutzer mit physischem Zugriff auf den Computer mit einem Benutzerkonto anmelden, das nicht über ein Kennwort verfügt. Dies ist besonders wichtig für tragbare Computer. Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe "Jeder" anwenden, kann sich niemand über Remotedesktopdienste anmelden.

Diese Einstellung wirkt sich nicht auf Anmeldungen aus, die Domänenkonten verwenden. Anwendungen, die interaktive Remoteanmeldungen verwenden, können diese Einstellung umgehen.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Konten: Beschränken der lokalen Kontoverwendung von leeren Kennwörtern auf die Konsolenanmeldung
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte:

  • 0 – deaktiviert – lokale Konten, die nicht kennwortgeschützt sind, können verwendet werden, um sich von anderen Speicherorten als der physischen Computerkonsole anzumelden.
  • 1 – aktiviert – lokale Konten, die nicht kennwortgeschützt sind, können sich nur an der Tastatur des Computers anmelden.

LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Konten: Administrator umbenennen

Diese Sicherheitseinstellung bestimmt, ob der Sicherheits-ID (SID) des Kontoadministrators ein anderer Kontoname zugeordnet ist. Das Umbenennen des bekannten Administratorkontos macht es für nicht autorisierte Personen etwas schwieriger, diese privilegierte Kombination aus Benutzername und Kennwort zu erraten.

Standard: Administrator.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Konten: Administratorkonto umbenennen
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Konten: Gastkonto umbenennen

Diese Sicherheitseinstellung bestimmt, ob der Sicherheits-ID (SID) für das Konto "Gast" ein anderer Kontoname zugeordnet ist. Das Umbenennen des bekannten Gastkontos macht es für nicht autorisierte Personen etwas schwieriger, diese Kombination aus Benutzername und Kennwort zu erraten.

Standard: Gast.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Konten: Gastkonto umbenennen
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Geräte: Abdocken zulassen, ohne sich anmelden zu müssen.

Diese Sicherheitseinstellung bestimmt, ob ein tragbarer Computer abgedockt werden kann, ohne sich anmelden zu müssen. Wenn diese Richtlinie aktiviert ist, ist die Anmeldung nicht erforderlich, und zum Abdocken des Computers kann eine externe Hardware-Auswerfen-Schaltfläche verwendet werden. Wenn diese Option deaktiviert ist, muss sich ein Benutzer anmelden und über die Berechtigung "Computer aus Dockingstation entfernen" verfügen, um den Computer rückgängig zu machen. Standard: Aktiviert.

Achtung

Das Deaktivieren dieser Richtlinie kann Dazu führen, dass Benutzer versuchen, den Laptop mit anderen Methoden als der externen Hardware-Auswerfen-Schaltfläche aus der Dockingstation zu entfernen und zu entfernen. Da dies zu Schäden an der Hardware führen kann, sollte diese Einstellung im Allgemeinen nur für Laptopkonfigurationen deaktiviert werden, die physisch sicherungsfähig sind.

GP-Informationen:

  • GP-Anzeigename: Geräte: Abdocken zulassen, ohne sich anmelden zu müssen
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Geräte: Formatieren und Auswerfen von Wechselmedien zulassen

Diese Sicherheitseinstellung bestimmt, wer wechselbare NTFS-Medien formatieren und auswerfen darf. Diese Funktion kann für Folgendes bereitgestellt werden:

  • Administratoren
  • Administratoren und interaktive Benutzer

Standard: Diese Richtlinie ist nicht definiert, und nur Administratoren haben diese Möglichkeit.

GP-Informationen:

  • GP-Anzeigename: Geräte: Dürfen Wechselmedien formatieren und auswerfen
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Geräte: Benutzer am Installieren von Druckertreibern hindern, wenn sie eine Verbindung mit freigegebenen Druckern herstellen

Damit ein Computer auf einem freigegebenen Drucker drucken kann, muss der Treiber für diesen freigegebenen Drucker auf dem lokalen Computer installiert sein. Diese Sicherheitseinstellung bestimmt, wer einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren darf. Wenn diese Einstellung aktiviert ist, können nur Administratoren einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren. Wenn diese Einstellung deaktiviert ist, kann jeder Benutzer einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren.

Standardeinstellung auf Servern: Aktiviert. Standard auf Arbeitsstationen: Deaktiviert

Hinweis

Diese Einstellung wirkt sich nicht auf die Möglichkeit zum Hinzufügen eines lokalen Druckers aus. Diese Einstellung wirkt sich nicht auf Administratoren aus.

GP-Informationen:

  • GP-Anzeigename: Geräte: Benutzer am Installieren von Druckertreibern hindern
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken

Diese Sicherheitseinstellung bestimmt, ob auf eine CD-ROM sowohl für lokale als auch für Remotebenutzer gleichzeitig zugegriffen werden kann.

Wenn diese Richtlinie aktiviert ist, kann nur der interaktiv angemeldete Benutzer auf CD-ROM-Wechselmedien zugreifen. Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, kann über das Netzwerk auf die CD-ROM zugegriffen werden.

Standard: Diese Richtlinie ist nicht definiert, und der CD-ROM-Zugriff ist nicht auf den lokal angemeldeten Benutzer beschränkt.

GP-Informationen:

  • GP-Anzeigename: Geräte: Beschränken des CD-ROM-Zugriffs auf lokal angemeldete Benutzer
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Anzeigen von Benutzerinformationen, wenn die Sitzung gesperrt ist

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Anzeigen von Benutzerinformationen, wenn die Sitzung gesperrt ist
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

Gültige Werte:

  • 1 – Anzeigename, Domäne und Benutzernamen des Benutzers
  • 2 – Nur Anzeigename des Benutzers
  • 3 – Keine Benutzerinformationen anzeigen

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Letzte Anmeldung nicht anzeigen

Diese Sicherheitseinstellung bestimmt, ob auf dem Windows Anmeldebildschirm der Benutzername der letzten Person angezeigt wird, die sich auf diesem PC angemeldet hat. Wenn diese Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt.

Wenn diese Richtlinie deaktiviert ist, wird der Benutzername angezeigt.

Standard: Deaktiviert.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Letzte Anmeldung nicht anzeigen
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

Gültige Werte:

  • 0 – deaktiviert (Benutzername wird angezeigt)
  • 1 – aktiviert (Benutzername wird nicht angezeigt)

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Benutzername bei der Anmeldung nicht anzeigen

Diese Sicherheitseinstellung bestimmt, ob der Benutzername der Person, die sich bei diesem PC anmeldet, bei Windows Anmeldung angezeigt wird, nachdem Anmeldeinformationen eingegeben wurden und bevor der PC-Desktop angezeigt wird.

Wenn diese Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt.

Wenn diese Richtlinie deaktiviert ist, wird der Benutzername angezeigt.

Standard: Deaktiviert.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Benutzernamen nicht bei der Anmeldung anzeigen
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte:

  • 0 – deaktiviert (Benutzername wird angezeigt)
  • 1 – aktiviert (Benutzername wird nicht angezeigt)

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich

Diese Sicherheitseinstellung bestimmt, ob das Drücken von STRG+ALT+ENTF erforderlich ist, bevor sich ein Benutzer anmelden kann.

Wenn diese Richtlinie auf einem Computer aktiviert ist, muss ein Benutzer strg+ALT+ENTF nicht drücken, um sich anzumelden. Wenn Sie strg+ALT+ENTF nicht drücken müssen, sind Benutzer anfällig für Angriffe, die versuchen, die Kennwörter der Benutzer abzufangen. Wenn Sie STRG+ALT+ENTF vor der Anmeldung der Benutzer benötigen, wird sichergestellt, dass Benutzer bei der Eingabe ihrer Kennwörter über einen vertrauenswürdigen Pfad kommunizieren.

Wenn diese Richtlinie deaktiviert ist, muss jeder Benutzer STRG+ALT+ENTF drücken, bevor er sich bei Windows anmeldet.

Standardeinstellung auf Domänencomputern: Aktiviert: Mindestens Windows 8/Deaktiviert: Windows 7 oder früher. Standardeinstellung auf eigenständigen Computern: Aktiviert.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Strg+ALT+ENTF ist nicht erforderlich
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte:

  • 0 – deaktiviert
  • 1 – aktiviert (ein Benutzer muss strg+ALT+ENTF nicht drücken, um sich anzumelden)

LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Inaktivitätsgrenzwert des Computers.

Windows erkennt die Inaktivität einer Anmeldesitzung, und wenn die inaktive Zeit den Inaktivitätsgrenzwert überschreitet, wird der Bildschirmschoner ausgeführt, wodurch die Sitzung gesperrt wird.

Standard: nicht erzwungen.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Grenzwert für Computerinaktivität
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte: Von 0 bis 599940, wobei der Wert die Inaktivitätszeit (in Sekunden) darstellt, nach der die Sitzung gesperrt wird. Wenn sie auf Null (0) festgelegt ist, ist die Einstellung deaktiviert.


LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen

Diese Sicherheitseinstellung gibt eine Textnachricht an, die Benutzern angezeigt wird, wenn sie sich anmelden.

Dieser Text wird häufig aus rechtlichen Gründen verwendet, z. B. um Benutzer vor den Auswirkungen einer falschen Nutzung von Unternehmensinformationen zu warnen oder um sie zu warnen, dass ihre Aktionen überwacht werden können.

Standard: Keine Nachricht.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Nachrichtentext für Benutzer, die versuchen, sich anzumelden
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen

Mit dieser Sicherheitseinstellung kann die Angabe eines Titels in der Titelleiste des Fensters angezeigt werden, das die interaktive Anmeldung enthält: Nachrichtentext für Benutzer, die sich anmelden möchten.

Standard: Keine Nachricht.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchten
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards

Diese Sicherheitseinstellung bestimmt, was geschieht, wenn die Smartcard für einen angemeldeten Benutzer aus dem Smartcardleser entfernt wird.

Die Optionen sind:

Keine Aktionssperre Arbeitsstation erzwingen Abmeldung trennen, wenn eine Remotedesktopdienste-Sitzung ausgeführt wird

Wenn Sie im Dialogfeld "Eigenschaften" für diese Richtlinie auf Arbeitsstation sperren klicken, wird die Arbeitsstation gesperrt, wenn die Smartcard entfernt wird, sodass Benutzer den Bereich verlassen, ihre Smartcard mit sich nehmen und weiterhin eine geschützte Sitzung verwalten können.

Wenn Sie im Dialogfeld "Eigenschaften" für diese Richtlinie auf "Abmeldung erzwingen" klicken, wird der Benutzer automatisch abgemeldet, wenn die Smartcard entfernt wird.

Wenn Sie auf "Trennen" klicken, wenn es sich um eine Remotedesktopdienste-Sitzung handelt, trennt das Entfernen der Smartcard die Sitzung, ohne den Benutzer abzumelden. Dadurch kann der Benutzer die Smartcard einfügen und die Sitzung später oder auf einem anderen Computer mit Smartcardleser fortsetzen, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinie identisch mit der Sperrarbeitsstation.

Hinweis

Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet.

Standard: Diese Richtlinie ist nicht definiert, was bedeutet, dass das System sie als "Keine Aktion" behandelt.

On Windows Vista and above: For this setting to work, the Smart Card Removal Policy service must be started.

GP-Informationen:

  • GP-Anzeigename: Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)

Diese Sicherheitseinstellung bestimmt, ob die Paketsignierung für die SMB-Clientkomponente erforderlich ist. Das SMB-Protokoll (Server Message Block) stellt die Basis für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge bereit, z. B. Remote-Windows-Verwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor eine weitere Kommunikation mit einem SMB-Server zulässig ist.

Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkclient nicht mit einem Microsoft-Netzwerkserver, es sei denn, dieser Server stimmt der Durchführung der SMB-Paketsignierung zu. Wenn diese Richtlinie deaktiviert ist, wird die SMB-Paketsignierung zwischen Client und Server ausgehandelt.

Standard: Deaktiviert.

Hinweis

Alle Windows Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Das Aktivieren oder Erfordern der Paketsignierung für client- und serverseitige SMB-Komponenten wird durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignierung aktiviert ist.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) – Steuert, ob die serverseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob für die serverseitige SMB-Komponente die Paketsignierung aktiviert ist.

SMB-Paketsignierung kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessor-Offloading-Funktionen und Anwendungs-E/A-Verhalten erheblich beeinträchtigen. Weitere Informationen hierzu: Verringerte Leistung nach Aktivierung der SMB-Verschlüsselung oder SMB-Signierung – Windows Server | Microsoft Docs.

GP-Informationen:

  • GP-Anzeigename: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

Diese Sicherheitseinstellung bestimmt, ob der SMB-Client versucht, die SMB-Paketsignierung auszuhandeln.

Das SMB-Protokoll (Server Message Block) stellt die Basis für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge bereit, z. B. Remote-Windows-Verwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente versucht, die SMB-Paketsignierung auszuhandeln, wenn sie eine Verbindung mit einem SMB-Server herstellt.

Wenn diese Einstellung aktiviert ist, fordert der Microsoft-Netzwerkclient den Server auf, die SMB-Paketsignierung bei der Sitzungseinrichtung durchzuführen. Wenn die Paketsignierung auf dem Server aktiviert wurde, wird die Paketsignierung ausgehandelt. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client niemals die SMB-Paketsignierung aus.

Standard: Aktiviert.

Hinweis

Alle Windows Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Das Aktivieren oder Erfordern der Paketsignierung für client- und serverseitige SMB-Komponenten wird durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignierung aktiviert ist.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) – Steuert, ob die serverseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob für die serverseitige SMB-Komponente die Paketsignierung aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, SMB-Signaturen zu erstellen.

SMB-Paketsignierung kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessor-Offloading-Funktionen und Anwendungs-E/A-Verhalten erheblich beeinträchtigen. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen hierzu: Verringerte Leistung nach Aktivierung der SMB-Verschlüsselung oder SMB-Signierung – Windows Server | Microsoft Docs.

GP-Informationen:

  • GP-Anzeigename: Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt)
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Microsoft-Netzwerkclient: Senden eines unverschlüsselten Kennworts zum Herstellen einer Verbindung mit SMB-Servern von Drittanbietern

Wenn diese Sicherheitseinstellung aktiviert ist, darf der SMB-Redirector (Server Message Block) Klartextkennwörter an Nicht-Microsoft SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen.

Das Senden unverschlüsselter Kennwörter ist ein Sicherheitsrisiko.

Standard: Deaktiviert.

GP-Informationen:

  • GP-Anzeigename: Microsoft-Netzwerkclient: Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Warnung

Ab Windows 10 Version 1803 ist diese Richtlinie veraltet.

Microsoft-Netzwerkserver: Leerlaufzeitaufwand vor dem Anhalten einer Sitzung

Diese Sicherheitseinstellung bestimmt die Dauer der kontinuierlichen Leerlaufzeit, die in einer Server Message Block (SMB)-Sitzung übergeben werden muss, bevor die Sitzung aufgrund von Inaktivität angehalten wird.

Administratoren können diese Richtlinie verwenden, um zu steuern, wann ein Computer eine inaktive SMB-Sitzung ansetzt. Wenn die Clientaktivität fortgesetzt wird, wird die Sitzung automatisch wiederhergestellt.

Für diese Richtlinieneinstellung bedeutet der Wert 0, eine Leerlaufsitzung so schnell wie möglich zu trennen. Der Maximalwert beträgt 99999, also 208 Tage. tatsächlich deaktiviert dieser Wert die Richtlinie.

Standard: Diese Richtlinie ist nicht definiert, was bedeutet, dass sie vom System als 15 Minuten für Server und nicht definiert für Arbeitsstationen behandelt wird.

GP-Informationen:

  • GP-Anzeigename: Microsoft-Netzwerkserver: Leerlaufzeitaufwand vor dem Anhalten der Sitzung
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

Diese Sicherheitseinstellung bestimmt, ob die SMB-Serverkomponente die Paketsignierung erfordert.

Das SMB-Protokoll (Server Message Block) stellt die Basis für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge bereit, z. B. Remote-Windows-Verwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor eine weitere Kommunikation mit einem SMB-Client zulässig ist.

Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkserver nicht mit einem Microsoft-Netzwerkclient, es sei denn, dieser Client stimmt der Durchführung der SMB-Paketsignierung zu. Wenn diese Einstellung deaktiviert ist, wird die SMB-Paketsignierung zwischen Client und Server ausgehandelt.

Standard: Deaktiviert für Mitgliedsserver. Aktiviert für Domänencontroller.

Hinweis

Alle Windows Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Das Aktivieren oder Erfordern der Paketsignierung für client- und serverseitige SMB-Komponenten wird durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignierung aktiviert ist.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) – Steuert, ob die serverseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob für die serverseitige SMB-Komponente die Paketsignierung aktiviert ist.

Wenn eine clientseitige SMB-Signierung erforderlich ist, kann dieser Client auch keine Sitzung mit Servern einrichten, für die die Paketsignierung nicht aktiviert ist. Standardmäßig ist die serverseitige SMB-Signierung nur auf Domänencontrollern aktiviert. Wenn die serverseitige SMB-Signierung aktiviert ist, wird die SMB-Paketsignierung mit Clients ausgehandelt, für die die clientseitige SMB-Signatur aktiviert ist. SMB-Paketsignierung kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessor-Offloading-Funktionen und Anwendungs-E/A-Verhalten erheblich beeinträchtigen. Weitere Informationen hierzu: Verringerte Leistung nach Aktivierung der SMB-Verschlüsselung oder SMB-Signierung – Windows Server | Microsoft Docs.

GP-Informationen:

  • GP-Anzeigename: Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

Diese Sicherheitseinstellung bestimmt, ob der SMB-Server die SMB-Paketsignierung mit Clients aushandelt, die dies anfordern.

Das SMB-Protokoll (Server Message Block) stellt die Basis für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge bereit, z. B. Remote-Windows-Verwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll die digitale Signierung von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob der SMB-Server die SMB-Paketsignierung aushandelt, wenn ein SMB-Client dies anfordert.

Wenn diese Einstellung aktiviert ist, handelt der Microsoft-Netzwerkserver die SMB-Paketsignierung wie vom Client angefordert aus. Das heißt, wenn die Paketsignierung auf dem Client aktiviert wurde, wird die Paketsignierung ausgehandelt. Wenn diese Richtlinie deaktiviert ist, handelt der SMB-Client niemals die SMB-Paketsignierung aus.

Standard: Nur auf Domänencontrollern aktiviert.

Hinweis

Alle Windows Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Das Aktivieren oder Erfordern der Paketsignierung für client- und serverseitige SMB-Komponenten wird durch die folgenden vier Richtlinieneinstellungen gesteuert:

  • Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignierung aktiviert ist.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) – Steuert, ob die serverseitige SMB-Komponente eine Paketsignierung erfordert.
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn Client zustimmt) – Steuert, ob für die serverseitige SMB-Komponente die Paketsignierung aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, SMB-Signaturen zu erstellen.

SMB-Paketsignierung kann die SMB-Leistung je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessor-Offloading-Funktionen und Anwendungs-E/A-Verhalten erheblich beeinträchtigen. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen hierzu: Verringerte Leistung nach Aktivierung der SMB-Verschlüsselung oder SMB-Signierung – Windows Server | Microsoft Docs.

GP-Informationen:

  • GP-Anzeigename: Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn Client zustimmt)
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben

Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer erteilt werden.

Windows ermöglicht anonymen Benutzern das Ausführen bestimmter Aktivitäten, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist beispielsweise praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte.

Mit dieser Sicherheitsoption können zusätzliche Einschränkungen für anonyme Verbindungen wie folgt festgelegt werden:

Aktiviert: Aufzählung von SAM-Konten nicht zulassen. Diese Option ersetzt "Jeder" durch authentifizierte Benutzer in den Sicherheitsberechtigungen für Ressourcen. Deaktiviert: Keine zusätzlichen Einschränkungen. Verlassen Sie sich auf Standardberechtigungen.

Standard auf Arbeitsstationen: Aktiviert. Standard auf server:Enabled.

Wichtig

Diese Richtlinie hat keine Auswirkungen auf Domänencontroller.

GP-Informationen:

  • GP-Anzeigename: Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht zulassen
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben

Diese Sicherheitseinstellung bestimmt, ob eine anonyme Aufzählung von SAM-Konten und -Freigaben zulässig ist.

Windows ermöglicht anonymen Benutzern das Ausführen bestimmter Aktivitäten, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist beispielsweise praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte. Wenn Sie keine anonyme Aufzählung von SAM-Konten und -Freigaben zulassen möchten, aktivieren Sie diese Richtlinie.

Standard: Deaktiviert.

GP-Informationen:

  • GP-Anzeigename: Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und -Freigaben nicht zulassen
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken

Wenn diese Sicherheitseinstellung aktiviert ist, schränkt sie den anonymen Zugriff auf Freigaben und Die Einstellungen für Folgendes ein:

Netzwerkzugriff: Benannte Leitungen, auf die anonym zugegriffen werden kann Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Standard: Aktiviert.

GP-Informationen:

  • GP-Anzeigename: Netzwerkzugriff: Anonymen Zugriff auf Named Pipe und Freigaben einschränken
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen

Mit dieser Richtlinieneinstellung können Sie Remote-RPC-Verbindungen zu SAM einschränken.

Wenn sie nicht ausgewählt ist, wird die Standardsicherheitsbeschreibung verwendet.

Diese Richtlinie wird auf mindestens Windows Server 2016 unterstützt.

GP-Informationen:

  • GP-Anzeigename: Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM tätigen dürfen
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Zulassen, dass das lokale System die Computeridentität für NTLM verwendet.

Wenn Dienste eine Verbindung mit Geräten herstellen, auf denen Versionen des Windows Betriebssystems vor Windows Vista oder Windows Server 2008 ausgeführt werden, werden Dienste, die als lokales System ausgeführt werden und SPNEGO (Negotiate) verwenden, die auf NTLM zurücksetzen, anonym authentifiziert. Wenn ein Dienst in Windows Server 2008 R2 und Windows 7 und höher eine Verbindung mit einem Computer herstellt, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, verwendet der Systemdienst die Computeridentität.

Wenn ein Dienst eine Verbindung mit der Geräteidentität herstellt, werden Signatur und Verschlüsselung unterstützt, um Datenschutz zu gewährleisten. (Wenn ein Dienst anonym eine Verbindung herstellt, wird ein vom System generierter Sitzungsschlüssel erstellt, der keinen Schutz bietet, aber Anwendungen das Signieren und Verschlüsseln von Daten ohne Fehler ermöglicht. Die anonyme Authentifizierung verwendet eine NULL-Sitzung, bei der es sich um eine Sitzung mit einem Server handelt, auf dem keine Benutzerauthentifizierung ausgeführt wird. daher ist anonymer Zugriff zulässig.)

GP-Informationen:

  • GP-Anzeigename: Netzwerksicherheit: Lokales System darf Computeridentität für NTLM verwenden
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte:

  • 0 – Deaktiviert
  • 1 – Aktiviert (Lokales System darf Computeridentität für NTLM verwenden.)

LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Zulassen, dass PKU2U-Authentifizierungsanforderungen an diesen Computer Onlineidentitäten verwenden.

Diese Richtlinie wird auf Computern, die einer Domäne beigetreten sind, standardmäßig deaktiviert. Dadurch würden Onlineidentitäten daran gehindert, sich beim Computer zu authentifizieren, der der Domäne beigetreten ist.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP Anzeigename: Netzwerksicherheit: Zulassen, dass PKU2U-Authentifizierungsanforderungen an diesen Computer Onlineidentitäten verwenden.
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte:

  • 0 – deaktiviert
  • 1 – aktiviert (zulassen, dass PKU2U-Authentifizierungsanforderungen an diesen Computer Onlineidentitäten verwenden.)

LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern

Diese Sicherheitseinstellung bestimmt, ob bei der nächsten Kennwortänderung der LAN Manager (LM)-Hashwert für das neue Kennwort gespeichert wird. Der LM-Hash ist im Vergleich zum kryptografisch stärker Windows NT-Hash relativ schwach und angriffsanfällig. Da der LM-Hash auf dem lokalen Computer in der Sicherheitsdatenbank gespeichert ist, können die Kennwörter kompromittiert werden, wenn die Sicherheitsdatenbank angegriffen wird.

Standardeinstellung für Windows Vista und höher: Aktivierter Standardwert für Windows XP: Deaktiviert.

GP-Informationen:

  • GP-Anzeigename: Netzwerksicherheit: Lan-Manager-Hashwert nicht bei der nächsten Kennwortänderung speichern
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Lan-Manager-Authentifizierungsebene für Netzwerksicherheit

Diese Sicherheitseinstellung bestimmt, welches Abfrage-/Antwortauthentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl wirkt sich wie folgt auf die Von Clients verwendete Authentifizierungsprotokollebene, die ausgehandelte Sitzungssicherheitsstufe und die von Servern akzeptierte Authentifizierungsstufe aus:

Senden von LM- und NTLM-Antworten: Clients verwenden die LM- und NTLM-Authentifizierung und niemals die NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.

LM und NTLM senden – verwenden Sie die NTLMv2-Sitzungssicherheit, falls ausgehandelt: Clients verwenden lm- und NTLM-Authentifizierung und NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.

Nur NTLM-Antwort senden: Clients verwenden nur die NTLM-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.

Nur NTLMv2-Antwort senden: Clients verwenden nur die NTLMv2-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.

Send NTLMv2 response only\refuse LM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; Domänencontroller verweigern LM (akzeptieren nur NTLM- und NTLMv2-Authentifizierung).

Send NTLMv2 response only\refuse LM and NTLM: Clients use NTLMv2 authentication only and use NTLMv2 session security if the server supports it; Domänencontroller verweigern LM und NTLM (akzeptieren nur die NTLMv2-Authentifizierung).

Standard:

Windows XP: Senden von LM- und NTLM-Antworten

Windows Server 2003: Nur NTLM-Antwort senden

Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2: Nur NTLMv2-Antwort senden

GP-Informationen:

  • GP Anzeigename: Netzwerksicherheit: LAN-Manager-Authentifizierungsstufe
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients).

Mit dieser Sicherheitseinstellung kann ein Clientgerät die Aushandlung von 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit erfordern. Diese Werte hängen vom Sicherheitseinstellungswert der LAN-Manager-Authentifizierungsstufe ab. Die Optionen sind:

  • NTLMv2-Sitzungssicherheit erforderlich: Die Verbindung schlägt fehl, wenn die Nachrichtenintegrität nicht ausgehandelt wird.
  • 128-Bit-Verschlüsselung erforderlich: Die Verbindung schlägt fehl, wenn keine starke Verschlüsselung (128-Bit) ausgehandelt wird.

Standard:

Windows XP, Windows Vista, Windows Server 2003 und Windows Server 2008: Keine Anforderungen.

Windows 7 und Windows Server 2008 R2: Erfordert 128-Bit-Verschlüsselung.

GP-Informationen:

  • GP Anzeigename: Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)
  • GP-Pfad: Windows Einstellungen/Sicherheits-Einstellungen/Lokale Richtlinien/Sicherheitsoptionen

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)

Mit dieser Sicherheitseinstellung kann ein Server die Aushandlung von 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit erfordern. Diese Werte hängen vom Sicherheitseinstellungswert der LAN-Manager-Authentifizierungsstufe ab. Die Optionen sind:

NTLMv2-Sitzungssicherheit erforderlich: Die Verbindung schlägt fehl, wenn die Nachrichtenintegrität nicht ausgehandelt wird. Erfordert eine 128-Bit-Verschlüsselung. Die Verbindung schlägt fehl, wenn keine starke Verschlüsselung (128-Bit) ausgehandelt wird.

Standard:

Windows XP, Windows Vista, Windows Server 2003 und Windows Server 2008: Keine Anforderungen.

Windows 7 und Windows Server 2008 R2: 128-Bit-Verschlüsselung erforderlich

GP-Informationen:

  • GP Anzeigename: Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen

Mit dieser Richtlinieneinstellung können Sie eine Ausnahmeliste von Remoteservern erstellen, für die Clients die NTLM-Authentifizierung verwenden dürfen, wenn die Richtlinieneinstellung "Netzwerksicherheit: NTLM: Ausgehender NTLM-Datenverkehr auf Remoteserver einschränken" konfiguriert ist.

Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie eine Liste der Remoteserver definieren, für die Clients die NTLM-Authentifizierung verwenden dürfen.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden keine Ausnahmen angewendet.

Das Benennungsformat für Server in dieser Ausnahmeliste ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) oder der von der Anwendung verwendete NetBIOS-Servername, der pro Zeile aufgeführt ist. Um sicherzustellen, dass Ausnahmen der von allen Anwendungen verwendete Name in der Liste enthalten sein muss, und um sicherzustellen, dass eine Ausnahme korrekt ist, sollte der Servername in beiden Benennungsformaten aufgeführt werden. Ein einzelnes Sternchen (*) kann an einer beliebigen Stelle in der Zeichenfolge als Platzhalterzeichen verwendet werden.

GP-Informationen:

  • GP-Anzeigename: Netzwerksicherheit: Beschränken von NTLM: Hinzufügen von Remoteserver-Ausnahmen für die NTLM-Authentifizierung
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Beschränken von NTLM: Überwachen des eingehenden NTLM-Datenverkehrs

Mit dieser Richtlinieneinstellung können Sie eingehenden NTLM-Datenverkehr überwachen.

Wenn Sie "Deaktivieren" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, protokolliert der Server keine Ereignisse für eingehenden NTLM-Datenverkehr.

Wenn Sie "Überwachung für Domänenkonten aktivieren" auswählen, protokolliert der Server Ereignisse für NTLM-Pass-Through-Authentifizierungsanforderungen, die blockiert würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Ntlm einschränken: Eingehender NTLM-Datenverkehr" auf die Option "Alle Domänenkonten verweigern" festgelegt ist.

Wenn Sie "Überwachung für alle Konten aktivieren" auswählen, protokolliert der Server Ereignisse für alle NTLM-Authentifizierungsanforderungen, die blockiert würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: NTLM einschränken: Eingehender NTLM-Datenverkehr" auf die Option "Alle Konten verweigern" festgelegt ist.

Diese Richtlinie wird auf mindestens Windows 7 oder Windows Server 2008 R2 unterstützt.

Hinweis

Überwachungsereignisse werden auf diesem Computer im Protokoll "Operational" aufgezeichnet, das sich unter dem Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM befindet.

GP-Informationen:

  • GP-Anzeigename: Netzwerksicherheit: Beschränken von NTLM: Überwachen des eingehenden NTLM-Datenverkehrs
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr

Mit dieser Richtlinieneinstellung können Sie eingehenden NTLM-Datenverkehr verweigern oder zulassen.

Wenn Sie "Alle zulassen" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, lässt der Server alle NTLM-Authentifizierungsanforderungen zu.

Wenn Sie "Alle Domänenkonten verweigern" auswählen, verweigert der Server NTLM-Authentifizierungsanforderungen für die Domänenanmeldung und zeigt einen NTLM-Sperrfehler an, lässt jedoch die lokale Kontoanmeldung zu.

Wenn Sie "Alle Konten verweigern" auswählen, verweigert der Server NTLM-Authentifizierungsanforderungen für eingehenden Datenverkehr und zeigt einen NTLM-Sperrfehler an.

Diese Richtlinie wird auf mindestens Windows 7 oder Windows Server 2008 R2 unterstützt.

Hinweis

Blockereignisse werden auf diesem Computer im Protokoll "Operational" aufgezeichnet, das sich unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM" befindet.

GP-Informationen:

  • GP-Anzeigename: Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern

Mit dieser Richtlinieneinstellung können Sie ausgehenden NTLM-Datenverkehr von diesem Windows 7- oder diesem Windows Server 2008 R2-Computer an einen beliebigen Windows Remoteserver verweigern oder überwachen.

Wenn Sie "Alle zulassen" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, kann der Clientcomputer Identitäten mithilfe der NTLM-Authentifizierung bei einem Remoteserver authentifizieren.

Wenn Sie "Alle überwachen" auswählen, protokolliert der Clientcomputer ein Ereignis für jede NTLM-Authentifizierungsanforderung auf einem Remoteserver. Auf diese Weise können Sie die Server identifizieren, die NTLM-Authentifizierungsanforderungen vom Clientcomputer erhalten.

Wenn Sie "Alle verweigern" auswählen, kann der Clientcomputer identitäten nicht mithilfe der NTLM-Authentifizierung bei einem Remoteserver authentifizieren. Sie können die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Hinzufügen von Remoteserver-Ausnahmen für die NTLM-Authentifizierung" verwenden, um eine Liste der Remoteserver zu definieren, auf denen Clients die NTLM-Authentifizierung verwenden dürfen.

Diese Richtlinie wird auf mindestens Windows 7 oder Windows Server 2008 R2 unterstützt.

Hinweis

Überwachungs- und Blockereignisse werden auf diesem Computer im Protokoll "Operational" aufgezeichnet, das sich unter dem Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM befindet.

GP-Informationen:

  • GP Anzeigename: Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr auf Remoteserver
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen

Diese Sicherheitseinstellung bestimmt, ob ein Computer heruntergefahren werden kann, ohne sich bei Windows anmelden zu müssen.

Wenn diese Richtlinie aktiviert ist, ist der Befehl "Herunterfahren" auf dem Windows Anmeldebildschirm verfügbar.

Wenn diese Richtlinie deaktiviert ist, wird die Option zum Herunterfahren des Computers nicht auf dem Windows Anmeldebildschirm angezeigt. In diesem Fall müssen sich Benutzer erfolgreich am Computer anmelden können und den Systembenutzer direkt herunterfahren lassen, bevor sie ein Herunterfahren des Systems ausführen können.

Standard auf Arbeitsstationen: Aktiviert. Standard auf Servern: Deaktiviert.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Herunterfahren: System herunterfahren lassen, ohne sich anmelden zu müssen
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte:

  • 0 – deaktiviert
  • 1 – aktiviert (System kann heruntergefahren werden, ohne sich anmelden zu müssen)

LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen

Diese Sicherheitseinstellung bestimmt, ob die Auslagerungsdatei des virtuellen Speichers gelöscht wird, wenn das System heruntergefahren wird.

Die Unterstützung des virtuellen Arbeitsspeichers verwendet eine System-Auslagerungsdatei, um Seiten des Arbeitsspeichers auf einen Datenträger zu vertauschen, wenn sie nicht verwendet werden. Auf einem ausgeführten System wird diese Auslagerungsdatei ausschließlich vom Betriebssystem geöffnet und gut geschützt. Systeme, die so konfiguriert sind, dass das Starten mit anderen Betriebssystemen zulässig ist, müssen jedoch möglicherweise sicherstellen, dass die System-Auslagerungsdatei beim Herunterfahren dieses Systems sauber gelöscht wird. Dadurch wird sichergestellt, dass vertrauliche Informationen aus dem Prozessspeicher, die möglicherweise in die Auslagerungsdatei gelangen, nicht für einen nicht autorisierten Benutzer verfügbar sind, der den direkten Zugriff auf die Auslagerungsdatei verwaltet.

Wenn diese Richtlinie aktiviert ist, wird die Systemseitendatei beim sauberen Herunterfahren gelöscht. Wenn Sie diese Sicherheitsoption aktivieren, wird auch die Ruhezustandsdatei (hiberfil.sys) beim Deaktivieren des Ruhezustands deaktiviert.

Standard: Deaktiviert.

GP-Informationen:

  • Gp Anzeigename: Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Zulassen, dass UIAccess-Anwendungen erhöhte Rechte anfordern, ohne den sicheren Desktop zu verwenden.

Diese Richtlinieneinstellung steuert, ob Benutzeroberflächen-Barrierefreiheitsprogramme (USER Interface Accessibility, UIAccess oder UIA) den sicheren Desktop für erhöhte Rechte, die von einem Standardbenutzer verwendet werden, automatisch deaktivieren können.

Aktiviert: UIA-Programme, einschließlich Windows Remoteunterstützung, deaktivieren automatisch den sicheren Desktop für Erhöhte Rechte. Wenn Sie die Richtlinieneinstellung "Benutzerkontensteuerung: Zum sicheren Desktop wechseln, wenn Sie zur Erhöhung auffordern" nicht deaktivieren, werden die Eingabeaufforderungen auf dem Desktop des interaktiven Benutzers anstelle des sicheren Desktops angezeigt.

Deaktiviert: (Standard)

Der sichere Desktop kann nur vom Benutzer des interaktiven Desktops oder durch Deaktivieren der Richtlinieneinstellung "Benutzerkontensteuerung: Wechseln zum sicheren Desktop bei Aufforderung zur Erhöhung" deaktiviert werden.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: UiAccess-Anwendungen erlauben, erhöhte Rechte aufzufordern, ohne den sicheren Desktop zu verwenden
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Gültige Werte:

  • 0 – deaktiviert
  • 1 – aktiviert (UIAccess-Anwendungen erlauben, erhöhte Rechte aufzufordern, ohne den sicheren Desktop zu verwenden)

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Windows-Edition Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus

Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren.

Die Optionen sind:

  • 0 – Erhöhen Ohne Eingabeaufforderung: Ermöglicht privilegierten Konten das Ausführen eines Vorgangs, der eine Erhöhung erfordert, ohne dass eine Zustimmung oder Anmeldeinformationen erforderlich sind.

    Hinweis

    Verwenden Sie diese Option nur in den am stärksten eingeschränkten Umgebungen.

  • 1 – Eingabeaufforderung für Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen privilegierten Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den höchsten verfügbaren Berechtigungen des Benutzers fortgesetzt.

  • 2 – Aufforderung zur Zustimmung auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder "Zulassen" oder "Verweigern" auszuwählen. Wenn der Benutzer "Zulassen" auswählt, wird der Vorgang mit den höchsten verfügbaren Berechtigungen des Benutzers fortgesetzt.

  • 3 – Eingabeaufforderung für Anmeldeinformationen: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen administrativen Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt.

  • 4 – Aufforderung zur Zustimmung: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, entweder "Zulassen" oder "Verweigern" auszuwählen. Wenn der Benutzer "Zulassen" auswählt, wird der Vorgang mit den höchsten verfügbaren Berechtigungen des Benutzers fortgesetzt.

  • 5 – Aufforderung zur Zustimmung für Nicht-Windows Binärdateien: (Standardeinstellung): Wenn ein Vorgang für eine Nicht-Microsoft-Anwendung rechteerweiterungen erfordert, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder "Zulassen" oder "Verweigern" auszuwählen. Wenn der Benutzer "Zulassen" auswählt, wird der Vorgang mit den höchsten verfügbaren Berechtigungen des Benutzers fortgesetzt.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Die folgende Liste zeigt die unterstützten Werte:

  • 0 – Berechtigungsanforderungen automatisch verweigern: Wenn für einen Vorgang Rechteerweiterungen erforderlich sind, wird eine Fehlermeldung angezeigt, die den konfigurierbaren Zugriff verweigert. Ein Unternehmen, das Desktops als Standardbenutzer ausführt, kann diese Einstellung auswählen, um Helpdesk-Anrufe zu reduzieren.
  • 1 – Eingabeaufforderung für Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen anderen Benutzernamen und ein anderes Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt.
  • 3 (Standard) – Eingabeaufforderung für Anmeldeinformationen: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen administrativen Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt.

LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern

Diese Richtlinieneinstellung steuert das Verhalten der Anwendungsinstallationserkennung für den Computer.

Die Optionen sind:

Aktiviert: (Standardeinstellung) Wenn ein Anwendungsinstallationspaket erkannt wird, das Rechteerweiterungen erfordert, wird der Benutzer aufgefordert, einen administrativen Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt.

Deaktiviert: Anwendungsinstallationspakete werden nicht erkannt und zur Erhöhung aufgefordert. Unternehmen, die standardmäßige Benutzerdesktops ausführen und delegierte Installationstechnologien wie gruppenrichtlinien-Softwareinstallation oder Systems Management Server (SMS) verwenden, sollten diese Richtlinieneinstellung deaktivieren. In diesem Fall ist die Installationsprogrammerkennung nicht erforderlich.

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Erkennen von Anwendungsinstallationen und Aufforderung zur Erhöhung
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Nur ausführbare Dateien erhöhen, die signiert und überprüft werden

Diese Richtlinieneinstellung erzwingt PKI-Signaturprüfungen (Public Key Infrastructure) für alle interaktiven Anwendungen, die Rechteerweiterungen anfordern. Enterprise Administratoren können steuern, welche Anwendungen ausgeführt werden dürfen, indem sie zertifikate zum Zertifikatspeicher der vertrauenswürdigen Herausgeber auf lokalen Computern hinzufügen.

Die Optionen sind:

  • 0 – Deaktiviert: (Standard) Erzwingt keine PKI-Zertifizierungspfadüberprüfung, bevor eine bestimmte ausführbare Datei ausgeführt werden kann.
  • 1 – Aktiviert: Erzwingt die PKI-Zertifizierungspfadüberprüfung für eine bestimmte ausführbare Datei, bevor sie ausgeführt werden kann.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Nur ausführbare Dateien erhöhen, die signiert und überprüft werden
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind

Diese Richtlinieneinstellung steuert, ob Anwendungen, die die Ausführung mit einer UiAccess-Integritätsstufe (User Interface Accessibility) anfordern, sich an einem sicheren Speicherort im Dateisystem befinden müssen. Sichere Speicherorte sind auf Folgendes beschränkt:

  • .\Programme, einschließlich Unterordnern
  • .\Windows\system32\
  • .\Program Files (x86), einschließlich Unterordnern für 64-Bit-Versionen von Windows

Hinweis

Windows erzwingt eine PKI-Signaturüberprüfung (Public Key Infrastructure) für jede interaktive Anwendung, die die Ausführung mit einer UIAccess-Integritätsstufe unabhängig vom Status dieser Sicherheitseinstellung anfordert.

Die Optionen sind:

  • 0 – Deaktiviert: Eine Anwendung wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Speicherort im Dateisystem befindet.
  • 1 – Aktiviert: (Standard) Wenn sich eine Anwendung an einem sicheren Speicherort im Dateisystem befindet, wird sie nur mit UIAccess-Integrität ausgeführt.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Nur UIAccess-Anwendungen erhöhen, die an sicheren Speicherorten installiert sind
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Aktivieren des Administratorgenehmigungsmodus

Diese Richtlinieneinstellung steuert das Verhalten aller Richtlinieneinstellungen für die Benutzerkontensteuerung (User Account Control, UAC) für den Computer. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie den Computer neu starten.

Die Optionen sind:

  • 0 – Deaktiviert: Der Administratorgenehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen sind deaktiviert.

    Hinweis

    Wenn diese Richtlinieneinstellung deaktiviert ist, benachrichtigt Sie das Sicherheitscenter darüber, dass die Gesamtsicherheit des Betriebssystems reduziert wurde.

  • 1 – Aktiviert: (Standard) Der Administratorgenehmigungsmodus ist aktiviert. Diese Richtlinie muss aktiviert sein, und die zugehörigen UAC-Richtlinieneinstellungen müssen auch entsprechend festgelegt werden, damit das integrierte Administratorkonto und alle anderen Benutzer, die Mitglieder der Gruppe "Administratoren" sind, im Administratorgenehmigungsmodus ausgeführt werden können.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Ausführen aller Administratoren im Administratorgenehmigungsmodus
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln

Diese Richtlinieneinstellung steuert, ob die Eingabeaufforderung für erhöhte Rechte auf dem Desktop des interaktiven Benutzers oder auf dem sicheren Desktop angezeigt wird.

Die Optionen sind:

  • 0 – Deaktiviert: Alle Rechteerweiterungsanforderungen werden an den Desktop des interaktiven Benutzers gesendet. Richtlinieneinstellungen für Aufforderungsverhalten für Administratoren und Standardbenutzer werden verwendet.
  • 1 – Aktiviert: (Standardeinstellung) Alle Rechteerweiterungsanforderungen gehen unabhängig von richtlinieneinstellungen für das Aufforderungsverhalten für Administratoren und Standardbenutzer zum sicheren Desktop.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Wechseln zum sicheren Desktop, wenn Sie zur Erhöhung aufgefordert werden
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Verwenden des Administratorgenehmigungsmodus für das integrierte Administratorkonto

Diese Richtlinieneinstellung steuert das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto.

Die Optionen sind:

• Aktiviert: Das integrierte Administratorkonto verwendet den Administratorgenehmigungsmodus. Standardmäßig fordert jeder Vorgang, für den Rechteerweiterungen erforderlich sind, den Benutzer auf, den Vorgang zu genehmigen.

• Deaktiviert: (Standard) Das integrierte Administratorkonto führt alle Anwendungen mit vollständigen Administratorrechten aus.

GP-Informationen:

  • GP-Anzeigename: Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Edition Windows 10 Windows 11
POS1 Nein Nein
Vorteil Ja Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Umfang:

  • Gerät

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren

Diese Richtlinieneinstellung steuert, ob Anwendungsschreibfehler an definierte Registrierungs- und Dateisystemspeicherorte umgeleitet werden. Diese Richtlinieneinstellung verringert Anwendungen, die als Administrator ausgeführt werden, und schreiben Laufzeitanwendungsdaten in %ProgramFiles%, %Windir%, %Windir%\system32 oder HKLM\Software.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

GP-Informationen:

  • GP Anzeigename: Benutzerkontensteuerung: Virtualisieren von Datei- und Registrierungsschreibfehlern an Benutzerspeicherorte
  • GP-Pfad: Windows Einstellungen/Security Einstellungen/Local Policies/Security Options

Die folgende Liste zeigt die unterstützten Werte:

  • 0 – Deaktiviert: Anwendungen, die Daten an geschützte Speicherorte schreiben, schlagen fehl.
  • 1 – Aktiviert: (Standard) Fehler beim Schreiben von Anwendungen werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet.