Lokale Konten

Betrifft

  • Windows10
  • Windows Server 2019
  • Windows Server 2016

Dieses Referenzthema für IT-Experten beschreibt die standardmäßigen lokalen Benutzerkonten für Server, einschließlich der Vorgehensweise zum Verwalten dieser integrierten Konten auf einem Mitglied-oder eigenständigen Server.

Informationen zu lokalen Benutzerkonten

Lokale Benutzerkonten werden lokal auf dem Server gespeichert. Diesen Konten können Rechte und Berechtigungen für einen bestimmten Server, aber nur auf diesem Server zugewiesen werden. Lokale Benutzerkonten sind Sicherheitsprinzipale, die zum Sichern und Verwalten des Zugriffs auf die Ressourcen auf einem eigenständigen oder Mitgliedsserver für Dienste oder Benutzer verwendet werden.

In diesem Thema wird Folgendes beschrieben:

Informationen zu Sicherheitsprinzipalen finden Sie unter Sicherheitsprinzipale.

Lokale Standardbenutzerkonten

Bei den lokalen Standardbenutzerkonten handelt es sich um integrierte Konten, die bei der Installation von Windows automatisch erstellt werden.

Nach der Installation von Windows können die lokalen Standardbenutzerkonten nicht entfernt oder gelöscht werden. Darüber hinaus bieten lokale Standardbenutzerkonten keinen Zugriff auf Netzwerkressourcen.

Standardmäßige lokale Benutzerkonten werden verwendet, um den Zugriff auf die Ressourcen des lokalen Servers auf der Grundlage der Rechte und Berechtigungen zu verwalten, die dem Konto zugewiesen sind. Die lokalen Standardbenutzerkonten und die lokalen Benutzerkonten, die Sie erstellen, befinden sich im Ordner Benutzer. Der Ordner "Benutzer" befindet sich im Ordner "lokale Benutzer und Gruppen" in der lokalen Computer Verwaltung der Microsoft Management Console (MMC). Bei der Computer Verwaltung handelt es sich um eine Sammlung von Verwaltungstools, mit denen Sie einen einzelnen lokalen oder Remotecomputer verwalten können. Weitere Informationen finden Sie weiter unten in diesem Thema unter Verwalten von lokalen Konten .

Standardmäßige lokale Benutzerkonten werden in den folgenden Abschnitten beschrieben.

Administrator Konto

Das lokale Standardadministratorkonto ist ein Benutzerkonto für den System Administrator. Jeder Computer verfügt über ein Administratorkonto (SID S-1-5-Domäne-500, Anzeigename-Administrator). Das Administrator Konto ist das erste Konto, das während der Windows-Installation erstellt wird.

Das Administrator Konto verfügt über die vollständige Kontrolle über die Dateien, Verzeichnisse, Dienste und anderen Ressourcen auf dem lokalen Computer. Das Administrator Konto kann andere lokale Benutzer erstellen, Benutzerrechte zuweisen und Berechtigungen zuweisen. Das Administrator Konto kann die Kontrolle über lokale Ressourcen jederzeit übernehmen, indem Sie einfach die Benutzerrechte und Berechtigungen ändern.

Das Standard Administrator Konto kann nicht gelöscht oder gesperrt werden, es kann jedoch umbenannt oder deaktiviert werden.

Unter Windows 10 und Windows Server 20016 deaktiviert Windows Setup das integrierte Administrator Konto und erstellt ein weiteres lokales Konto, das Mitglied der Gruppe Administratoren ist. Mitglieder der Gruppe Administratoren können apps mit erhöhten Berechtigungen ausführen, ohne die Option " als Administrator ausführen " zu verwenden. Die schnelle Benutzerumschaltung ist sicherer als die Verwendung von runas oder einer anderen Benutzeransicht.

Kontogruppen Mitgliedschaft

Standardmäßig ist das Administrator Konto als Mitglied der Gruppe Administratoren auf dem Server installiert. Es empfiehlt sich, die Anzahl der Benutzer in der Gruppe Administratoren zu begrenzen, da Mitglieder der Gruppe Administratoren auf einem lokalen Server über die Berechtigung "Vollzugriff" auf diesem Computer verfügen.

Das Administrator Konto kann nicht aus der Gruppe "Administratoren" gelöscht oder entfernt werden, es kann jedoch umbenannt werden.

Überlegungen zur Sicherheit

Da das Administratorkonto bekanntermaßen in vielen Versionen des Windows-Betriebssystems vorhanden ist, empfiehlt es sich, das Administratorkonto nach Möglichkeit zu deaktivieren, um böswilligen Benutzern den Zugriff auf den Server oder den Clientcomputer zu erschweren.

Sie können das Administrator Konto umbenennen. Ein umbenanntes Administrator Konto verwendet jedoch weiterhin dieselbe automatisch zugewiesene Sicherheits-ID (Security Identifier, SID), die von böswilligen Benutzern erkannt werden kann. Weitere Informationen zum Umbenennen oder Deaktivieren eines Benutzerkontos finden Sie unter deaktivieren oder Aktivieren eines lokalen Benutzerkontos und Umbenennen eines lokalen BenutzerKontos.

Aus Sicherheitsgründen sollten Sie sich mit Ihrem lokalen (nicht-Administrator-) Konto anmelden und dann " als Administrator ausführen " verwenden, um Aufgaben auszuführen, die eine höhere Rechte Ebene erfordern als ein Standardbenutzerkonto. Verwenden Sie das Administrator Konto nicht, um sich bei Ihrem Computer anzuschließen, es sei denn, dies ist völlig erforderlich. Weitere Informationen finden Sie unter Ausführen eines Programms mit administrativen Anmeldeinformationen.

Im Vergleich dazu wird im Windows-Clientbetriebssystem ein Benutzer mit einem lokalen Benutzerkonto, das über Administrator Rechte verfügt, als System Administrator des Clientcomputers betrachtet. Das erste lokale Benutzerkonto, das während der Installation erstellt wird, wird in der lokalen Gruppe Administratoren gespeichert. Wenn jedoch mehrere Benutzer als lokale Administratoren ausgeführt werden, hat das IT-Personal keine Kontrolle über diese Benutzer oder deren Clientcomputer.

In diesem Fall können Sie mithilfe von Gruppenrichtlinien sichere Einstellungen aktivieren, die die Verwendung der lokalen Gruppe Administratoren automatisch auf jedem Server oder Clientcomputer steuern können. Weitere Informationen zu Gruppenrichtlinien finden Sie unter Übersicht über Gruppenrichtlinien.

Hinweis leere Kennwörter sind in den Versionen, die in der Liste " gilt für " am Anfang dieses Themas festgelegt sind, nicht zulässig.

Wichtig auch wenn das Administrator Konto deaktiviert wurde, kann es mithilfe des abgesicherten Modus weiterhin für den Zugriff auf einen Computer verwendet werden. In der Wiederherstellungskonsole oder im abgesicherten Modus wird das Administrator Konto automatisch aktiviert. Wenn der normale Vorgang fortgesetzt wird, ist er deaktiviert.

Gastkonto

Das Gastkonto ist bei der Installation standardmäßig deaktiviert. Mit dem Gastkonto können gelegentliche oder einmal Benutzer, die nicht über ein Konto auf dem Computer verfügen, sich temporär beim lokalen Server oder Clientcomputer mit begrenzter Benutzerberechtigung anmelden. Standardmäßig weist das Gastkonto ein leeres Kennwort auf. Da das Gastkonto anonymen Zugriff bereitstellen kann, handelt es sich um ein Sicherheitsrisiko. Aus diesem Grund ist es empfehlenswert, das Gastkonto deaktiviert zu lassen, es sei denn, die Verwendung ist vollständig erforderlich.

Kontogruppen Mitgliedschaft

Standardmäßig ist das Gastkonto das einzige Mitglied der standardmäßigen guests-Gruppe (SID S-1-5-32-546), mit der sich ein Benutzer bei einem Server anmelden kann. Gelegentlich kann ein Administrator, der ein Mitglied der Gruppe "Administratoren" ist, einen Benutzer mit einem Gastkonto auf einem oder mehreren Computern einrichten.

Überlegungen zur Sicherheit

Gewähren Sie beim Aktivieren des Gastkontos nur begrenzte Rechte und Berechtigungen. Aus Sicherheitsgründen sollte das Gastkonto nicht über das Netzwerk verwendet und anderen Computern zur Verfügung gestellt werden.

Darüber hinaus sollte der Gastbenutzer im Gastkonto nicht in der Lage sein, die Ereignisprotokolle anzuzeigen. Nach der Aktivierung des Gastkontos empfiehlt es sich, das Gastkonto häufig zu überwachen, um sicherzustellen, dass andere Benutzer Dienste und andere Ressourcen nicht verwenden können, beispielsweise Ressourcen, die versehentlich von einem vorherigen Benutzer zur Verfügung gestellt wurden.

Hilfeassistentkonto-Konto (mit einer Remote Unterstützungs Sitzung installiert)

Das Hilfeassistentkonto-Konto ist ein lokales Standardkonto, das bei Ausführung einer Remote Unterstützungs Sitzung aktiviert ist. Dieses Konto wird automatisch deaktiviert, wenn keine Remote Unterstützungsanforderungen ausstehen.

Hilfeassistentkonto ist das primäre Konto, das zum Einrichten einer Remote Unterstützungs Sitzung verwendet wird. Die Remote Unterstützungs Sitzung wird zum Herstellen einer Verbindung mit einem anderen Computer verwendet, auf dem das Windows-Betriebssystem ausgeführt wird, und wird per Einladung initiiert. Für angeforderte Remoteunterstützung sendet ein Benutzer eine Einladung von seinem Computer, per e-Mail oder als Datei an eine Person, die Hilfe leisten kann. Nachdem die Einladung des Benutzers für eine Remote Unterstützungs Sitzung akzeptiert wurde, wird das standardmäßige Hilfeassistentkonto-Konto automatisch erstellt, um der Person, die Unterstützung gewährt, den Zugriff auf den Computer zu ermöglichen. Das Hilfeassistentkonto-Konto wird vom Remote Desktop Help Session Manager-Dienst verwaltet.

Überlegungen zur Sicherheit

Zu den SIDs, die sich auf das standardmäßige Hilfeassistentkonto-Konto beziehen, gehören:

  • SID: S-1-5-<Domäne>-13, Anzeigename Terminal Server-Benutzer. Diese Gruppe umfasst alle Benutzer, die sich bei einem Server anmelden und die Remote Desktop Dienste aktiviert sind. Beachten Sie, dass die Remote Desktop Dienste in Windows Server 2008 als Terminal Dienste bezeichnet werden.

  • SID: S-1-5-<Domäne>-14, Anzeigename Remote Interactive Logon. Diese Gruppe umfasst alle Benutzer, die eine Verbindung mit dem Computer herstellen, indem Sie eine Remotedesktopverbindung verwenden. Diese Gruppe ist eine Teilmenge der interaktiven Gruppe. Zugriffstoken, die die SID der interaktiven Remote Anmeldung enthalten, enthalten auch die interaktive sid.

Für das Windows Server-Betriebssystem ist die Remote Unterstützung eine optionale Komponente, die nicht standardmäßig installiert wird. Sie müssen die Remote Unterstützung installieren, bevor Sie verwendet werden kann.

Details zu den Attributen des Hilfeassistentkonto-Kontos finden Sie in der folgenden Tabelle.

Hilfeassistentkonto-Kontoattribute

Attribut Wert

Bekannte SID/Rid

S-1-5-<Domäne>-13 (Terminal Server Benutzer), s-1-5-<Domäne>-14 (interaktive Remote Anmeldung)

Typ

Benutzer

Standardcontainer

CN = Users, DC =<Domäne>, DC =

Standard Mitglieder

Keine

Standardmitglied von

Domänengäste

Gäste

Geschützt durch ADMINSDHOLDER?

Nein

Sicheres Verschieben des Standardcontainers

Kann verschoben werden, aber wir empfehlen es nicht.

Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?

Nein

DefaultAccount

Das DefaultAccount, das auch als standardmäßiges System verwaltetes Konto (DSMA) bezeichnet wird, ist ein integriertes Konto, das in Windows 10, Version 1607 und Windows Server 2016, eingeführt wurde. Der DSMA ist ein bekannter Benutzerkontotyp. Es handelt sich um ein Benutzer neutrales Konto, mit dem Prozesse ausgeführt werden können, die entweder mehr Benutzer oder Benutzer unabhängig sind. Die DSMA ist auf den Desktop-SKUs (vollständige Windows-SKUs) und WS 2016 mit dem DesktopStandard mäßig deaktiviert.

Die DSMA hat eine bekannte Rid von 503. Die Sicherheits-ID (Security Identifier, SID) des DSMA hat daher eine bekannte SID im folgenden Format: S-1-5-21--503

DSMA ist ein Mitglied der bekannten Gruppe System Managed Accounts Group, die eine bekannte SID von S-1-5-32-581 hat.

Dem DSMA-Alias kann während der Offlinebereitstellung der Zugriff auf Ressourcen gewährt werden, noch bevor das Konto selbst erstellt wurde. Das Konto und die Gruppe werden beim ersten Booten des Computers innerhalb des Security Accounts Manager (Sam) erstellt.

Verwendung von DefaultAccount in Windows

Aus Sicht der Berechtigung ist das DefaultAccount ein Standardbenutzerkonto. Die DefaultAccount ist für die Ausführung von mehr Benutzer Manifest-Apps (Muma-Apps) erforderlich. MUMA-apps werden immer ausgeführt und reagieren auf Benutzer, die sich bei den Geräten anmelden und sich abmelden. Im Gegensatz zum Windows-Desktop, in dem apps im Kontext des Benutzers ausgeführt werden und beendet werden, wenn sich der Benutzer anmeldet, werden Muma-Apps mithilfe von DSMA ausgeführt.

MUMA-apps sind in freigegebenen Sitzungs-SKUs wie Xbox funktionsfähig. Beispielsweise ist Xbox Shell eine Muma-app. Heute meldet sich Xbox automatisch als Gastkonto an, und alle apps werden in diesem Kontext ausgeführt. Alle apps sind Multi-User-fähig und reagieren auf vom Benutzer-Manager ausgelöste Ereignisse. Die apps werden als Gastkonto ausgeführt.

In ähnlicher Weise meldet sich das Telefon automatisch als "DefApps"-Konto an, das dem standardmäßigen Benutzerkonto in Windows, aber mit einigen zusätzlichen Privilegien ähnelt. Broker, einige Dienste und apps werden als dieses Konto ausgeführt.

Im konvergierten Benutzermodell müssen die Multi-User-Aware-apps und die Multi-User-Aware-Broker in einem anderen Kontext als der der Benutzer ausgeführt werden. Zu diesem Zweck erstellt das System DSMA.

So wird die DefaultAccount auf Domänencontrollern erstellt

Wenn die Domäne mit Domänencontrollern erstellt wurde, die Windows Server 2016 ausführen, wird die DefaultAccount auf allen Domänencontrollern in der Domäne vorhanden sein. Wenn die Domäne mit Domänencontrollern erstellt wurde, die eine frühere Version von Windows Server ausführen, wird die DefaultAccount erstellt, nachdem die PDC-Emulator-Rolle an einen Domänencontroller übertragen wurde, auf dem Windows Server 2016 ausgeführt wird. Die DefaultAccount wird dann auf alle anderen Domänencontroller in der Domäne repliziert.

Empfehlungen für die Verwaltung des Standardkontos (DSMA)

Microsoft rät davon ab, die Standardkonfiguration zu ändern, in der das Konto deaktiviert ist. Es besteht kein Sicherheitsrisiko, wenn das Konto im deaktivierten Zustand ist. Das Ändern der Standardkonfiguration kann zukünftige Szenarien behindern, die auf dieses Konto zurückgreifen.

Standardkonten für lokales System

System

Das Systemkonto wird vom Betriebssystem und von Diensten verwendet, die unter Windows ausgeführt werden. Es gibt viele Dienste und Prozesse im Windows-Betriebssystem, die die Möglichkeit zur internen Anmeldung benötigen, beispielsweise während einer Windows-Installation. Das Systemkonto wurde für diesen Zweck entwickelt, und Windows verwaltet die Benutzerrechte des Systemkontos. Es handelt sich um ein internes Konto, das im Benutzer-Manager nicht angezeigt wird und nicht zu Gruppen hinzugefügt werden kann.

Auf der anderen Seite wird das System Konto im Bereich " Berechtigungen " im Menü " Sicherheit " auf einem NTFS-Dateisystemvolume im Datei-Manager angezeigt. Standardmäßig wird dem System Konto die Berechtigung "Vollzugriff" für alle Dateien auf einem NTFS-Volume gewährt. Hier verfügt das System Konto über dieselben Funktionsrechte und Berechtigungen wie das Administrator Konto.

Hinweis Wenn Sie den Kontenadministratoren die Gruppe "Dateiberechtigungen" erteilen möchten, wird nicht implizit die Berechtigung für das System Konto erteilt. Die Berechtigungen des System Kontos können aus einer Datei entfernt werden, es wird jedoch nicht empfohlen, diese zu entfernen.

Netzwerkdienst

Das Netzwerkdienstkonto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager (Service Control Manager) verwendet wird. Ein Dienst, der im Kontext des Netzwerkdienstkontos ausgeführt wird, zeigt die Anmeldeinformationen des Computers für Remoteserver an. Weitere Informationen finden Sie unter NetworkService-Konto.

lokaler Dienst

Das lokale Dienstkonto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Er verfügt über Mindestberechtigungen auf dem lokalen Computer und stellt anonyme Anmeldeinformationen im Netzwerk dar. Weitere Informationen finden Sie unter LocalService-Konto.

Verwalten von lokalen Benutzerkonten

Die lokalen Standardbenutzerkonten und die lokalen Benutzerkonten, die Sie erstellen, befinden sich im Ordner Benutzer. Der Ordner Benutzer befindet sich in lokalen Benutzern und Gruppen. Weitere Informationen zum Erstellen und Verwalten von lokalen Benutzerkonten finden Sie unter Verwalten von lokalen Benutzern.

Sie können lokale Benutzer und Gruppen verwenden, um Rechte und Berechtigungen auf dem lokalen Server und nur auf diesem Server zuzuweisen, um die Möglichkeit für lokale Benutzer und Gruppen zum Ausführen bestimmter Aktionen zu begrenzen. Ein Recht ermächtigt einen Benutzer, bestimmte Aktionen auf einem Server durchzuführen, beispielsweise das Sichern von Dateien und Ordnern oder das Herunterfahren eines Servers. Bei einer Zugriffsberechtigung handelt es sich um eine Regel, die einem Objekt, in der Regel eine Datei, einen Ordner oder einen Drucker, zugeordnet ist. Sie reguliert, welche Benutzer auf welche Weise auf ein Objekt auf dem Server zugreifen können.

Sie können keine lokalen Benutzer und Gruppen auf einem Domänencontroller verwenden. Sie können jedoch lokale Benutzer und Gruppen auf einem Domänencontroller verwenden, um auf Remotecomputer zuzielen, die keine Domänencontroller im Netzwerk sind.

Hinweis Sie verwenden ActiveDirectory-Benutzer und-Computer zum Verwalten von Benutzern und Gruppen in Active Directory.

Sie können auch lokale Benutzer mithilfe von NET verwalten. EXE-Benutzer und lokale Gruppen mithilfe von NET verwalten. EXE localgroup oder mithilfe einer Vielzahl von PowerShell-Cmdlets und anderen Skripttechnologien.

Einschränken und schützen lokaler Konten mit Administratorrechten

Ein Administrator kann eine Reihe von Vorgehensweisen verwenden, um zu verhindern, dass böswillige Benutzer gestohlene Anmeldeinformationen wie ein gestohlenes Kennwort oder einen Kennwort-Hash verwenden, damit ein lokales Konto auf einem Computer nicht zur Authentifizierung auf einem anderen Computer mit Administratorrechten verwendet wird. Dies wird auch als "Lateral Movement" bezeichnet.

Der einfachste Ansatz ist die Anmeldung bei Ihrem Computer mit einem Standardbenutzerkonto, anstatt das Administrator Konto für Aufgaben zu verwenden, beispielsweise zum Durchsuchen des Internets, Senden von e-Mails oder Verwenden eines Textprozessors. Wenn Sie eine administrative Aufgabe ausführen möchten, beispielsweise um ein neues Programm zu installieren oder um eine Einstellung zu ändern, die sich auf andere Benutzer auswirkt, müssen Sie nicht zu einem Administrator Konto wechseln. Sie können die Benutzerkontensteuerung (User Account Control, UAC) verwenden, um Sie zur Eingabe einer Berechtigung oder eines Administratorkennworts aufzufordern, bevor Sie die Aufgabe ausführen, wie im nächsten Abschnitt beschrieben.

Zu den anderen Ansätzen, die zum einschränken und schützen von Benutzerkonten mit Administratorrechten verwendet werden können, gehören:

  • Erzwingen von Einschränkungen für lokales Konto für den Remotezugriff.

  • Verweigern Sie die Netzwerkanmeldung allen lokalen Administrator Konten.

  • Erstellen Sie eindeutige Kennwörter für lokale Konten mit Administratorrechten.

Jeder dieser Ansätze wird in den folgenden Abschnitten beschrieben.

Hinweis diese Vorgehensweisen gelten nicht, wenn alle administrativen lokalen Konten deaktiviert sind.

Erzwingen von Einschränkungen für lokales Konto für den Remotezugriff

Die Benutzerkontensteuerung (User Account Control, UAC) ist ein Sicherheitsfeature in Windows, das in Windows Server2008 und in Windows Vista verwendet wurde, und die Betriebssysteme **** , auf die sich die Liste bezieht. Mit der UAC können Sie die Kontrolle über Ihren Computer behalten, indem Sie darüber informiert werden, wenn ein Programm eine Änderung vornimmt, die eine Berechtigung auf Administratorebene erfordert. Die UAC funktioniert durch Anpassen der Berechtigungsstufe Ihres Benutzerkontos. Standardmäßig ist UAC so eingestellt, dass Sie benachrichtigt werden, wenn Anwendungen versuchen, Änderungen an Ihrem Computer vorzunehmen, aber Sie können ändern, wie oft UAC Sie benachrichtigt.

Mit der UAC ist es möglich, dass ein Konto mit Administratorrechten als Standardbenutzerkonto ohne Administratorrechte behandelt wird, bis vollständige Rechte, auch als "Elevation" bezeichnet, angefordert und genehmigt werden. Beispielsweise kann ein Administrator während der Benutzersitzung eines nicht-Administrators Anmeldeinformationen eingeben, um gelegentlich administrative Aufgaben auszuführen, ohne die Benutzer wechseln, abmelden oder den Befehl Ausführen als verwenden zu müssen.

Darüber hinaus kann die UAC Administratoren dazu verpflichten, Anwendungen ausdrücklich zu genehmigen, die systemweite Änderungen vornehmen, bevor diesen Anwendungen die Berechtigung zum Ausführen gewährt wird, auch in der Benutzersitzung des Administrators.

So wird beispielsweise ein Standardfeature der UAC angezeigt, wenn sich ein lokales Konto über einen Remotecomputer anmeldet, indem Sie die Netzwerkanmeldung verwenden (beispielsweise mithilfe von net. EXE verwenden). In diesem Fall wird ein Standardbenutzertoken ohne Administratorrechte ausgestellt, aber ohne die Möglichkeit, die Höhe anzufordern oder zu empfangen. Folglich können lokale Konten, die sich mit der Netzwerkanmeldung anmelden, nicht auf administrative Freigaben wie C $ oder Administrator $ zugreifen oder eine Remoteverwaltung durchführen.

Weitere Informationen zur UAC finden Sie unter Benutzerkontensteuerung.

In der folgenden Tabelle sind die Gruppenrichtlinien-und Registrierungseinstellungen aufgeführt, die verwendet werden, um lokale Kontoeinschränkungen für den Remotezugriff zu erzwingen.

Nein.

Einstellung

Ausführliche Beschreibung

Richtlinienspeicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

1

Richtlinienname

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen

Richtlinieneinstellung

Aktiviert

2

Richtlinienspeicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Richtlinienname

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen

Richtlinieneinstellung

Aktiviert

3

Registrierungsschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Name des Registrierungswerts

LocalAccountTokenFilterPolicy

Registrierungs Werttyp

DWORD

Registrierungswert Daten

0

Hinweis

Sie können den Standardwert für LocalAccountTokenFilterPolicy auch erzwingen, indem Sie das benutzerdefinierte ADMX in Sicherheitsvorlagen verwenden.

So erzwingen Sie lokale Kontoeinschränkungen für den Remotezugriff

  1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).

  2. <Erweitern Sie in der Konsolenstruktur die Domäne<> Gesamtstruktur>\Domains\, und klicken Sie dann auf **Gruppenrichtlinienobjekte , wobei Gesamtstruktur der Name der Gesamtstruktur und Domäne der Name der Domäne ist, in der Sie das Gruppenrichtlinienobjekt (GPO) festlegen möchten.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekteund > dann auf neu.

    lokale Konten 1

  4. Geben <Sie im Dialogfeld neues GPO gpo_name>ein, und > Klicken Sie auf OK, wobei gpo_name der Name des neuen Gruppenrichtlinienobjekts ist. Der Name des Gruppenrichtlinienobjekts gibt an, dass das Gruppenrichtlinienobjekt verwendet wird, um zu verhindern, dass lokale Administratorrechte auf einen anderen Computer übertragen werden.

    lokale Konten 2

  5. Klicken Sie im Detailbereich mit der rechten <Maustaste auf gpo_name>, und > BearbeitenSie Sie.

    lokale Konten 3

  6. Stellen Sie sicher, dass UAC aktiviert ist und dass UAC-Einschränkungen auf das Standard Administrator Konto angewendet werden, indem Sie wie folgt vorgehen:

    1. Navigieren Sie zum Computer Configuration\Windows Settings\Security Settings\Local Policies\, und > wählen Sie Sicherheitsoptionenaus.

    2. Doppelklicken Sie auf Benutzerkontensteuerung: alle Administratoren im Administratorgenehmigungsmodus > ausführen aktiviert > OK.

    3. Doppelklicken Sie auf Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administrator Konto > aktiviert > OK.

  7. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die lokalen Kontoeinschränkungen auf Netzwerkschnittstellen angewendet werden:

    1. Navigieren Sie zu Computer Configuration\Preferences und Windows-Einstellungen > sowie zur Registrierung.

    2. Klicken Sie mit **** der rechten Maustaste > auf Registrierung, und wählen Sie Neues > Registrierungselementaus.

      lokale Konten 4

    3. Ändern Sie im Dialogfeld neue Registrierungseigenschaften auf der Registerkarte Allgemein die Einstellung im Feld Aktion auf ersetzen.

    4. Stellen Sie sicher, dass das Feld Hive auf HKEY_LOCAL_MACHINEfestgesetzt ist.

    5. Klicken Sie auf (...), navigieren Sie zum folgenden Speicherort für Schlüsselpfad > auswählen für: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

    6. Geben Sie im Bereich Wertname den Namen LocalAccountTokenFilterPolicyein.

    7. Wählen Sie im Feld Werttyp in der Dropdownliste REG_DWORD aus, um den Wert zu ändern.

    8. Stellen Sie **** im Feld Wertdaten sicher, dass der Wert auf 0festgesetzt ist.

    9. Überprüfen Sie diese Konfiguration > , und klicken Sie auf OK.

      lokale Konten 5

  8. Führen Sie die folgenden Schritte aus, um das Gruppenrichtlinienobjekt mit der ersten Arbeitsstationen -Organisationseinheit (OU) zu verknüpfen:

    1. Navigieren Sie zum <\OU-<Pfad der Gesamtstruktur>-\Domains\-Domäne>.

    2. Klicken Sie mit der **** rechten Maustaste auf die > Organisationseinheit Workstations, und Verknüpfen Sie ein vorhandenes Gruppenrichtlinienobjekt.

      lokale Konten 6

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus > , und klicken Sie auf OK.

  9. Testen Sie die Funktionalität von Enterprise-Anwendungen auf den Arbeitsstationen in dieser ersten Organisationseinheit, und beheben Sie alle Probleme, die durch die neue Richtlinie verursacht werden.

  10. Erstellen von Links zu allen anderen OUs, die Workstations enthalten.

  11. Erstellen von Links zu allen anderen OUs, die Server enthalten

Netzwerkanmeldung für alle lokalen Administrator Konten verweigern

Lokale Konten ablehnen die Möglichkeit zum Durchführen von Netzwerkanmeldungen kann dazu beitragen, dass der Kennwort-Hash eines lokalen Kontos bei einem böswilligen Angriff wieder verwendet wird. Dieses Verfahren hilft, seitliche Bewegungen zu verhindern, indem Sie sicherstellen, dass die Anmeldeinformationen für lokale Konten, die von einem kompromittierten Betriebssystem gestohlen werden, nicht zum kompromittieren zusätzlicher Computer verwendet werden können, die dieselben Anmeldeinformationen verwenden.

Hinweis um dieses Verfahren ausführen zu können, müssen Sie zunächst den Namen des lokalen Standardadministratorkontos angeben, das möglicherweise nicht der Standardbenutzername "Administrator" und alle anderen Konten sind, die Mitglieder der lokalen Gruppe Administratoren sind. .

In der folgenden Tabelle sind die Gruppenrichtlinieneinstellungen aufgeführt, die verwendet werden, um die Netzwerkanmeldung für alle lokalen Administrator Konten zu verweigern.

Nein.

Einstellung

Ausführliche Beschreibung

Richtlinienspeicherort

Computer Computerkonfiguration\Windows-Einstellungen Richtlinien\Zuweisen Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechtezuweisung

1

Richtlinienname

Zugriff vom Netzwerk auf diesen Computer verweigern

Richtlinieneinstellung

Lokales Konto und Mitglied der Gruppe "Administratoren"

2

Richtlinienspeicherort

Computer Computerkonfiguration\Windows-Einstellungen Richtlinien\Zuweisen Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechtezuweisung

Richtlinienname

Anmelden über Remotedesktopdienste verweigern

Richtlinieneinstellung

Lokales Konto und Mitglied der Gruppe "Administratoren"

So verweigern Sie die Netzwerkanmeldung für alle lokalen Administratorkonten

  1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).

  2. <Erweitern Sie in der Konsolenstruktur die Domäne<> Gesamtstruktur>\Domains\, und klicken Sie dann auf **Gruppenrichtlinienobjekte, wobei Gesamtstruktur der Name der Gesamtstruktur und Domäne der Name der Domäne ist, in der Sie das Gruppenrichtlinienobjekt (GPO) festlegen möchten.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekteund > dann auf neu.

  4. Geben <Sie im Dialogfeld neues GPO gpo_name>ein, und klicken > Sie dann auf OK , wobei gpo_name den Namen des neuen Gruppenrichtlinienobjekts angibt, dass es verwendet wird, um die lokalen Administratorkonten von interaktiv zu beschränken. Melden Sie sich beim Computer an.

    lokale Konten 7

  5. Klicken Sie im Detailbereich mit der rechten <Maustaste auf gpo_name>, und > BearbeitenSie Sie.

    lokale Konten 8

  6. Konfigurieren Sie die Benutzerrechte zum Verweigern von Netzwerkanmeldungen für administrative lokale Konten wie folgt:

    1. Navigieren Sie zum Computer Configuration\Windows Settings\Security Settings\, und > verwenden Sie die Zuweisung von Benutzerrechten.

    2. Doppelklicken Sie auf Zugriff verweigern für diesen Computer aus dem Netzwerk.

    3. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie Lokales Konto und Mitglied der Gruppe Administratorenein, und > klicken Sie auf OK.

  7. Konfigurieren Sie die Benutzerrechte so, dass Remote Desktop Anmeldungen (Remote Interactive) für administrative lokale Konten wie folgt verweigert werden:

    1. Navigieren Sie zu Computer Configuration\Policies\Windows-Einstellungen und lokalen Richtlinien, und klicken Sie dann auf Zuweisung von Benutzerrechten.

    2. Doppelklicken Sie auf Anmeldung über Remote Desktop Dienste verweigern.

    3. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie Lokales Konto und Mitglied der Gruppe Administratorenein, und > klicken Sie auf OK.

  8. Verknüpfen Sie das Gruppenrichtlinienobjekt mit der ersten Arbeits Stations -ou wie folgt:

    1. Navigieren Sie zum <\OU-<Pfad der Gesamtstruktur>-\Domains\-Domäne>.

    2. Klicken Sie mit der **** rechten Maustaste auf die > Organisationseinheit Workstations, und Verknüpfen Sie ein vorhandenes Gruppenrichtlinienobjekt.

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus > , und klicken Sie auf OK.

  9. Testen Sie die Funktionalität von Enterprise-Anwendungen auf den Arbeitsstationen in dieser ersten Organisationseinheit, und beheben Sie alle Probleme, die durch die neue Richtlinie verursacht werden.

  10. Erstellen von Links zu allen anderen OUs, die Workstations enthalten.

  11. Erstellen von Links zu allen anderen OUs, die Server enthalten

    Hinweis Sie müssen möglicherweise ein separates Gruppenrichtlinienobjekt erstellen, wenn sich der Benutzername des Standard Administrator Kontos auf Workstations und Servern unterscheidet.

Erstellen von eindeutigen Kennwörtern für lokale Konten mit Administratorrechten

Kennwörter sollten für jedes einzelne Konto eindeutig sein. Obwohl dies in der Regel für einzelne Benutzerkonten zutrifft, besitzen viele Unternehmen identische Kennwörter für gängige lokale Konten, beispielsweise das Standard Administrator Konto. Dies geschieht auch, wenn die gleichen Kennwörter für lokale Konten während der Bereitstellung des Betriebssystems verwendet werden.

Kennwörter, die unverändert bleiben oder synchron geändert werden, um Sie identisch zu halten, tragen zu einem erheblichen Risiko für Organisationen bei. Durch das randomizen der Kennwörter werden "Pass-the-Hash"-Angriffe durch Verwendung unterschiedlicher Kennwörter für lokale Konten verringert, was die Möglichkeit von böswilligen Benutzern, Kennworthashs dieser Konten zu verwenden, um andere Computer zu gefährden, behindert.

Kennwörter können randomisiert werden durch:

  • Einkauf und Implementierung eines Enterprise-Tools, um diese Aufgabe zu erfüllen. Diese Tools werden gemeinhin als Tools für privilegierte Kennwortverwaltung bezeichnet.

  • Konfigurieren der lokalen Administrator Kennwort-Lösung (Runden) , um diese Aufgabe auszuführen.

  • Erstellen und Implementieren eines benutzerdefinierten Skripts oder einer Lösung zum Randomisieren von Kennwörtern für lokales Konto

Weitere Informationen:

Die folgenden Ressourcen bieten zusätzliche Informationen zu Technologien, die sich auf lokale Konten beziehen.