Einsetzen als Teil des Betriebssystems

Betrifft

  • Windows 10

Beschreibt die bewährten Methoden, den Standort, die Werte, die Richtlinienverwaltung und Sicherheitsüberlegungen für das Act als Teil der Sicherheitsrichtlinieneinstellung für das Betriebssystem.

Referenz

Der Akt als Teil der Richtlinieneinstellung für das Betriebssystem bestimmt, ob ein Prozess die Identität eines beliebigen Benutzers übernehmen kann, und erhält dadurch Zugriff auf die Ressourcen, auf die der Benutzer zugreifen darf. In der Regel erfordern nur Authentifizierungsdienste auf niedriger Ebene diesen Benutzerrechts. Der potenzielle Zugriff ist nicht auf die standardmäßige Zuordnung des Benutzers limitiert. Der aufrufende Prozess kann anfordern, dass dem Zugriffstoken beliebige zusätzliche Privilegien hinzugefügt werden. Der aufrufende Prozess kann auch ein Zugriffstoken erstellen, das keine primäre Identität für die Überwachung in den Systemereignisprotokollen bereitstellt. Konstante: SeTcbPrivilege

Mögliche Werte

  • Benutzerdefinierte Kontenliste
  • Nicht definiert

Bewährte Verfahren

  • Weisen Sie dieses Recht keinem Benutzerkonto zu. Weisen Sie dieses Benutzerrecht nur vertrauenswürdigen Benutzern zu.
  • Wenn für einen Dienst dieses Benutzerrecht erforderlich ist, konfigurieren Sie den Dienst so, dass er sich mit dem lokalen System Konto anmeldet, das dieses Benutzerrecht inhärent umfasst. Erstellen Sie kein separates Konto, und weisen Sie diesem Benutzerrecht zu.

Standort

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rechtezuweisung

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinien Werte für die zuletzt unterstützten Windows-Versionen aufgeführt. Standardwerte sind auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder Gruppenrichtlinienobjekt Standardwert
Standarddomänenrichtlinie Nicht definiert
Standardrichtlinie für Domänencontroller Nicht definiert
Standardeinstellungen für eigenständige Server Nicht definiert
Effektive Standardeinstellungen für Domänencontroller Nicht definiert
Effektive Standardeinstellungen für Mitgliedsserver Nicht definiert
Effektive Standardeinstellungen für Client Computer Nicht definiert

Richtlinienverwaltung

Damit diese Richtlinieneinstellung nicht wirksam ist, ist ein Neustart des Geräts nicht erforderlich.

Eine Änderung der Benutzerrechtezuweisung für ein Konto wird beim nächsten Anmelden des Besitzers des Kontos wirksam.

Gruppenrichtlinie

Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet, wodurch die Einstellungen auf dem lokalen Computer beim nächsten Gruppenrichtlinienupdate überschrieben werden:

  1. Lokale Richtlinieneinstellungen
  2. Website Richtlinieneinstellungen
  3. Domänenrichtlinieneinstellungen
  4. OU-Richtlinieneinstellungen

Wenn eine lokale Einstellung abgeblendet ist, bedeutet dies, dass ein GPO diese Einstellung zurzeit steuert.

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Der Akt als Teil des Benutzerrechts des Betriebssystems ist extrem leistungsstark. Benutzer mit diesem Benutzerrecht können die vollständige Steuerung des Geräts übernehmen und den Beweis ihrer Aktivitäten löschen.

Gegenmaßnahme

Beschränken Sie den Akt als Teil des Benutzerrechts des Betriebssystems auf so wenige Konten wie möglich – er sollte nicht einmal der Gruppe Administratoren unter typischen Umständen zugewiesen werden. Wenn für einen Dienst dieses Benutzerrecht erforderlich ist, konfigurieren Sie den Dienst so, dass er sich mit dem lokalen System Konto anmeldet, das diese Berechtigung inhärent umfasst. Erstellen Sie kein separates Konto, und weisen Sie diesem Benutzerrecht zu.

Mögliche Auswirkungen

Es sollten nur wenige oder gar keine Auswirkungen auftreten, da der Akt als Teil des Benutzerrechts des Betriebssystems nur selten von anderen Konten als dem lokalen Systemkonto benötigt wird.

Verwandte Themen

Zuweisen von Benutzerrechten