Freigeben über


Richtlinien-CSP – LocalPoliciesSecurityOptions

Logo von Windows Insider.

Wichtig

Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview-Builds gelten. Diese Einstellungen können geändert werden und weisen möglicherweise Abhängigkeiten von anderen Vorschau-Features oder -Diensten auf.

Hinweis

Informationen zum Suchen nach Datenformaten (und anderen richtlinienbezogenen Details) finden Sie unter Richtlinien-DDF-Datei.

Accounts_BlockMicrosoftAccounts

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Diese Richtlinieneinstellung verhindert, dass Benutzer neue Microsoft-Konten auf diesem Computer hinzufügen. Wenn Sie die Option "Benutzer können keine Microsoft-Konten hinzufügen" auswählen, können Benutzer keine neuen Microsoft-Konten auf diesem Computer erstellen, ein lokales Konto auf ein Microsoft-Konto umstellen oder ein Domänenkonto mit einem Microsoft-Konto verbinden. Dies ist die bevorzugte Option, wenn Sie die Verwendung von Microsoft-Konten in Ihrem Unternehmen einschränken müssen. Wenn Sie die Option "Benutzer können microsoft-Konten nicht hinzufügen oder anmelden" auswählen, können sich vorhandene Microsoft-Kontobenutzer nicht bei Windows anmelden. Wenn Sie diese Option auswählen, kann es für einen vorhandenen Administrator auf diesem Computer möglicherweise unmöglich sein, sich anzumelden und das System zu verwalten. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren (empfohlen), können Benutzer Microsoft-Konten mit Windows verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert (Benutzer können Microsoft-Konten mit Windows verwenden).
1 Aktiviert (Benutzer können keine Microsoft-Konten hinzufügen).
3 Benutzer können microsoft-Konten nicht hinzufügen oder sich mit ihnen anmelden.

Gruppenrichtlinienzuordnung:

Name Wert
Name Konten: Blockieren von Microsoft-Konten
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Accounts_EnableAdministratorAccountStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

Diese Sicherheitseinstellung bestimmt, ob das lokale Administratorkonto aktiviert oder deaktiviert ist.

Hinweis

Wenn Sie versuchen, das Administratorkonto erneut zu aktivieren, nachdem es deaktiviert wurde, und wenn das aktuelle Administratorkennwort die Kennwortanforderungen nicht erfüllt, können Sie das Konto nicht erneut aktivieren. In diesem Fall muss ein alternatives Mitglied der Gruppe Administratoren das Kennwort für das Administratorkonto zurücksetzen. Informationen zum Zurücksetzen eines Kennworts finden Sie unter So setzen Sie ein Kennwort zurück. Das Deaktivieren des Administratorkontos kann unter bestimmten Umständen zu einem Wartungsproblem werden. Unter Start im abgesicherten Modus wird das deaktivierte Administratorkonto nur aktiviert, wenn der Computer nicht in die Domäne eingebunden ist und keine anderen lokalen aktiven Administratorkonten vorhanden sind. Wenn der Computer in die Domäne eingebunden ist, wird der deaktivierte Administrator nicht aktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Konten: Administratorkontostatus
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Accounts_EnableGuestAccountStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus

Diese Sicherheitseinstellung bestimmt, ob das Gastkonto aktiviert oder deaktiviert ist. Hinweis: Wenn das Gastkonto deaktiviert ist und die Sicherheitsoption Netzwerkzugriff: Freigabe und Sicherheitsmodell für lokale Konten auf Nur Gast festgelegt ist, schlagen Netzwerkanmeldungen fehl, z. B. die von Microsoft Network Server (SMB-Dienst) ausgeführten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Konten: Gastkontenstatus
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Konten: Die Verwendung leerer Kennwörter für lokale Konten auf die Konsolenanmeldung beschränken Diese Sicherheitseinstellung bestimmt, ob lokale Konten, die nicht kennwortgeschützte sind, für die Anmeldung von anderen Standorten als der Konsole des physischen Computers verwendet werden können. Wenn diese Option aktiviert ist, können sich lokale Konten, die nicht kennwortgeschützte Sind, nur über die Tastatur des Computers anmelden. Warnung: Computer, die sich nicht an physisch sicheren Standorten befinden, sollten immer Richtlinien für sichere Kennwörter für alle lokalen Benutzerkonten erzwingen. Andernfalls kann sich jeder Benutzer mit physischem Zugriff auf den Computer mit einem Benutzerkonto anmelden, das kein Kennwort hat. Dies ist besonders wichtig für tragbare Computer. Wenn Sie diese Sicherheitsrichtlinie auf die Gruppe Jeder anwenden, kann sich niemand über Remotedesktopdienste anmelden.

Hinweis

Diese Einstellung wirkt sich nicht auf Anmeldungen aus, die Domänenkonten verwenden. Es ist möglich, dass Anwendungen, die interaktive Remoteanmeldungen verwenden, diese Einstellung umgehen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert.
1 (Standard) Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Accounts_RenameAdministratorAccount

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Konten: Administratorkonto umbenennen Diese Sicherheitseinstellung bestimmt, ob der Sicherheits-ID (SID) für den Kontoadministrator ein anderer Kontoname zugeordnet ist. Durch die Umbenennung des bekannten Administratorkontos wird es für Unbefugte etwas schwieriger, diese Kombination aus privilegiertem Benutzernamen und Kennwort zu erraten. Standard: Administrator.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Administrator

Gruppenrichtlinienzuordnung:

Name Wert
Name Konten: Administrator umbenennen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Accounts_RenameGuestAccount

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Konten: Gastkonto umbenennen Diese Sicherheitseinstellung bestimmt, ob der Sicherheits-ID (SID) für das Konto "Guest" ein anderer Kontoname zugeordnet ist. Durch die Umbenennung des bekannten Gastkontos ist es für Unbefugte etwas schwieriger, diese Kombination aus Benutzername und Kennwort zu erraten. Standard: Gast.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Gast

Gruppenrichtlinienzuordnung:

Name Wert
Name Konten: Gastkonto umbenennen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Audit_AuditTheUseOfBackupAndRestoreprivilege

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege

Überwachung: Überwachen der Verwendung von Sicherungs- und Wiederherstellungsberechtigungen Diese Sicherheitseinstellung bestimmt, ob die Verwendung aller Benutzerberechtigungen, einschließlich Sicherung und Wiederherstellung, überwacht werden soll, wenn die Richtlinie Zum Verwenden von Überwachungsberechtigungen in Kraft ist. Wenn Sie diese Option aktivieren, wenn auch die Richtlinie Zum Verwenden von Überwachungsberechtigungen aktiviert ist, wird ein Überwachungsereignis für jede Datei generiert, die gesichert oder wiederhergestellt wird. Wenn Sie diese Richtlinie deaktivieren, wird die Verwendung der Berechtigung "Sichern" oder "Wiederherstellen" auch dann nicht überwacht, wenn die Verwendung von Überwachungsberechtigungen aktiviert ist.

Hinweis

Bei Windows-Versionen vor dem Konfigurieren dieser Sicherheitseinstellung unter Windows Vista werden Änderungen erst wirksam, wenn Sie Windows neu starten. Das Aktivieren dieser Einstellung kann während eines Sicherungsvorgangs viele Ereignisse verursachen, manchmal Hunderte pro Sekunde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format b64
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert AA.

Zulässige Werte:

Wert Beschreibung
AQ== Aktivieren.
AA== (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Überwachung: Die Verwendung des Sicherungs- und Wiederherstellungsrechts überprüfen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Überwachung: Erzwingen von Überwachungsrichtlinien-Unterkategorieeinstellungen (Windows Vista oder höher), um Überwachungsrichtlinienkategorieeinstellungen außer Kraft zu setzen Windows Vista und höhere Versionen von Windows ermöglichen die präzisere Verwaltung von Überwachungsrichtlinien mithilfe von Überwachungsrichtlinienunterkategorien. Durch das Festlegen der Überwachungsrichtlinie auf Kategorieebene wird das neue Überwachungsrichtlinienfeature der Unterkategorie außer Kraft gesetzt. Gruppenrichtlinie lässt nur das Festlegen der Überwachungsrichtlinie auf Kategorieebene zu, und vorhandene Gruppenrichtlinien können die Unterkategorieeinstellungen neuer Computer überschreiben, wenn sie der Domäne beigetreten oder auf Windows Vista oder höhere Versionen aktualisiert werden. Damit Überwachungsrichtlinien mithilfe von Unterkategorien verwaltet werden können, ohne dass eine Änderung an Gruppenrichtlinie erforderlich ist, gibt es in Windows Vista und höheren Versionen den neuen Registrierungswert SCENoApplyLegacyAuditPolicy, der verhindert, dass die Anwendung der Überwachungsrichtlinie auf Kategorieebene Gruppenrichtlinie und vom Verwaltungstool für lokale Sicherheitsrichtlinien verwendet wird. Wenn die hier festgelegte Überwachungsrichtlinie auf Kategorieebene nicht mit den ereignissen konsistent ist, die derzeit generiert werden, kann die Ursache sein, dass dieser Registrierungsschlüssel festgelegt ist. Standard: Aktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Überwachung: System sofort herunterfahren, wenn Sicherheitsüberwachungen nicht protokolliert werden können Diese Sicherheitseinstellung bestimmt, ob das System heruntergefahren wird, wenn es keine Sicherheitsereignisse protokollieren kann. Wenn diese Sicherheitseinstellung aktiviert ist, wird das System beendet, wenn eine Sicherheitsüberwachung aus irgendeinem Grund nicht protokolliert werden kann. In der Regel kann ein Ereignis nicht protokolliert werden, wenn das Sicherheitsüberwachungsprotokoll voll ist und die aufbewahrungsmethode, die für das Sicherheitsprotokoll angegeben ist, entweder Ereignisse nicht überschreiben oder Ereignisse nach Tagen überschreiben. Wenn das Sicherheitsprotokoll voll ist und ein vorhandener Eintrag nicht überschrieben werden kann und diese Sicherheitsoption aktiviert ist, wird der folgende Stoppfehler angezeigt: STOP: C0000244 {Audit Failed} Ein Versuch, eine Sicherheitsüberwachung zu generieren, ist fehlgeschlagen. Zur Wiederherstellung muss sich ein Administrator anmelden, das Protokoll archivieren (optional), das Protokoll löschen und diese Option wie gewünscht zurücksetzen. Bis diese Sicherheitseinstellung zurückgesetzt wird, können sich außer einem Mitglied der Gruppe Administratoren keine Benutzer beim System anmelden, auch wenn das Sicherheitsprotokoll nicht voll ist.

Hinweis

Bei Windows-Versionen vor dem Konfigurieren dieser Sicherheitseinstellung unter Windows Vista werden Änderungen erst wirksam, wenn Sie Windows neu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 0

Devices_AllowedToFormatAndEjectRemovableMedia

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Geräte: Dürfen Wechselmedien formatieren und auswerfen Diese Sicherheitseinstellung bestimmt, wer NTFS-Wechselmedien formatieren und auswerfen darf. Diese Funktion kann bereitgestellt werden für: Administratoren Administratoren und interaktive Benutzer Standard: Diese Richtlinie ist nicht definiert, und nur Administratoren haben diese Möglichkeit.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Geräte: Formatieren und Auswerfen von Wechselmedien zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Devices_AllowUndockWithoutHavingToLogon

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Geräte: Ausdocken zulassen, ohne sich anmelden zu müssen Diese Sicherheitseinstellung bestimmt, ob ein tragbarer Computer abgedockt werden kann, ohne sich anmelden zu müssen.

  • Wenn diese Richtlinie aktiviert ist, ist keine Anmeldung erforderlich, und eine externe Hardwareauswurfschaltfläche kann zum Andocken des Computers verwendet werden.

  • Wenn diese Option deaktiviert ist, muss sich ein Benutzer anmelden und über die Berechtigung Computer aus Dockingstation entfernen verfügen, um das Ausdocken des Computers rückgängig zu machen.

Achtung

Das Deaktivieren dieser Richtlinie kann benutzer dazu verleiten, den Laptop mit anderen Methoden als der externen Hardwareauswurftaste physisch von der Dockingstation zu entfernen. Da dies zu Schäden an der Hardware führen kann, sollte diese Einstellung im Allgemeinen nur für Laptopkonfigurationen deaktiviert werden, die physisch sicherungsfähig sind.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Zulassen
0 Blockieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Geräte: Entfernen ohne vorherige Anmeldung erlauben
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Geräte: Verhindern, dass Benutzer Druckertreiber installieren, wenn sie eine Verbindung mit freigegebenen Druckern herstellen damit ein Computer auf einem freigegebenen Drucker drucken kann, muss der Treiber für diesen freigegebenen Drucker auf dem lokalen Computer installiert sein. Diese Sicherheitseinstellung bestimmt, wer einen Druckertreiber im Rahmen der Verbindung mit einem freigegebenen Drucker installieren darf.

  • Wenn diese Einstellung aktiviert ist, können nur Administratoren einen Druckertreiber als Teil der Verbindung mit einem freigegebenen Drucker installieren.

  • Wenn diese Einstellung deaktiviert ist, kann jeder Benutzer einen Druckertreiber als Teil der Verbindung mit einem freigegebenen Drucker installieren. Standard auf Servern: Aktiviert. Standard auf Arbeitsstationen: Deaktivierte Hinweise Diese Einstellung wirkt sich nicht auf die Möglichkeit aus, einen lokalen Drucker hinzuzufügen. Diese Einstellung wirkt sich nicht auf Administratoren aus.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Geräte: Beschränken des CD-ROM-Zugriffs auf lokal angemeldete Benutzer Diese Sicherheitseinstellung bestimmt, ob sowohl lokale als auch Remotebenutzer gleichzeitig auf eine CD-ROM zugreifen können.

  • Wenn diese Richtlinie aktiviert ist, kann nur der interaktiv angemeldete Benutzer auf Wechseldatenträger zugreifen.

  • Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, kann über das Netzwerk auf die CD-ROM zugegriffen werden. Standard: Diese Richtlinie ist nicht definiert, und der CD-ROM-Zugriff ist nicht auf den lokal angemeldeten Benutzer beschränkt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Geräte: Zugriff auf Disketten auf lokal angemeldete Benutzer beschränken Diese Sicherheitseinstellung bestimmt, ob sowohl lokale als auch Remotebenutzer gleichzeitig auf Wechselmedien zugreifen können.

  • Wenn diese Richtlinie aktiviert ist, kann nur der interaktiv angemeldete Benutzer auf Wechseldatenträger zugreifen.

  • Wenn diese Richtlinie aktiviert ist und niemand interaktiv angemeldet ist, kann über das Netzwerk auf die Diskette zugegriffen werden. Standard: Diese Richtlinie ist nicht definiert, und der Zugriff auf Diskettenlaufwerke ist nicht auf den lokal angemeldeten Benutzer beschränkt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Domänenmitglied: Sichere Kanaldaten digital verschlüsseln oder signieren (immer) Diese Sicherheitseinstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte sichere Kanaldatenverkehr signiert oder verschlüsselt werden muss. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller für seine Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie ntlm pass through authentication, LSA SID/name lookup usw. auszuführen. Diese Einstellung bestimmt, ob der gesamte vom Domänenmitglied initiierte sichere Kanaldatenverkehr die Mindestsicherheitsanforderungen erfüllt. Insbesondere wird bestimmt, ob der gesamte vom Domänenmitglied initiierte sichere Kanaldatenverkehr signiert oder verschlüsselt werden muss.

  • Wenn diese Richtlinie aktiviert ist, wird der sichere Kanal nur dann eingerichtet, wenn entweder das Signieren oder die Verschlüsselung des gesamten datenverkehrssicheren Kanals ausgehandelt wird.

  • Wenn diese Richtlinie deaktiviert ist, wird die Verschlüsselung und Signierung des gesamten datenverkehrssicheren Kanals mit dem Domänencontroller ausgehandelt. In diesem Fall hängt der Grad der Signierung und Verschlüsselung von der Version des Domänencontrollers und den Einstellungen der folgenden beiden Richtlinien ab: Domänenmitglied: Sichere Kanaldaten digital verschlüsseln (sofern möglich) Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich) Hinweise: Wenn diese Richtlinie aktiviert ist, wird davon ausgegangen, dass die Richtlinie Domänenmitglied: Sichere Kanaldaten digital signieren (sofern möglich) unabhängig von ihrer aktuellen Einstellung aktiviert ist. Dadurch wird sichergestellt, dass das Domänenmitglied versucht, mindestens die Signierung des datenverkehrssicheren Kanals auszuhandeln. Anmeldeinformationen, die über den sicheren Kanal übertragen werden, werden immer verschlüsselt, unabhängig davon, ob die Verschlüsselung des GESAMTEN anderen datenverkehrssicheren Kanals ausgehandelt wird oder nicht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

Gruppenrichtlinienzuordnung:

Name Wert
Name Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Domänenmitglied: Sichere Kanaldaten digital verschlüsseln (wenn möglich) Diese Sicherheitseinstellung bestimmt, ob ein Domänenmitglied versucht, die Verschlüsselung für den gesamten von ihr initiierten sicheren Kanaldatenverkehr auszuhandeln. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller für seine Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie NTLM-Passthrough-Authentifizierung, LSA SID/Name Lookup usw. auszuführen. Diese Einstellung bestimmt, ob das Domänenmitglied versucht, die Verschlüsselung für den gesamten datenverkehrssicheren Kanal auszuhandeln, den es initiiert. Wenn diese Option aktiviert ist, fordert das Domänenmitglied die Verschlüsselung des gesamten datenverkehrssicheren Kanals an. Wenn der Domänencontroller die Verschlüsselung des gesamten datenverkehrssicheren Kanals unterstützt, wird der gesamte sichere Kanaldatenverkehr verschlüsselt. Andernfalls werden nur Anmeldeinformationen verschlüsselt, die über den sicheren Kanal übertragen werden. Wenn diese Einstellung deaktiviert ist, versucht das Domänenmitglied nicht, die sichere Kanalverschlüsselung auszuhandeln. Wichtig Es gibt keinen bekannten Grund für die Deaktivierung dieser Einstellung. Neben der unnötigen Reduzierung der potenziellen Vertraulichkeitsstufe des sicheren Kanals kann das Deaktivieren dieser Einstellung den Durchsatz des sicheren Kanals unnötig reduzieren, da gleichzeitige API-Aufrufe, die den sicheren Kanal verwenden, nur möglich sind, wenn der sichere Kanal signiert oder verschlüsselt ist.

Hinweis

Domänencontroller sind auch Domänenmitglieder und richten sichere Kanäle mit anderen Domänencontrollern in derselben Domäne sowie Domänencontrollern in vertrauenswürdigen Domänen ein.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

Gruppenrichtlinienzuordnung:

Name Wert
Name Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

DomainMember_DigitallySignSecureChannelDataWhenPossible

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible

Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich) Diese Sicherheitseinstellung bestimmt, ob ein Domänenmitglied versucht, die Signierung für den gesamten von ihr initiierten datenverkehr sicheren Kanal auszuhandeln. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller für seine Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie ntlm pass through authentication, LSA SID/name lookup usw. auszuführen. Diese Einstellung bestimmt, ob das Domänenmitglied versucht, die Signierung für den gesamten datenverkehrssicheren Kanal auszuhandeln, den es initiiert. Wenn diese Option aktiviert ist, fordert das Domänenmitglied die Signierung des gesamten datenverkehrssicheren Kanals an. Wenn der Domänencontroller das Signieren des gesamten datenverkehrssicheren Kanals unterstützt, wird der gesamte sichere Kanaldatenverkehr signiert, wodurch sichergestellt wird, dass er während der Übertragung nicht manipuliert werden kann.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

Gruppenrichtlinienzuordnung:

Name Wert
Name Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

DomainMember_DisableMachineAccountPasswordChanges

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges

Domänenmitglied: Kennwortänderungen für Computerkonten deaktivieren Bestimmt, ob ein Domänenmitglied in regelmäßigen Abständen sein Computerkontokennwort ändert.

  • Wenn diese Einstellung aktiviert ist, versucht das Domänenmitglied nicht, sein Computerkontokennwort zu ändern.

  • Wenn diese Einstellung deaktiviert ist, versucht das Domänenmitglied, sein Computerkontokennwort zu ändern, wie in der Einstellung für Domänenmitglied: Maximales Alter für das Kennwort des Computerkontos angegeben( standardmäßig alle 30 Tage). Hinweise Diese Sicherheitseinstellung sollte nicht aktiviert sein. Computerkontokennwörter werden verwendet, um eine sichere Kanalkommunikation zwischen Mitgliedern und Domänencontrollern und innerhalb der Domäne zwischen den Domänencontrollern selbst herzustellen. Nach der Einrichtung wird der sichere Kanal verwendet, um vertrauliche Informationen zu übertragen, die für Authentifizierungs- und Autorisierungsentscheidungen erforderlich sind. Diese Einstellung sollte nicht verwendet werden, um Dual-Boot-Szenarien zu unterstützen, die dasselbe Computerkonto verwenden. Wenn Sie zwei Installationen, die mit derselben Domäne verknüpft sind, dual starten möchten, weisen Sie den beiden Installationen unterschiedliche Computernamen zu.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

DomainMember_MaximumMachineAccountPasswordAge

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge

Domänenmitglied: Maximales Kennwortalter für Computerkonten Diese Sicherheitseinstellung bestimmt, wie oft ein Domänenmitglied versucht, sein Computerkontokennwort zu ändern. Standard: 30 Tage.

Wichtig

Diese Einstellung gilt für Windows 2000-Computer, ist jedoch nicht über die Sicherheitstools Configuration Manager auf diesen Computern verfügbar.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-999]
Standardwert 30

Gruppenrichtlinienzuordnung:

Name Wert
Name Domänenmitglied: Maximalalter von Computerkontenkennwörtern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

DomainMember_RequireStrongSessionKey

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey

Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) Diese Sicherheitseinstellung bestimmt, ob die 128-Bit-Schlüsselstärke für verschlüsselte Daten im sicheren Kanal erforderlich ist. Wenn ein Computer einer Domäne beitritt, wird ein Computerkonto erstellt. Danach verwendet es beim Starten des Systems das Computerkontokennwort, um einen sicheren Kanal mit einem Domänencontroller innerhalb der Domäne zu erstellen. Dieser sichere Kanal wird verwendet, um Vorgänge wie NTLM-Passthrough-Authentifizierung, LSA-SID/Name-Suche usw. auszuführen. Abhängig von der Windows-Version, die auf dem Domänencontroller ausgeführt wird, mit dem das Domänenmitglied kommuniziert, und den Einstellungen der Parameter: Domänenmitglied: Sichere Kanaldaten digital verschlüsseln oder signieren (immer) Domänenmitglied: Digitales Verschlüsseln sicherer Kanaldaten (sofern möglich) Einige oder alle Informationen, die über den sicheren Kanal übertragen werden, werden verschlüsselt. Diese Richtlinieneinstellung bestimmt, ob die 128-Bit-Schlüsselstärke für die verschlüsselten informationen zum sicheren Kanal erforderlich ist.

  • Wenn diese Einstellung aktiviert ist, wird der sichere Kanal nur dann eingerichtet, wenn eine 128-Bit-Verschlüsselung durchgeführt werden kann.

  • Wenn diese Einstellung deaktiviert ist, wird die Schlüsselstärke mit dem Domänencontroller ausgehandelt. Wichtig Um diese Richtlinie auf Mitgliedsarbeitsstationen und -servern nutzen zu können, müssen auf allen Domänencontrollern, die die Domäne des Mitglieds bilden, Windows 2000 oder höher ausgeführt werden. Um diese Richtlinie auf Domänencontrollern nutzen zu können, müssen alle Domänencontroller in derselben Domäne sowie alle vertrauenswürdigen Domänen Windows 2000 oder höher ausführen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

Gruppenrichtlinienzuordnung:

Name Wert
Name Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Interaktive Anmeldung: Anzeigen von Benutzerinformationen, wenn die Sitzung gesperrt ist Benutzeranzeigename, Domäne und Benutzernamen (1) Nur Anzeigename des Benutzers (2) Keine Benutzerinformationen anzeigen (3) Nur Domänen- und Benutzernamen (4)

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Benutzeranzeigename, Domänen- und Benutzernamen.
2 Nur Benutzeranzeigename.
3 Zeigen Sie keine Benutzerinformationen an.
4 Nur Domänen- und Benutzernamen.

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_DoNotDisplayLastSignedIn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Interaktive Anmeldung: Letzte Anmeldung nicht anzeigen Diese Sicherheitseinstellung bestimmt, ob auf dem Windows-Anmeldebildschirm der Benutzername der letzten Person angezeigt wird, die sich auf diesem PC angemeldet hat.

  • Wenn diese Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt.

  • Wenn diese Richtlinie deaktiviert ist, wird der Benutzername angezeigt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert (Benutzername wird angezeigt).
1 Aktiviert (Benutzername wird nicht angezeigt).

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Letzte Anmeldung nicht anzeigen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_DoNotDisplayUsernameAtSignIn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Interaktive Anmeldung: Benutzername bei Anmeldung nicht anzeigen Diese Sicherheitseinstellung bestimmt, ob der Benutzername der Person, die sich bei diesem PC anmeldet, bei der Windows-Anmeldung, nach der Eingabe der Anmeldeinformationen und vor der Anzeige des PC-Desktops angezeigt wird.

  • Wenn diese Richtlinie aktiviert ist, wird der Benutzername nicht angezeigt.

  • Wenn diese Richtlinie deaktiviert ist, wird der Benutzername angezeigt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert (Benutzername wird angezeigt).
1 (Standard) Aktiviert (Benutzername wird nicht angezeigt).

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Benutzername bei der Anmeldung nicht anzeigen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_DoNotRequireCTRLALTDEL

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Interaktive Anmeldung: Strg+ALT+ENTF nicht erforderlich Diese Sicherheitseinstellung bestimmt, ob STRG+ALT+ENTF gedrückt werden muss, bevor sich ein Benutzer anmelden kann.

  • Wenn diese Richtlinie auf einem Computer aktiviert ist, muss ein Benutzer nicht STRG+ALT+ENTF drücken, um sich anzumelden. Wenn Sie STRG+ALT+ENTF nicht drücken müssen, sind Benutzer anfällig für Angriffe, die versuchen, die Kennwörter der Benutzer abzufangen. Durch drücken von STRG+ALT+ENTF vor der Anmeldung von Benutzern wird sichergestellt, dass Benutzer über einen vertrauenswürdigen Pfad kommunizieren, wenn sie ihre Kennwörter eingeben.

  • Wenn diese Richtlinie deaktiviert ist, muss jeder Benutzer STRG+ALT+ENTF drücken, bevor er sich bei Windows anmeldet. Standardeinstellung auf Domänencomputern: Aktiviert: Mindestens Windows 8/Deaktiviert: Windows 7 oder früher. Standardeinstellung auf eigenständigen Computern: Aktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert.
1 (Standard) Aktiviert (ein Benutzer muss nicht STRG+ALT+ENTF drücken, um sich anzumelden).

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: STRG+ALT+ENTF nicht erforderlich
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_MachineAccountLockoutThreshold

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold

Interaktive Anmeldung: Computerkontoschwellenwert. Die Computersperrungsrichtlinie wird nur auf Computern erzwungen, auf denen BitLocker zum Schutz von Betriebssystemvolumes aktiviert ist. Stellen Sie sicher, dass geeignete Richtlinien für die Sicherung von Wiederherstellungskennwörtern aktiviert sind. Diese Sicherheitseinstellung bestimmt die Anzahl der fehlgeschlagenen Anmeldeversuche, die dazu führen, dass der Computer gesperrt wird. Ein gesperrter Computer kann nur durch Bereitstellen des Wiederherstellungsschlüssels in der Konsole wiederhergestellt werden. Sie können den Wert zwischen 1 und 999 fehlgeschlagenen Anmeldeversuchen festlegen. Wenn Sie den Wert auf 0 festlegen, wird der Computer nie gesperrt. Werte von 1 bis 3 werden als 4 interpretiert. Fehlgeschlagene Kennwortversuche an Arbeitsstationen oder Mitgliedsservern, die entweder mit STRG+ALT+ENTF oder kennwortgeschützten Bildschirmschonern gesperrt wurden, zählen als fehlgeschlagene Anmeldeversuche. Die Computersperrungsrichtlinie wird nur auf Computern erzwungen, auf denen BitLocker zum Schutz von Betriebssystemvolumes aktiviert ist. Stellen Sie sicher, dass die entsprechenden Richtlinien für die Sicherung von Wiederherstellungskennwörtern aktiviert sind. Standardwert: 0.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-999]
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Schwellenwert für Computerkontosperrung
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_MachineInactivityLimit

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Interaktive Anmeldung: Grenzwert für Computerinaktivität. Windows erkennt Inaktivität einer Anmeldesitzung. Wenn die Inaktivitätsdauer den Inaktivitätsgrenzwert überschreitet, wird der Bildschirmschoner ausgeführt und die Sitzung gesperrt. Standardwert: nicht erzwungen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-599940]
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Inaktivitätsgrenze des Computers
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Überprüfen:

Gültige Werte: Von 0 bis 599940, wobei der Wert der Inaktivitätszeit (in Sekunden) entspricht, nach der die Sitzung gesperrt wird. Wenn sie auf null (0) festgelegt ist, ist die Einstellung deaktiviert.

InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Interaktive Anmeldung: Meldungstext für Benutzer, die versuchen, sich anzumelden Diese Sicherheitseinstellung gibt eine SMS an, die Benutzern angezeigt wird, wenn sie sich anmelden. Dieser Text wird häufig aus rechtlichen Gründen verwendet, z. B. um Benutzer vor den Auswirkungen der missbräuchlichen Nutzung von Unternehmensinformationen zu warnen oder um sie zu warnen, dass ihre Handlungen überwacht werden können. Standard: Keine Nachricht.

Wichtig

Die Vorabbereitstellung von Windows Autopilot funktioniert nicht, wenn diese Richtlinieneinstellung aktiviert ist. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Problembehandlung für Windows Autopilot.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchten Diese Sicherheitseinstellung ermöglicht es, dass die Angabe eines Titels in der Titelleiste des Fensters angezeigt wird, das den Text Interaktive Anmeldung: Meldung für Benutzer enthält, die sich anmelden möchten. Standard: Keine Nachricht.

Wichtig

Die Vorabbereitstellung von Windows Autopilot funktioniert nicht, wenn diese Richtlinieneinstellung aktiviert ist. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Problembehandlung für Windows Autopilot.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

InteractiveLogon_NumberOfPreviousLogonsToCache

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache

Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen, die zwischengespeichert werden sollen (falls der Domänencontroller nicht verfügbar ist) Die Anmeldeinformationen jedes eindeutigen Benutzers werden lokal zwischengespeichert, sodass er sich anmelden kann, falls ein Domänencontroller bei nachfolgenden Anmeldeversuchen nicht verfügbar ist. Die zwischengespeicherten Anmeldeinformationen werden aus der vorherigen Anmeldesitzung gespeichert. Wenn ein Domänencontroller nicht verfügbar ist und die Anmeldeinformationen eines Benutzers nicht zwischengespeichert werden, wird der Benutzer mit der folgenden Meldung aufgefordert: Es sind derzeit keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu verarbeiten. In dieser Richtlinieneinstellung deaktiviert der Wert 0 die Zwischenspeicherung der Anmeldung. Jeder Wert über 50 speichert nur 50 Anmeldeversuche zwischen. Windows unterstützt maximal 50 Cacheeinträge, und die Anzahl der pro Benutzer verbrauchten Einträge hängt von den Anmeldeinformationen ab. Beispielsweise können maximal 50 eindeutige Kennwortbenutzerkonten auf einem Windows-System zwischengespeichert werden, aber nur 25 intelligente Karte Benutzerkonten können zwischengespeichert werden, da sowohl die Kennwortinformationen als auch die Informationen zum intelligenten Karte gespeichert werden. Wenn sich ein Benutzer mit zwischengespeicherten Anmeldeinformationen erneut anmeldet, werden die einzelnen zwischengespeicherten Informationen des Benutzers ersetzt. Standard: Windows Server 2008: 25 Alle anderen Versionen: 10.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 10

InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Interaktive Anmeldung: Benutzer vor Ablauf zum Ändern des Kennworts auffordern Legt fest, wie weit im Voraus (in Tagen) Benutzer gewarnt werden, dass ihr Kennwort bald abläuft. Mit dieser Vorabwarnung hat der Benutzer Zeit, ein Kennwort zu erstellen, das ausreichend sicher ist. Standard: 5 Tage.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-999]
Standardwert 5

InteractiveLogon_SmartCardRemovalBehavior

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Interaktive Anmeldung: Intelligentes Karte Entfernungsverhalten Diese Sicherheitseinstellung bestimmt, was geschieht, wenn die intelligente Karte für einen angemeldeten Benutzer aus dem Smart Karte-Reader entfernt wird. Die Optionen lauten: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session Wenn Sie im Dialogfeld Eigenschaften für diese Richtlinie auf Arbeitsstation sperren klicken, wird die Arbeitsstation gesperrt, wenn die intelligente Karte entfernt wird, sodass Benutzer den Bereich verlassen, ihre smarten Karte mitnehmen und trotzdem eine geschützte Sitzung beibehalten können. Wenn Sie im Dialogfeld Eigenschaften für diese Richtlinie auf Abmelden erzwingen klicken, wird der Benutzer automatisch abgemeldet, wenn die intelligente Karte entfernt wird. Wenn Sie bei einer Remotedesktopdienste-Sitzung auf Trennen klicken, wird die Sitzung durch Entfernen des intelligenten Karte getrennt, ohne dass der Benutzer abgemeldet wird. Auf diese Weise kann der Benutzer die intelligente Karte einfügen und die Sitzung später oder an einem anderen computer mit Lesegerät Karte fortsetzen, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinie identisch mit Arbeitsstation sperren.

Hinweis

Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet. Standard: Diese Richtlinie ist nicht definiert, was bedeutet, dass sie vom System als Keine Aktion behandelt wird. Unter Windows Vista und höher: Damit diese Einstellung funktioniert, muss der Dienst zum Entfernen von Smartcards gestartet werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Keine Aktion.
1 Arbeitsstation sperren.
2 Abmeldung erzwingen.
3 Trennen Sie die Verbindung, wenn eine Remotedesktopdienste-Sitzung vorhanden ist.

Gruppenrichtlinienzuordnung:

Name Wert
Name Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) Diese Sicherheitseinstellung bestimmt, ob die Paketsignatur für die SMB-Clientkomponente erforderlich ist. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zulässig ist.

  • Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkclient nicht mit einem Microsoft-Netzwerkserver, es sei denn, dieser Server stimmt der SMB-Paketsignierung zu.

  • Wenn diese Richtlinie deaktiviert ist, wird die SMB-Paketsignierung zwischen Client und Server ausgehandelt. Wichtig Damit diese Richtlinie auf Computern mit Windows 2000 wirksam wird, muss auch die clientseitige Paketsignierung aktiviert sein. Um die clientseitige SMB-Paketsignierung zu aktivieren, legen Sie Microsoft-Netzwerkclient: Kommunikation digital signieren fest (wenn der Server zustimmt).

Hinweis

Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und höheren Betriebssystemen wird die Aktivierung oder Anforderung der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente paketsignieren erfordert. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten. Weitere Informationen finden Sie unter Referenz:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) Diese Sicherheitseinstellung bestimmt, ob der SMB-Client versucht, die SMB-Paketsignierung auszuhandeln. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Clientkomponente versucht, die SMB-Paketsignierung auszuhandeln, wenn sie eine Verbindung mit einem SMB-Server herstellt.

  • Wenn diese Einstellung aktiviert ist, fordert der Microsoft-Netzwerkclient den Server auf, beim Einrichten der Sitzung SMB-Pakete zu signieren. Wenn die Paketsignierung auf dem Server aktiviert wurde, wird die Paketsignierung ausgehandelt.

  • Wenn diese Richtlinie deaktiviert ist, wird der SMB-Client niemals die SMB-Paketsignierung aushandeln. Hinweise Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und höher wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente paketsigniert werden muss. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, SMB-Signierung zu versuchen. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen finden Sie unter Referenz:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Aktivieren.
0 Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Microsoft-Netzwerkclient: Senden eines unverschlüsselten Kennworts zum Herstellen einer Verbindung mit SMB-Servern von Drittanbietern Wenn diese Sicherheitseinstellung aktiviert ist, darf der SMB-Redirector (Server Message Block) Klartextkennwörter an Nicht-Microsoft-SMB-Server senden, die die Kennwortverschlüsselung während der Authentifizierung nicht unterstützen. Das Senden unverschlüsselter Kennwörter ist ein Sicherheitsrisiko.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Microsoft-Netzwerkserver: Zeit im Leerlauf, die vor dem Anhalten einer Sitzung erforderlich ist Diese Sicherheitseinstellung bestimmt die Dauer der fortlaufenden Leerlaufzeit, die in einer SMB-Sitzung (Server Message Block) verstreichen muss, bevor die Sitzung aufgrund von Inaktivität angehalten wird. Administratoren können diese Richtlinie verwenden, um zu steuern, wann ein Computer eine inaktive SMB-Sitzung ansetzt. Wenn die Clientaktivität fortgesetzt wird, wird die Sitzung automatisch wiederhergestellt. Für diese Richtlinieneinstellung bedeutet der Wert 0, eine Sitzung im Leerlauf so schnell wie möglich zu trennen. Der Höchstwert beträgt 99999, also 208 Tage; Dieser Wert deaktiviert die Richtlinie. Standard: Diese Richtlinie ist nicht definiert, was bedeutet, dass das System sie als 15 Minuten für Server und als nicht definiert für Arbeitsstationen behandelt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-99999]
Standardwert 99999

Gruppenrichtlinienzuordnung:

Name Wert
Name Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) Diese Sicherheitseinstellung bestimmt, ob die Paketsignatur für die SMB-Serverkomponente erforderlich ist. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Client zulässig ist.

  • Wenn diese Einstellung aktiviert ist, kommuniziert der Microsoft-Netzwerkserver nicht mit einem Microsoft-Netzwerkclient, es sei denn, dieser Client stimmt der SMB-Paketsignierung zu.

  • Wenn diese Einstellung deaktiviert ist, wird die SMB-Paketsignierung zwischen Client und Server ausgehandelt. Standardeinstellung: Für Mitgliedsserver deaktiviert. Aktiviert für Domänencontroller.

Hinweis

Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Unter Windows 2000 und höher wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente paketsigniert werden muss. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn eine clientseitige SMB-Signatur erforderlich ist, kann dieser Client auf ähnliche Weise keine Sitzung mit Servern einrichten, auf denen die Paketsignatur nicht aktiviert ist. Standardmäßig ist die serverseitige SMB-Signatur nur auf Domänencontrollern aktiviert. Wenn die serverseitige SMB-Signatur aktiviert ist, wird die SMB-Paketsignierung mit Clients ausgehandelt, für die die clientseitige SMB-Signatur aktiviert ist. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten.

Wichtig

Damit diese Richtlinie auf Computern mit Windows 2000 wirksam wird, muss auch die serverseitige Paketsignierung aktiviert sein. Um die serverseitige SMB-Paketsignatur zu aktivieren, legen Sie die folgende Richtlinie fest: Microsoft-Netzwerkserver: Kommunikation digital signieren (sofern server zustimmt) Damit Windows 2000-Server die Signierung mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Windows 2000-Server auf 1 festgelegt werden: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Weitere Informationen finden Sie unter: <https://go.microsoft.com/fwlink/?LinkID=787136>.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) Diese Sicherheitseinstellung bestimmt, ob der SMB-Server die SMB-Paketsignierung mit Clients aushandelt, die dies anfordern. Das SMB-Protokoll (Server Message Block) ist die Grundlage für die Datei- und Druckfreigabe von Microsoft und viele andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Um Man-in-the-Middle-Angriffe zu verhindern, die SMB-Pakete während der Übertragung ändern, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Diese Richtlinieneinstellung bestimmt, ob der SMB-Server die SMB-Paketsignierung aushandelt, wenn ein SMB-Client dies anfordert.

  • Wenn diese Einstellung aktiviert ist, handelt der Microsoft-Netzwerkserver die SMB-Paketsignierung aus, wie vom Client angefordert. Das heißt, wenn die Paketsignierung auf dem Client aktiviert wurde, wird die Paketsignierung ausgehandelt.

  • Wenn diese Richtlinie deaktiviert ist, wird der SMB-Client niemals die SMB-Paketsignierung aushandeln. Nur auf Domänencontrollern.

Wichtig

Damit Windows 2000-Server die Signierung mit Windows NT 4.0-Clients aushandeln können, muss der folgende Registrierungswert auf dem Server mit Windows 2000 auf 1 festgelegt werden: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Hinweise Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Für Windows 2000 und höher wird das Aktivieren oder Anfordern der Paketsignatur für client- und serverseitige SMB-Komponenten durch die folgenden vier Richtlinieneinstellungen gesteuert: Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) – Steuert, ob die clientseitige SMB-Komponente Paketsignierung erfordert. Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) – Steuert, ob für die clientseitige SMB-Komponente die Paketsignatur aktiviert ist. Microsoft-Netzwerkserver: Kommunikation digital signieren (immer): Steuert, ob die serverseitige SMB-Komponente paketsignieren muss. Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) – Steuert, ob die Paketsignatur für die serverseitige SMB-Komponente aktiviert ist. Wenn sowohl die clientseitige als auch die serverseitige SMB-Signatur aktiviert ist und der Client eine SMB 1.0-Verbindung mit dem Server herstellt, wird versucht, SMB-Signierung zu versuchen. Die SMB-Paketsignierung kann die SMB-Leistung erheblich beeinträchtigen, je nach Dialektversion, Betriebssystemversion, Dateigrößen, Prozessorauslagerungsfunktionen und Anwendungs-E/A-Verhalten. Diese Einstellung gilt nur für SMB 1.0-Verbindungen. Weitere Informationen finden Sie unter Referenz:<https://go.microsoft.com/fwlink/?LinkID=787136>.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Microsoft-Netzwerkserver: Clients nach Ablauf der Anmeldezeiten trennen Diese Sicherheitseinstellung bestimmt, ob Benutzer, die außerhalb der gültigen Anmeldezeiten ihres Benutzerkontos mit dem lokalen Computer verbunden sind, getrennt werden sollen. Diese Einstellung wirkt sich auf die SMB-Komponente (Server Message Block) aus. Wenn diese Richtlinie aktiviert ist, werden Clientsitzungen mit dem SMB-Dienst erzwungen getrennt, wenn die Anmeldezeiten des Clients ablaufen.

  • Wenn diese Richtlinie deaktiviert ist, kann eine eingerichtete Clientsitzung nach Ablauf der Anmeldestunden des Clients beibehalten werden. Standard unter Windows Vista und höher: Aktiviert. Standard unter Windows XP: Deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Microsoft-Netzwerkserver: Überprüfungsebene des Server-SPN-Zielnamens Diese Richtlinieneinstellung steuert die Überprüfungsebene, die ein Computer mit freigegebenen Ordnern oder Druckern (der Server) für den Dienstprinzipalnamen (SPN) ausführt, der vom Clientcomputer beim Einrichten einer Sitzung mithilfe des SMB-Protokolls (Server Message Block) bereitgestellt wird. Das SMB-Protokoll (Server Message Block) bietet die Grundlage für die Datei- und Druckfreigabe und andere Netzwerkvorgänge, z. B. die Windows-Remoteverwaltung. Das SMB-Protokoll unterstützt die Überprüfung des SMB-Serverdienstprinzipalnamens (SPN) innerhalb des von einem SMB-Client bereitgestellten Authentifizierungsblobs, um eine Klasse von Angriffen auf SMB-Server zu verhindern, die als SMB-Relayangriffe bezeichnet werden. Diese Einstellung wirkt sich sowohl auf SMB1 als auch auf SMB2 aus. Diese Sicherheitseinstellung bestimmt die Überprüfungsebene, die ein SMB-Server für den Dienstprinzipalnamen (SPN) ausführt, der vom SMB-Client bereitgestellt wird, wenn versucht wird, eine Sitzung mit einem SMB-Server einzurichten. Die Optionen sind: Aus : Der SPN ist vom SMB-Server von einem SMB-Client nicht erforderlich oder überprüft. Akzeptieren, wenn vom Client bereitgestellt: Der SMB-Server akzeptiert und überprüft den vom SMB-Client bereitgestellten SPN und lässt die Einrichtung einer Sitzung zu, wenn er mit der Liste der SPNs des SMB-Servers für sich selbst übereinstimmt. Wenn der SPN NICHT übereinstimmt, wird die Sitzungsanforderung für diesen SMB-Client abgelehnt. Vom Client erforderlich: Der SMB-Client MUSS bei der Sitzungseinrichtung einen SPN-Namen senden, und der angegebene SPN-Name MUSS mit dem SMB-Server übereinstimmen, der zum Herstellen einer Verbindung angefordert wird. Wenn vom Client kein SPN bereitgestellt wird oder der bereitgestellte SPN nicht übereinstimmt, wird die Sitzung verweigert. Standard: Aus Alle Windows-Betriebssysteme unterstützen sowohl eine clientseitige SMB-Komponente als auch eine serverseitige SMB-Komponente. Diese Einstellung wirkt sich auf das SMB-Verhalten des Servers aus, und die Implementierung sollte sorgfältig ausgewertet und getestet werden, um Unterbrechungen der Datei- und Druckbereitstellungsfunktionen zu verhindern. Weitere Informationen zur Implementierung und Verwendung dieser Zum Schutz Ihrer SMB-Server finden Sie auf der Microsoft-Website (https://go.microsoft.com/fwlink/?LinkId=144505).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-2]
Standardwert 0

NetworkAccess_AllowAnonymousSIDOrNameTranslation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation

Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Diese Richtlinieneinstellung bestimmt, ob ein anonymer Benutzer SID-Attribute (Security Identifier) für einen anderen Benutzer anfordern kann.

  • Wenn diese Richtlinie aktiviert ist, kann ein anonymer Benutzer das SID-Attribut für einen anderen Benutzer anfordern. Ein anonymer Benutzer mit Kenntnis der SID eines Administrators kann einen Computer kontaktieren, auf dem diese Richtlinie aktiviert ist, und die SID verwenden, um den Namen des Administrators abzurufen. Diese Einstellung wirkt sich sowohl auf die SID-in-Name-Übersetzung als auch auf die Name-in-SID-Übersetzung aus.

  • Wenn diese Richtlinieneinstellung deaktiviert ist, kann ein anonymer Benutzer das SID-Attribut nicht für einen anderen Benutzer anfordern. Standard auf Arbeitsstationen und Mitgliedsservern: Deaktiviert. Standard auf Domänencontrollern unter Windows Server 2008 oder höher: Deaktiviert. Standard auf Domänencontrollern unter Windows Server 2003 R2 oder früher: Aktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Netzwerkzugriff: Anonyme Enumeration von SAM-Konten nicht zulassen Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden. Windows ermöglicht anonymen Benutzern, bestimmte Aktivitäten auszuführen, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte. Mit dieser Sicherheitsoption können zusätzliche Einschränkungen für anonyme Verbindungen wie folgt festgelegt werden: Aktiviert: Enumeration von SAM-Konten nicht zulassen. Mit dieser Option wird jeder durch authentifizierte Benutzer in den Sicherheitsberechtigungen für Ressourcen ersetzt. Deaktiviert: Keine zusätzlichen Einschränkungen. Verlassen Sie sich auf Standardberechtigungen. Standard auf Arbeitsstationen: Aktiviert. Standard auf server:Aktiviert.

Wichtig

Diese Richtlinie hat keine Auswirkungen auf Domänencontroller.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Aktiviert.
0 Deaktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerkzugriff: Anonyme Enumeration von SAM-Konten nicht zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Netzwerkzugriff: Anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen Diese Sicherheitseinstellung bestimmt, ob die anonyme Enumeration von SAM-Konten und -Freigaben zulässig ist. Windows ermöglicht anonymen Benutzern, bestimmte Aktivitäten auszuführen, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte. Wenn Sie die anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen möchten, aktivieren Sie diese Richtlinie.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktiviert.
0 (Standard) Deaktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerkzugriff: Anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen Diese Sicherheitseinstellung bestimmt, ob der Anmeldeinformations-Manager Kennwörter und Anmeldeinformationen zur späteren Verwendung speichert, wenn die Domänenauthentifizierung erfolgt.

  • Wenn Sie diese Einstellung aktivieren, speichert der Anmeldeinformations-Manager keine Kennwörter und Anmeldeinformationen auf dem Computer.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, speichert der Anmeldeinformations-Manager Kennwörter und Anmeldeinformationen auf diesem Computer zur späteren Verwendung für die Domänenauthentifizierung.

Hinweis

Beim Konfigurieren dieser Sicherheitseinstellung werden Änderungen erst wirksam, wenn Sie Windows neu starten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 0

NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer anwenden Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden. Windows ermöglicht anonymen Benutzern, bestimmte Aktivitäten auszuführen, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. praktisch, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne, die keine gegenseitige Vertrauensstellung aufrechterhält, Zugriff gewähren möchte. Standardmäßig wird die Sicherheits-ID (Sid) Jeder aus dem Token entfernt, das für anonyme Verbindungen erstellt wurde. Daher gelten berechtigungen, die der Gruppe Jeder gewährt werden, nicht für anonyme Benutzer. Wenn diese Option festgelegt ist, können anonyme Benutzer nur auf die Ressourcen zugreifen, für die dem anonymen Benutzer explizit die Berechtigung erteilt wurde.

  • Wenn diese Richtlinie aktiviert ist, wird dem Token, das für anonyme Verbindungen erstellt wird, die SID jeder hinzugefügt. In diesem Fall können anonyme Benutzer auf jede Ressource zugreifen, für die der Gruppe Jeder Berechtigungen erteilt wurden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerkzugriff: Die Verwendung von „Jeder“-Berechtigungen für anonyme Benutzer ermöglichen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, welche Kommunikationssitzungen (Pipes) Über Attribute und Berechtigungen verfügen, die anonymen Zugriff zulassen. Standardwert: Keine.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: ,)

NetworkAccess_RemotelyAccessibleRegistryPaths

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths

Netzwerkzugriff: Registrierungspfade mit Remotezugriff Diese Sicherheitseinstellung bestimmt, auf welche Registrierungsschlüssel über das Netzwerk zugegriffen werden kann, unabhängig von den Benutzern oder Gruppen, die in der Zugriffssteuerungsliste (Access Control List, ACL) des winreg-Registrierungsschlüssels aufgeführt sind. Standard: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Achtung Wenn Sie die Registrierung falsch bearbeiten, kann ihr System erheblich beschädigt werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wertigen Daten auf dem Computer sichern.

Hinweis

Diese Sicherheitseinstellung ist in früheren Versionen von Windows nicht verfügbar. Die Sicherheitseinstellung "Netzwerkzugriff: Remote zugängliche Registrierungspfade" auf Computern unter Windows XP entspricht der Sicherheitsoption "Netzwerkzugriff: Remote zugängliche Registrierungspfade und Unterpfade" für Mitglieder der Windows Server 2003-Familie. Weitere Informationen finden Sie unter Netzwerkzugriff: Remotezugriff auf Registrierungspfade und Unterpfade.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: ,)

NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Netzwerkzugriff: Remotezugriff auf Registrierungspfade und Unterpfade Diese Sicherheitseinstellung bestimmt, auf welche Registrierungspfade und Unterpfade über das Netzwerk zugegriffen werden kann, unabhängig von den Benutzern oder Gruppen, die in der Zugriffssteuerungsliste (Access Control List, ACL) des winreg-Registrierungsschlüssels aufgeführt sind. Standard: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Vorsicht Eine fehlerhafte Bearbeitung der Registrierung kann Ihr System schwer beschädigen. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wertigen Daten auf dem Computer sichern.

Hinweis

Unter Windows XP wurde diese Sicherheitseinstellung als "Netzwerkzugriff: Remote zugängliche Registrierungspfade" bezeichnet. Wenn Sie diese Einstellung für ein Mitglied der Windows Server 2003-Familie konfigurieren, das einer Domäne beigetreten ist, wird diese Einstellung von Computern mit Windows XP geerbt, wird jedoch als Sicherheitsoption "Netzwerkzugriff: Remotezugriff auf Registrierungspfade" angezeigt. Weitere Informationen finden Sie unter Netzwerkzugriff: Remotezugriff auf Registrierungspfade und Unterpfade.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: ,)

NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken Wenn diese Sicherheitseinstellung aktiviert ist, beschränkt diese Sicherheitseinstellung den anonymen Zugriff auf Freigaben und Pipes auf die Einstellungen für: Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Aktivieren.
0 Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM durchführen dürfen Mit dieser Richtlinieneinstellung können Sie RPC-Remoteverbindungen auf SAM einschränken. Wenn diese Option nicht ausgewählt ist, wird der Standardsicherheitsdeskriptor verwendet. Diese Richtlinie wird auf mindestens Windows Server 2016 unterstützt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkAccess_SharesThatCanBeAccessedAnonymously

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously

Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Diese Sicherheitseinstellung bestimmt, auf welche Netzwerkfreigaben anonyme Benutzer zugreifen können. Standardwert: Keine angegeben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: ,)

NetworkAccess_SharingAndSecurityModelForLocalAccounts

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts

Netzwerkzugriff: Freigabe- und Sicherheitsmodell für lokale Konten Diese Sicherheitseinstellung bestimmt, wie Netzwerkanmeldungen, die lokale Konten verwenden, authentifiziert werden. Wenn diese Einstellung auf Klassisch festgelegt ist, authentifizieren sich Netzwerkanmeldungen, die anmeldeinformationen für lokale Konten verwenden, mithilfe dieser Anmeldeinformationen. Das klassische Modell ermöglicht eine präzise Kontrolle über den Zugriff auf Ressourcen. Mithilfe des klassischen Modells können Sie verschiedenen Benutzern unterschiedliche Zugriffstypen für dieselbe Ressource gewähren. Wenn diese Einstellung auf Nur Gast festgelegt ist, werden Netzwerkanmeldungen, die lokale Konten verwenden, automatisch dem Gastkonto zugeordnet. Mit dem Gastmodell können Sie alle Benutzer gleich behandeln lassen. Alle Benutzer authentifizieren sich als Gast, und sie erhalten alle die gleiche Zugriffsebene auf eine bestimmte Ressource, die entweder schreibgeschützt oder Ändern sein kann. Standard auf Domänencomputern: Klassisch. Standard auf eigenständigen Computern: Nur Gast wichtig Mit dem Nur-Gast-Modell kann jeder Benutzer, der über das Netzwerk auf Ihren Computer zugreifen kann (einschließlich anonymer Internetbenutzer), auf Ihre freigegebenen Ressourcen zugreifen. Sie müssen die Windows-Firewall oder ein ähnliches Gerät verwenden, um Ihren Computer vor nicht autorisiertem Zugriff zu schützen. Analog dazu müssen beim klassischen Modell lokale Konten kennwortsicher sein. Andernfalls können diese Benutzerkonten von jedem für den Zugriff auf freigegebene Systemressourcen verwendet werden.

Hinweis

Diese Einstellung wirkt sich nicht auf interaktive Anmeldungen aus, die remote mithilfe von Diensten wie Telnet oder Remotedesktopdiensten ausgeführt werden. Remotedesktopdienste wurden in früheren Versionen von Windows Server als Terminaldienste bezeichnet. Diese Richtlinie hat keine Auswirkungen auf Computer, auf denen Windows 2000 ausgeführt wird. Wenn der Computer nicht mit einer Domäne verknüpft ist, ändert diese Einstellung auch die Registerkarten Freigabe und Sicherheit in Explorer entsprechend dem verwendeten Freigabe- und Sicherheitsmodell.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 0

NetworkSecurity_AllowLocalSystemNULLSessionFallback

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback

Netzwerksicherheit: LocalSystem NULL-Sitzungsfallback zulassen Ntlm kann bei Verwendung mit LocalSystem auf EINE NULL-Sitzung zurückfallen. Der Standardwert ist TRUE bis Windows Vista und FALSE in Windows 7.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Netzwerksicherheit: Lokales System die Verwendung der Computeridentität für NTLM zulassen Diese Richtlinieneinstellung ermöglicht lokalen Systemdiensten, die Negotiate verwenden, die Computeridentität beim Wiederherstellen der NTLM-Authentifizierung zu verwenden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Dienste, die als lokales System ausgeführt werden und Negotiate verwenden, die Computeridentität. Dies kann dazu führen, dass einige Authentifizierungsanforderungen zwischen Windows-Betriebssystemen fehlschlagen und einen Fehler protokollieren.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Dienste, die als lokales System ausgeführt werden und bei der Wiederherstellung der NTLM-Authentifizierung Aushandlung verwenden, anonym authentifiziert. Standardmäßig ist diese Richtlinie unter Windows 7 und höher aktiviert. Diese Richtlinie ist unter Windows Vista standardmäßig deaktiviert. Diese Richtlinie wird mindestens unter Windows Vista oder Windows Server 2008 unterstützt.

Hinweis

Windows Vista oder Windows Server 2008 machen diese Einstellung nicht in Gruppenrichtlinie verfügbar.

  • Wenn ein Dienst eine Verbindung mit der Geräteidentität herstellt, werden Signierung und Verschlüsselung unterstützt, um Datenschutz zu gewährleisten.
  • Wenn ein Dienst eine anonyme Verbindung herstellt, wird ein vom System generierter Sitzungsschlüssel erstellt, der keinen Schutz bietet, aber Anwendungen ermöglicht, Daten ohne Fehler zu signieren und zu verschlüsseln. Bei der anonymen Authentifizierung wird eine NULL-Sitzung verwendet. Dabei handelt es sich um eine Sitzung mit einem Server, bei dem keine Benutzerauthentifizierung durchgeführt wird. daher ist anonymer Zugriff zulässig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Zulassen
0 Blockieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Lokalem System die Verwendung der Computeridentität für NTLM erlauben
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_AllowPKU2UAuthenticationRequests

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Netzwerksicherheit: Erlauben Sie PKU2U-Authentifizierungsanforderungen an diesen Computer, Onlineidentitäten zu verwenden. Diese Richtlinie wird auf in die Domäne eingebundenen Computern standardmäßig deaktiviert. Dies würde verhindern, dass Sich Onlineidentitäten auf dem in die Domäne eingebundenen Computer authentifizieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Blockieren.
1 (Standard) Zulassen

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Erlauben Sie PKU2U-Authentifizierungsanforderungen an diesen Computer, Onlineidentitäten zu verwenden.
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Hinweis

Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Netzwerksicherheit: Lan-Manager-Hashwert bei nächster Kennwortänderung nicht speichern Diese Sicherheitseinstellung bestimmt, ob bei der nächsten Kennwortänderung der LAN-Manager-Hashwert (LM) für das neue Kennwort gespeichert wird. Der LM-Hash ist im Vergleich zum kryptografisch stärkeren Windows NT-Hash relativ schwach und anfällig für Angriffe. Da der LM-Hash auf dem lokalen Computer in der Sicherheitsdatenbank gespeichert ist, können die Kennwörter kompromittiert werden, wenn die Sicherheitsdatenbank angegriffen wird. Standard unter Windows Vista und höher: Standard unter Windows XP aktiviert: Deaktiviert.

Wichtig

Windows 2000 Service Pack 2 (SP2) und höher bieten Kompatibilität mit der Authentifizierung mit früheren Versionen von Windows, z. B. Microsoft Windows NT 4.0. Diese Einstellung kann sich auf die Fähigkeit von Computern mit Windows 2000 Server, Windows 2000 Professional, Windows XP und der Windows Server 2003-Familie auswirken, mit Computern unter Windows 95 und Windows 98 zu kommunizieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Aktivieren.
0 Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Speichern Sie den LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht.
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Netzwerksicherheit: Abmeldung bei Ablauf der Anmeldezeiten erzwingen Diese Sicherheitseinstellung bestimmt, ob Benutzer, die außerhalb der gültigen Anmeldezeiten ihres Benutzerkontos mit dem lokalen Computer verbunden sind, getrennt werden sollen. Diese Einstellung wirkt sich auf die SMB-Komponente (Server Message Block) aus. Wenn diese Richtlinie aktiviert ist, werden Clientsitzungen mit dem SMB-Server erzwungen getrennt, wenn die Anmeldezeiten des Clients ablaufen.

  • Wenn diese Richtlinie deaktiviert ist, kann eine eingerichtete Clientsitzung nach Ablauf der Anmeldestunden des Clients beibehalten werden. Hinweis: Diese Sicherheitseinstellung verhält sich wie eine Kontorichtlinie. Für Domänenkonten kann es nur eine Kontorichtlinie geben. Die Kontorichtlinie muss in der Standarddomänenrichtlinie definiert werden und wird von den Domänencontrollern erzwungen, aus denen die Domäne besteht. Ein Domänencontroller ruft die Kontorichtlinie immer aus dem Standarddomänenrichtlinien-Gruppenrichtlinie-Objekt (GPO) ab, auch wenn eine andere Kontorichtlinie auf die Organisationseinheit angewendet wird, die den Domänencontroller enthält. Arbeitsstationen und Server, die einer Domäne beigetreten sind (z. B. Mitgliedscomputer), erhalten standardmäßig auch die gleiche Kontorichtlinie für ihre lokalen Konten. Lokale Kontorichtlinien für Mitgliedscomputer können sich jedoch von der Domänenkontorichtlinie unterscheiden, indem sie eine Kontorichtlinie für die Organisationseinheit definieren, die die Mitgliedscomputer enthält. Kerberos-Einstellungen werden nicht auf Mitgliedscomputer angewendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Aktivieren.
0 Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_LANManagerAuthenticationLevel

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Netzwerksicherheit LAN Manager-Authentifizierungsebene Diese Sicherheitseinstellung bestimmt, welches Challenge/Response-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl wirkt sich auf die Ebene des von Clients verwendeten Authentifizierungsprotokolls, die ausgehandelte Sitzungssicherheit und die von Servern akzeptierte Authentifizierungsebene wie folgt aus: Senden von LM- und NTLM-Antworten: Clients verwenden LM- und NTLM-Authentifizierung und verwenden niemals NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. LM und NTLM senden: Verwenden Sie die NTLMv2-Sitzungssicherheit, falls ausgehandelt: Clients verwenden LM- und NTLM-Authentifizierung und NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLM-Antwort senden: Clients verwenden nur die NTLM-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLMv2-Antwort senden: Clients verwenden nur die NTLMv2-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. Nur NTLMv2-Antwort senden\LM ablehnen: Clients verwenden nur die NTLMv2-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server dies unterstützt; Domänencontroller lehnen LM ab (akzeptieren nur DIE NTLM- und NTLMv2-Authentifizierung). Nur NTLMv2-Antwort senden\LM und NTLM ablehnen: Clients verwenden nur die NTLMv2-Authentifizierung und verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt; Domänencontroller lehnen LM und NTLM ab (nur NTLMv2-Authentifizierung akzeptieren).

Wichtig

Diese Einstellung kann sich darauf auswirken, dass Computer mit Windows 2000 Server, Windows 2000 Professional, Windows XP Professional und der Windows Server 2003-Familie über das Netzwerk mit Computern unter Windows NT 4.0 und früher kommunizieren können. Zum Zeitpunkt dieses Schreibens haben Computer, auf denen Windows NT 4.0 SP4 und früher ausgeführt wird, z. B. NTLMv2 nicht unterstützt. Computer mit Windows 95 und Windows 98 haben NTLM nicht unterstützt. Standard: Windows 2000 und Windows XP: Lm- und NTLM-Antworten senden Windows Server 2003: Nur NTLM-Antwort senden Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2: Nur NTLMv2-Antwort senden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
0 Senden von LM- und NTLM-Antworten.
1 Senden Sie lm- und NTLM-use NTLMv2-Sitzungssicherheit, falls ausgehandelt.
2 Nur LM- und NTLM-Antworten senden.
3 (Standard) Nur LM- und NTLMv2-Antworten senden.
4 Nur LM- und NTLMv2-Antworten senden. Lm ablehnen.
5 Nur LM- und NTLMv2-Antworten senden. Lm und NTLM ablehnen.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_LDAPClientSigningRequirements

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements

Netzwerksicherheit: Anforderungen an die LDAP-Clientsignatur Diese Sicherheitseinstellung bestimmt die Ebene der Datensignatur, die im Auftrag von Clients angefordert wird, die LDAP-BIND-Anforderungen ausgeben, wie folgt: Keine: Die LDAP BIND-Anforderung wird mit den vom Aufrufer angegebenen Optionen ausgestellt. Signierung aushandeln: Wenn Transport Layer Security/Secure Sockets Layer (TLS\SSL) nicht gestartet wurde, wird die LDAP BIND-Anforderung mit der option LDAP-Datensignatur initiiert, die zusätzlich zu den vom Aufrufer angegebenen Optionen festgelegt wurde. Wenn TLS\SSL gestartet wurde, wird die LDAP-BIND-Anforderung mit den vom Aufrufer angegebenen Optionen initiiert. Signatur erforderlich: Dies entspricht der Aushandlungssignatur. Wenn die zwischengeschaltete saslBindInProgress-Antwort des LDAP-Servers jedoch nicht anzeigt, dass die Signierung des LDAP-Datenverkehrs erforderlich ist, wird dem Aufrufer mitgeteilt, dass bei der LDAP BIND-Befehlsanforderung ein Fehler aufgetreten ist.

Achtung

Wenn Sie den Server auf Signatur erforderlich festlegen, müssen Sie auch den Client festlegen. Wenn der Client nicht festgelegt wird, geht die Verbindung mit dem Server verloren.

Hinweis

Diese Einstellung hat keine Auswirkungen auf ldap_simple_bind oder ldap_simple_bind_s. Keine mit Windows XP Professional ausgelieferten Microsoft LDAP-Clients verwenden ldap_simple_bind oder ldap_simple_bind_s, um mit einem Domänencontroller zu kommunizieren. Standard: Signierung aushandeln.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-2]
Standardwert 1

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) Diese Sicherheitseinstellung ermöglicht es einem Client, die Aushandlung der 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit zu erfordern. Diese Werte sind abhängig vom Wert der Sicherheitseinstellung lan-Manager-Authentifizierungsebene. Die Optionen sind: NTLMv2-Sitzungssicherheit erforderlich: Die Verbindung schlägt fehl, wenn das NTLMv2-Protokoll nicht ausgehandelt wird. 128-Bit-Verschlüsselung erforderlich: Die Verbindung schlägt fehl, wenn keine starke Verschlüsselung (128-Bit) ausgehandelt wird. Standard: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 und Windows Server 2008: Keine Anforderungen. Windows 7 und Windows Server 2008 R2: 128-Bit-Verschlüsselung erforderlich.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 536870912

Zulässige Werte:

Wert Beschreibung
0 Keine
524288 NtLMv2-Sitzungssicherheit erforderlich.
536870912 (Standard) 128-Bit-Verschlüsselung erforderlich.
537395200 NtLM und 128-Bit-Verschlüsselung erforderlich.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) Diese Sicherheitseinstellung ermöglicht es einem Server, die Aushandlung der 128-Bit-Verschlüsselung und/oder NTLMv2-Sitzungssicherheit zu erfordern. Diese Werte sind abhängig vom Wert der Sicherheitseinstellung lan-Manager-Authentifizierungsebene. Die Optionen sind: NTLMv2-Sitzungssicherheit erforderlich: Die Verbindung schlägt fehl, wenn die Nachrichtenintegrität nicht ausgehandelt wird. 128-Bit-Verschlüsselung erforderlich. Die Verbindung schlägt fehl, wenn keine starke Verschlüsselung (128-Bit) ausgehandelt wird. Standard: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 und Windows Server 2008: Keine Anforderungen. Windows 7 und Windows Server 2008 R2: 128-Bit-Verschlüsselung erforderlich.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 536870912

Zulässige Werte:

Wert Beschreibung
0 Keine
524288 NtLMv2-Sitzungssicherheit erforderlich.
536870912 (Standard) 128-Bit-Verschlüsselung erforderlich.
537395200 NtLM und 128-Bit-Verschlüsselung erforderlich.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server)
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Netzwerksicherheit: NTLM einschränken: Remoteserverausnahmen für NTLM-Authentifizierung hinzufügen Mit dieser Richtlinieneinstellung können Sie eine Ausnahmeliste von Remoteservern erstellen, für die Clients die NTLM-Authentifizierung verwenden dürfen, wenn die Richtlinieneinstellung "Netzwerksicherheit: NtLM einschränken: Ausgehender NTLM-Datenverkehr an Remoteserver" konfiguriert ist.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie eine Liste von Remoteservern definieren, für die Clients die NTLM-Authentifizierung verwenden dürfen.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden keine Ausnahmen angewendet. Das Benennungsformat für Server in dieser Ausnahmeliste ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) oder der NetBIOS-Servername, der von der Anwendung verwendet wird und eins pro Zeile aufgeführt ist. Um sicherzustellen, dass ausnahmen, die von allen Anwendungen verwendet werden, in der Liste enthalten sein müssen, und um sicherzustellen, dass eine Ausnahme korrekt ist, sollte der Servername in beiden Benennungsformaten aufgeführt werden. Ein einzelnes Sternchen (*) kann an einer beliebigen Stelle in der Zeichenfolge als Platzhalterzeichen verwendet werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: 0xF000)

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen Mit dieser Richtlinieneinstellung können Sie eingehenden NTLM-Datenverkehr überwachen. Wenn Sie "Deaktivieren" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, protokolliert der Server keine Ereignisse für eingehenden NTLM-Datenverkehr. Wenn Sie "Überwachung für Domänenkonten aktivieren" auswählen, protokolliert der Server Ereignisse für NTLM-Passthrough-Authentifizierungsanforderungen, die blockiert würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: NTLM: Eingehender NTLM-Datenverkehr einschränken" auf die Option "Alle Domänenkonten verweigern" festgelegt ist. Wenn Sie "Überwachung für alle Konten aktivieren" auswählen, protokolliert der Server Ereignisse für alle NTLM-Authentifizierungsanforderungen, die blockiert würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: NTLM:Eingehender NTLM-Datenverkehr einschränken" auf die Option "Alle Konten verweigern" festgelegt ist. Diese Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.

Hinweis

Überwachungsereignisse werden auf diesem Computer im "Betriebsprotokoll" im Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM aufgezeichnet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktivieren.
1 Aktivieren Sie die Überwachung für Domänenkonten.
2 Aktivieren Sie die Überwachung für alle Konten.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Netzwerksicherheit: NTLM einschränken: Eingehender NTLM-Datenverkehr Mit dieser Richtlinieneinstellung können Sie eingehenden NTLM-Datenverkehr verweigern oder zulassen. Wenn Sie "Alle zulassen" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, lässt der Server alle NTLM-Authentifizierungsanforderungen zu. Wenn Sie "Alle Domänenkonten verweigern" auswählen, verweigert der Server NTLM-Authentifizierungsanforderungen für die Domänenanmeldung und zeigt einen NTLM-blockierten Fehler an, lässt aber die Anmeldung des lokalen Kontos zu. Wenn Sie "Alle Konten verweigern" auswählen, verweigert der Server NTLM-Authentifizierungsanforderungen von eingehendem Datenverkehr und zeigt einen NTLM-blockierten Fehler an. Diese Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.

Hinweis

Blockereignisse werden auf diesem Computer im "Betriebsprotokoll" im Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM aufgezeichnet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Alle zulassen.
1 Alle Domänenkonten verweigern.
2 Alle Konten verweigern.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr an Remoteserver Mit dieser Richtlinieneinstellung können Sie ausgehenden NTLM-Datenverkehr von diesem Windows 7- oder windows Server 2008 R2-Computer zu einem beliebigen Windows-Remoteserver verweigern oder überwachen. Wenn Sie "Alle zulassen" auswählen oder diese Richtlinieneinstellung nicht konfigurieren, kann der Clientcomputer Identitäten bei einem Remoteserver mithilfe der NTLM-Authentifizierung authentifizieren. Wenn Sie "Alle überwachen" auswählen, protokolliert der Clientcomputer ein Ereignis für jede NTLM-Authentifizierungsanforderung an einen Remoteserver. Auf diese Weise können Sie die Server identifizieren, die NTLM-Authentifizierungsanforderungen vom Clientcomputer empfangen. Wenn Sie "Alle verweigern" auswählen, kann der Clientcomputer Identitäten bei einem Remoteserver nicht mithilfe der NTLM-Authentifizierung authentifizieren. Sie können die Richtlinieneinstellung "Netzwerksicherheit: NTLM einschränken: Remoteserverausnahmen für NTLM-Authentifizierung hinzufügen" verwenden, um eine Liste der Remoteserver zu definieren, für die Clients die NTLM-Authentifizierung verwenden dürfen. Diese Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.

Hinweis

Überwachungs- und Blockereignisse werden auf diesem Computer im "Betriebsprotokoll" unter Dem Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM aufgezeichnet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Alle zulassen.
1 Alle Domänenkonten verweigern.
2 Alle Konten verweigern.

Gruppenrichtlinienzuordnung:

Name Wert
Name Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

RecoveryConsole_AllowAutomaticAdministrativeLogon

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon

Wiederherstellungskonsole: Automatische administrative Anmeldung zulassen Diese Sicherheitseinstellung bestimmt, ob das Kennwort für das Administratorkonto angegeben werden muss, bevor der Zugriff auf das System gewährt wird. Wenn diese Option aktiviert ist, müssen Sie in der Wiederherstellungskonsole kein Kennwort angeben, und sie meldet sich automatisch beim System an. Standard: Diese Richtlinie ist nicht definiert, und die automatische administrative Anmeldung ist nicht zulässig.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 0

Gruppenrichtlinienzuordnung:

Name Wert
Name Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Wiederherstellungskonsole: Diskettenkopie und Zugriff auf alle Laufwerke und alle Ordner zulassen Wenn Sie diese Sicherheitsoption aktivieren, wird der SET-Befehl der Wiederherstellungskonsole verfügbar, mit dem Sie die folgenden Umgebungsvariablen der Wiederherstellungskonsole festlegen können: AllowWildCards: Aktivieren der Unterstützung von Wildcards für einige Befehle (z. B. del-Befehl). AllowAllPaths: Erlauben Sie den Zugriff auf alle Dateien und Ordner auf dem Computer. AllowRemovableMedia: Ermöglicht das Kopieren von Dateien auf Wechselmedien, z. B. auf eine Diskette. NoCopyPrompt: Keine Aufforderung beim Überschreiben einer vorhandenen Datei. Standard: Diese Richtlinie ist nicht definiert, und der SET-Befehl der Wiederherstellungskonsole ist nicht verfügbar.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 0

Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Herunterfahren: System wird heruntergefahren, ohne sich anmelden zu müssen Diese Sicherheitseinstellung bestimmt, ob ein Computer heruntergefahren werden kann, ohne sich bei Windows anmelden zu müssen. Wenn diese Richtlinie aktiviert ist, ist der Befehl Herunterfahren auf dem Windows-Anmeldebildschirm verfügbar. Wenn diese Richtlinie deaktiviert ist, wird die Option zum Herunterfahren des Computers nicht auf dem Windows-Anmeldebildschirm angezeigt. In diesem Fall müssen sich Benutzer erfolgreich am Computer anmelden können und den Systembenutzer direkt herunterfahren lassen, bevor sie das System herunterfahren können. Standard auf Arbeitsstationen: Aktiviert. Standard auf Servern: Deaktiviert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert.
1 (Standard) Aktiviert (System kann heruntergefahren werden, ohne sich anmelden zu müssen).

Gruppenrichtlinienzuordnung:

Name Wert
Name Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Shutdown_ClearVirtualMemoryPageFile

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Herunterfahren: Auslagerungsdatei des virtuellen Speichers löschen Diese Sicherheitseinstellung bestimmt, ob die Auslagerungsdatei des virtuellen Speichers beim Herunterfahren des Systems gelöscht wird. Die Unterstützung des virtuellen Speichers verwendet eine System-Auslagerungsdatei, um Seiten des Arbeitsspeichers auf einen Datenträger zu tauschen, wenn sie nicht verwendet werden. Auf einem ausgeführten System wird diese Auslagerungsdatei ausschließlich vom Betriebssystem geöffnet und ist gut geschützt. Systeme, die für das Starten mit anderen Betriebssystemen konfiguriert sind, müssen jedoch möglicherweise sicherstellen, dass die Systemseitendatei sauber zurückgesetzt wird, wenn dieses System heruntergefahren wird. Dadurch wird sichergestellt, dass vertrauliche Informationen aus dem Prozessspeicher, die möglicherweise in die Auslagerungsdatei gelangen, für nicht autorisierte Benutzer, die direkt auf die Auslagerungsdatei zugreifen können, nicht verfügbar sind. Wenn diese Richtlinie aktiviert ist, wird die Auslagerungsdatei des Systems beim Herunterfahren sauber gelöscht. Wenn Sie diese Sicherheitsoption aktivieren, wird auch die Ruhezustandsdatei (hiberfil.sys) auf null gesetzt, wenn der Ruhezustand deaktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

SystemCryptography_ForceStrongKeyProtection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection

Systemkryptografie: Erzwingen eines starken Schlüsselschutzes für Benutzerschlüssel, die auf dem Computer gespeichert sind. Diese Sicherheitseinstellung bestimmt, ob für die privaten Schlüssel der Benutzer ein Kennwort verwendet werden muss. Die Optionen sind: Benutzereingabe ist nicht erforderlich, wenn neue Schlüssel gespeichert und verwendet werden Der Benutzer wird bei der ersten Verwendung des Schlüssels aufgefordert Benutzer muss bei jeder Verwendung eines Schlüssels ein Kennwort eingeben. Weitere Informationen finden Sie unter Public Key-Infrastruktur. Standard: Diese Richtlinie ist nicht definiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-2]
Standardwert 0

SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Systemobjekte: Berücksichtigung der Groß-/Kleinschreibung für Nicht-Windows-Subsysteme erforderlich Diese Sicherheitseinstellung bestimmt, ob die Groß-/Kleinschreibung für alle Subsysteme erzwungen wird. Beim Win32-Subsystem wird die Groß-/Kleinschreibung nicht beachtet. Der Kernel unterstützt jedoch die Groß-/Kleinschreibung für andere Subsysteme, z. B. POSIX. Wenn diese Einstellung aktiviert ist, wird die Groß-/Kleinschreibung für alle Verzeichnisobjekte, symbolischen Verknüpfungen und E/A-Objekte, einschließlich Dateiobjekten, erzwungen. Das Deaktivieren dieser Einstellung lässt nicht zu, dass beim Win32-Subsystem die Groß-/Kleinschreibung beachtet wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

Gruppenrichtlinienzuordnung:

Name Wert
Name Systemobjekte: Groß- und Kleinschreibung für Nicht-Windows-Subsysteme ignorieren
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 24H2 [10.0.26100] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Systemobjekte: Stärken der Standardberechtigungen interner Systemobjekte (z. B. symbolische Verknüpfungen) Diese Sicherheitseinstellung bestimmt die Stärke der standardmäßigen daCL (Discretionary Access Control List) für Objekte. Active Directory verwaltet eine globale Liste freigegebener Systemressourcen, z. B. DOS-Gerätenamen, Mutexe und Semaphore. Auf diese Weise können Objekte gefunden und von Prozessen gemeinsam genutzt werden. Jeder Objekttyp wird mit einer Standard-DACL erstellt, die angibt, wer auf die Objekte zugreifen kann und welche Berechtigungen erteilt werden.

  • Wenn diese Richtlinie aktiviert ist, ist die Standard-DACL stärker, sodass Benutzer, die keine Administratoren sind, freigegebene Objekte lesen können, aber nicht zulassen, dass diese Benutzer freigegebene Objekte ändern können, die sie nicht erstellt haben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-1]
Standardwert 1

UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Benutzerkontensteuerung: Zulassen, dass UIAccess-Anwendungen die Rechteerweiterung auffordern, ohne den sicheren Desktop zu verwenden. Diese Richtlinieneinstellung steuert, ob Benutzeroberflächen-Barrierefreiheitsprogramme (UIAccess oder UIA) den sicheren Desktop für Von einem Standardbenutzer verwendete Eingabeaufforderungen zur Erhöhung automatisch deaktivieren können.

  • Aktiviert: UIA-Programme, einschließlich Windows-Remoteunterstützung, deaktivieren automatisch den sicheren Desktop für Eingabeaufforderungen zur Erhöhung. Wenn Sie die Richtlinieneinstellung "Benutzerkontensteuerung: Wechseln zum sicheren Desktop bei Aufforderung zur Erhöhung" nicht deaktivieren, werden die Eingabeaufforderungen auf dem Desktop des interaktiven Benutzers anstelle des sicheren Desktops angezeigt.

  • Deaktiviert: (Standard) Der sichere Desktop kann nur durch den Benutzer des interaktiven Desktops oder durch Deaktivieren der Richtlinieneinstellung "Benutzerkontensteuerung: Wechseln zum sicheren Desktop bei Aufforderung zur Erhöhung" deaktiviert werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert (UIAccess-Anwendungen können rechte Rechte einfordern, ohne den sicheren Desktop zu verwenden).

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Benutzerkontensteuerung: Verhalten der Aufforderung zur Erhöhung für Administratoren, die mit Administratorschutz ausgeführt werden. Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren. Die Optionen sind:

  • Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, privilegierte Anmeldeinformationen einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

  • Aufforderung zur Zustimmung auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Änderungen zulassen oder Nicht zulassen auszuwählen. Wenn der Benutzer Änderungen zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

Hinweis

Wenn der Administratorschutz aktiviert ist, setzt diese Richtlinie UserAccountControl_BehaviorOfTheElevationPromptForAdministrators Richtlinie außer Kraft.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop.
2 Aufforderung zur Zustimmung auf dem sicheren Desktop.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Erhöhte Rechte für Administratoren, die mit Administratorschutz ausgeführt werden
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Rechteerweiterungen für Administratoren im Admin Genehmigungsmodus Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für Erhöhte Rechte für Administratoren. Die Optionen sind:

  • Erhöhen ohne Aufforderung: Ermöglicht privilegierten Konten das Ausführen eines Vorgangs, der rechte Rechte ohne Zustimmung oder Anmeldeinformationen erfordert.

    Hinweis

    Verwenden Sie diese Option nur in den umgebungen mit den meisten Einschränkungen.

  • Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen privilegierten Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

  • Aufforderung zur Zustimmung auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

  • Aufforderung zur Eingabe von Anmeldeinformationen: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.

  • Zustimmung anfordern: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

  • Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien: (Standard) Wenn ein Vorgang für eine Nicht-Microsoft-Anwendung rechteerweiterungen erfordert, wird der Benutzer auf dem sicheren Desktop aufgefordert, entweder Zulassen oder Verweigern auszuwählen. Wenn der Benutzer Zulassen auswählt, wird der Vorgang mit der höchsten verfügbaren Berechtigung des Benutzers fortgesetzt.

Hinweis

Wenn der Administratorschutz aktiviert ist, wird dieses Richtlinienverhalten durch UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection Richtlinie überschrieben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 5

Zulässige Werte:

Wert Beschreibung
0 Erhöhen Sie die Rechte ohne Aufforderung.
1 Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop.
2 Aufforderung zur Zustimmung auf dem sicheren Desktop.
3 Zur Eingabe von Anmeldeinformationen auffordern.
4 Aufforderung zur Zustimmung.
5 (Standard) Aufforderung zur Zustimmung für Nicht-Windows-Binärdateien.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Erhöhte Rechte für Standardbenutzer Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung zur Erhöhung für Standardbenutzer. Die Optionen sind:

  • Aufforderung zur Eingabe von Anmeldeinformationen: (Standard) Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.

  • Anforderungen zur automatischen Ablehnung von Rechteerweiterungen: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird eine konfigurierbare Fehlermeldung "Zugriff verweigert" angezeigt. Ein Unternehmen, das Desktops als Standardbenutzer ausführt, kann diese Einstellung auswählen, um Helpdesk-Anrufe zu reduzieren.

  • Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop: Wenn für einen Vorgang rechteerweiterungen erforderlich sind, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen anderen Benutzernamen und ein anderes Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 3

Zulässige Werte:

Wert Beschreibung
0 Rechteerweiterungsanforderungen automatisch verweigern.
1 Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop.
3 (Standard) Zur Eingabe von Anmeldeinformationen auffordern.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und zur Erhöhung auffordern Diese Richtlinieneinstellung steuert das Verhalten der Anwendungsinstallationserkennung für den Computer. Die Optionen sind: Aktiviert: (Standard) Wenn ein Anwendungsinstallationspaket erkannt wird, das rechteerweiterungen erfordert, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt. Deaktiviert: Anwendungsinstallationspakete werden nicht erkannt und zur Erhöhung aufgefordert. Unternehmen, die Standardbenutzerdesktops ausführen und delegierte Installationstechnologien wie Gruppenrichtlinie Softwareinstallation oder Systemverwaltungsserver (SMS) verwenden, sollten diese Richtlinieneinstellung deaktivieren. In diesem Fall ist die Installationsprogrammerkennung nicht erforderlich.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Aktivieren.
0 Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Benutzerkontensteuerung: Erhöhen Sie nur ausführbare Dateien, die signiert und überprüft wurden. Diese Richtlinieneinstellung erzwingt PKI-Signaturprüfungen (Public Key Infrastructure) für alle interaktiven Anwendungen, die Rechteerweiterungen anfordern. Unternehmensadministratoren können steuern, welche Anwendungen ausgeführt werden dürfen, indem sie Zertifikate zum Zertifikatspeicher für vertrauenswürdige Herausgeber auf lokalen Computern hinzufügen. Die Optionen sind:

  • Aktiviert: Erzwingt die Überprüfung des PKI-Zertifizierungspfads für eine bestimmte ausführbare Datei, bevor sie ausgeführt werden darf.

  • Deaktiviert: (Standard) Erzwingt keine Überprüfung des PKI-Zertifizierungspfads, bevor eine bestimmte ausführbare Datei ausgeführt werden darf.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert: Erzwingt keine Überprüfung.
1 Aktiviert: Erzwingt die Überprüfung.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Benutzerkontensteuerung: Erhöhen Sie nur UIAccess-Anwendungen, die an sicheren Speicherorten installiert sind Diese Richtlinieneinstellung steuert, ob Anwendungen, die die Ausführung mit einer UIAccess-Integritätsstufe (User Interface Accessibility) anfordern, sich an einem sicheren Speicherort im Dateisystem befinden müssen. Sichere Speicherorte sind auf Folgendes beschränkt: - .. \Programme, einschließlich Unterordnern – .. \Windows\system32\ – .. \Programme (x86), einschließlich Unterordnern für 64-Bit-Versionen von Windows Hinweis: Windows erzwingt eine PKI-Signaturprüfung (Public Key Infrastructure) für jede interaktive Anwendung, die unabhängig vom Status dieser Sicherheitseinstellung die Ausführung mit einer UIAccess-Integritätsstufe anfordert. Die Optionen sind:

  • Aktiviert: (Standard) Wenn sich eine Anwendung an einem sicheren Speicherort im Dateisystem befindet, wird sie nur mit UIAccess-Integrität ausgeführt.

  • Deaktiviert: Eine Anwendung wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Speicherort im Dateisystem befindet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert: Die Anwendung wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Speicherort befindet.
1 (Standard) Aktiviert: Die Anwendung wird nur mit UIAccess-Integrität ausgeführt, wenn sie sich an einem sicheren Speicherort befindet.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Benutzerkontensteuerung: Aktivieren sie Admin Genehmigungsmodus Diese Richtlinieneinstellung steuert das Verhalten aller Richtlinieneinstellungen für die Benutzerkontensteuerung (User Account Control, UAC) für den Computer. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie den Computer neu starten. Die Optionen sind:

  • Aktiviert: (Standard) Admin Genehmigungsmodus aktiviert ist. Diese Richtlinie muss aktiviert sein, und die zugehörigen UAC-Richtlinieneinstellungen müssen auch entsprechend festgelegt werden, damit das integrierte Administratorkonto und alle anderen Benutzer, die Mitglieder der Gruppe Administratoren sind, im Admin Genehmigungsmodus ausgeführt werden können.

  • Deaktiviert: Admin Genehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen sind deaktiviert.

Hinweis

Wenn diese Richtlinieneinstellung deaktiviert ist, benachrichtigt Das Security Center Sie darüber, dass die Gesamtsicherheit des Betriebssystems reduziert wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert.
1 (Standard) Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Benutzerkontensteuerung: Wechseln Sie zum sicheren Desktop, wenn Sie zur Erhöhung auffordern. Diese Richtlinieneinstellung steuert, ob die Aufforderung zur Erhöhung der Rechte auf dem Desktop des interaktiven Benutzers oder auf dem sicheren Desktop angezeigt wird. Die Optionen sind:

  • Aktiviert: (Standard) Alle Anforderungen für Rechteerweiterungen werden an den sicheren Desktop gesendet, unabhängig von den Richtlinieneinstellungen für Das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer.

  • Deaktiviert: Alle Rechteerweiterungsanforderungen werden an den Desktop des interaktiven Benutzers gesendet. Richtlinieneinstellungen für Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer werden verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert.
1 (Standard) Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_TypeOfAdminApprovalMode

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode

Benutzerkontensteuerung: Konfigurieren Sie den Typ des Admin Genehmigungsmodus. Diese Richtlinieneinstellung steuert, ob der Administratorschutz auf Rechteerweiterungen im Administratorgenehmigungsmodus angewendet wird. Wenn Sie diese Richtlinieneinstellung ändern, müssen Sie den Computer neu starten. Diese Richtlinie wird nur unter Windows Desktop unterstützt, nicht auf Server. Die Optionen sind: – Admin Genehmigungsmodus im Legacymodus (Standard) ausgeführt wird. – Admin Genehmigungsmodus mit Administratorschutz ausgeführt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
1 (Standard) Legacy Admin-Genehmigungsmodus.
2 Admin Genehmigungsmodus mit Administratorschutz.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Konfigurieren des Typs Admin Genehmigungsmodus
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_UseAdminApprovalMode

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Benutzerkontensteuerung: Verwenden sie Admin Genehmigungsmodus für das integrierte Administratorkonto. Diese Richtlinieneinstellung steuert das Verhalten Admin Genehmigungsmodus für das integrierte Administratorkonto. Die Optionen sind:

  • Aktiviert: Das integrierte Administratorkonto verwendet Admin Genehmigungsmodus. Standardmäßig fordert jeder Vorgang, der rechteerweiterungen erfordert, den Benutzer auf, den Vorgang zu genehmigen.

  • Deaktiviert: (Standard) Das integrierte Administratorkonto führt alle Anwendungen mit vollständigen Administratorrechten aus.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
1 Aktivieren.
0 (Standard) Deaktivieren.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Benutzerkontensteuerung: Virtualisieren von Datei- und Registrierungsschreibfehlern an benutzerspezifische Speicherorte Diese Richtlinieneinstellung steuert, ob Schreibfehler von Anwendungen an definierte Registrierungs- und Dateisystemspeicherorte umgeleitet werden. Diese Richtlinieneinstellung verringert Anwendungen, die als Administrator ausgeführt werden und Laufzeitanwendungsdaten in %ProgramFiles%, %Windir%, %Windir%\system32 oder HKLM\Software schreiben. Die Optionen sind:

  • Aktiviert: (Standard) Fehler beim Schreiben von Anwendungen werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet.

  • Deaktiviert: Anwendungen, die Daten in geschützte Speicherorte schreiben, schlagen fehl.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert.
1 (Standard) Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren
Pfad Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Dienstanbieter für die Richtlinienkonfiguration