Freigeben über


Lokale Konten

In diesem Artikel werden die lokalen Standardbenutzerkonten für Windows-Betriebssysteme und die Verwaltung der integrierten Konten beschrieben.

Informationen zu lokalen Benutzerkonten

Lokale Benutzerkonten werden lokal auf einem Gerät definiert und können nur auf dem Gerät zugewiesen werden. Lokale Benutzerkonten sind Sicherheitsprinzipale, die zum Sichern und Verwalten des Zugriffs auf die Ressourcen auf einem Gerät für Dienste oder Benutzer verwendet werden.

Lokale Standardbenutzerkonten

Die lokalen Standardbenutzerkonten sind integrierte Konten, die automatisch erstellt werden, wenn das Betriebssystem installiert wird. Die lokalen Standardbenutzerkonten können nicht entfernt oder gelöscht werden und bieten keinen Zugriff auf Netzwerkressourcen.

Lokale Standardbenutzerkonten werden verwendet, um den Zugriff auf die Ressourcen des lokalen Geräts basierend auf den Rechten und Berechtigungen zu verwalten, die dem Konto zugewiesen sind. Die lokalen Standardbenutzerkonten und die von Ihnen erstellten lokalen Benutzerkonten befinden sich im Ordner Benutzer . Der Ordner Benutzer befindet sich in der microsoft Management Console (MMC) der lokalen Computerverwaltung im Ordner Lokale Benutzer und Gruppen. Die Computerverwaltung ist eine Sammlung von Verwaltungstools, mit denen Sie ein lokales oder Remotegerät verwalten können.

Lokale Standardbenutzerkonten werden in den folgenden Abschnitten beschrieben. Erweitern Sie die einzelnen Abschnitte, um weitere Informationen zu erfahren.

Administrator

Das standardmäßige lokale Administratorkonto ist ein Benutzerkonto für die Systemverwaltung. Jeder Computer verfügt über ein Administratorkonto (SID S-1-5-domain-500, Anzeigename Administrator). Das Administratorkonto ist das erste Konto, das während der Windows-Installation erstellt wird.

Das Administratorkonto hat die vollständige Kontrolle über die Dateien, Verzeichnisse, Dienste und andere Ressourcen auf dem lokalen Gerät. Das Administratorkonto kann andere lokale Benutzer erstellen, Benutzerrechte zuweisen und Berechtigungen zuweisen. Das Administratorkonto kann jederzeit die Kontrolle über lokale Ressourcen übernehmen, indem die Benutzerrechte und -berechtigungen geändert werden.

Das Standardadministratorkonto kann nicht gelöscht oder gesperrt werden, aber es kann umbenannt oder deaktiviert werden.

Windows Setup deaktiviert das integrierte Administratorkonto und erstellt ein weiteres lokales Konto, das Mitglied der Gruppe Administratoren ist.

Mitglieder der Administratorgruppen können Apps mit erhöhten Berechtigungen ausführen, ohne die Option Als Administrator ausführen zu verwenden. Ein schneller Benutzerwechsel ist sicherer als die Verwendung oder runas andere Benutzererweiterungen.

Kontogruppenmitgliedschaft

Standardmäßig ist das Administratorkonto Mitglied der Gruppe Administratoren. Es empfiehlt sich, die Anzahl der Benutzer in der Gruppe "Administratoren" zu begrenzen, da Mitglieder der Gruppe "Administratoren" über Vollzugriffsberechtigungen auf dem Gerät verfügen.

Das Administratorkonto kann nicht aus der Gruppe "Administratoren" entfernt werden.

Überlegungen zur Sicherheit

Da das Administratorkonto bekanntermaßen in vielen Versionen des Windows-Betriebssystems vorhanden ist, empfiehlt es sich, das Administratorkonto nach Möglichkeit zu deaktivieren, um böswilligen Benutzern den Zugriff auf den Server oder Clientcomputer zu erschweren.

Sie können das Administratorkonto umbenennen. Ein umbenanntes Administratorkonto verwendet jedoch weiterhin dieselbe automatisch zugewiesene Sicherheits-ID (SID), die von böswilligen Benutzern erkannt werden kann. Weitere Informationen zum Umbenennen oder Deaktivieren eines Benutzerkontos finden Sie unter Deaktivieren oder Aktivieren eines lokalen Benutzerkontos und Umbenennen eines lokalen Benutzerkontos.

Als bewährte Sicherheitsmethode sollten Sie sich mit Ihrem lokalen Konto (ohne Administratorkonto) anmelden und dann Als Administrator ausführen , um Aufgaben auszuführen, die eine höhere Berechtigungsstufe erfordern als ein Standardbenutzerkonto. Verwenden Sie das Administratorkonto nicht, um sich bei Ihrem Computer anzumelden, es sei denn, dies ist vollständig erforderlich. Weitere Informationen finden Sie unter Ausführen eines Programms mit Administratoranmeldeinformationen.

Gruppenrichtlinie können verwendet werden, um die Verwendung der lokalen Administratorgruppe automatisch zu steuern. Weitere Informationen zu Gruppenrichtlinie finden Sie unter übersicht über Gruppenrichtlinie.

Wichtig

  • Leere Kennwörter sind nicht zulässig.
  • Auch wenn das Administratorkonto deaktiviert ist, kann es weiterhin verwendet werden, um im abgesicherten Modus zugriff auf einen Computer zu erhalten. In der Wiederherstellungskonsole oder im abgesicherten Modus wird das Administratorkonto automatisch aktiviert. Wenn normale Vorgänge fortgesetzt werden, wird sie deaktiviert.

Gast

Mit dem Gastkonto können sich gelegentliche oder einmalige Benutzer, die nicht über ein Konto auf dem Computer verfügen, vorübergehend beim lokalen Server oder Clientcomputer mit eingeschränkten Benutzerrechten anmelden. Standardmäßig ist das Gastkonto deaktiviert und weist ein leeres Kennwort auf. Da das Gastkonto anonymen Zugriff bereitstellen kann, wird es als Sicherheitsrisiko betrachtet. Aus diesem Grund empfiehlt es sich, das Gastkonto deaktiviert zu lassen, es sei denn, es ist erforderlich.

Gruppenmitgliedschaft für Gastkonten

Standardmäßig ist das Gastkonto das einzige Mitglied der Standardgruppe SID S-1-5-32-546Gäste, die es einem Benutzer ermöglicht, sich bei einem Gerät anzumelden.

Sicherheitsüberlegungen für Gastkonten

Wenn Sie das Gastkonto aktivieren, gewähren Sie nur eingeschränkte Rechte und Berechtigungen. Aus Sicherheitsgründen sollte das Gastkonto nicht über das Netzwerk verwendet und anderen Computern zugänglich gemacht werden.

Darüber hinaus sollte der Gastbenutzer im Gastkonto die Ereignisprotokolle nicht anzeigen können. Nachdem das Gastkonto aktiviert wurde, empfiehlt es sich, das Gastkonto häufig zu überwachen, um sicherzustellen, dass andere Benutzer keine Dienste und anderen Ressourcen verwenden können. Dies schließt Ressourcen ein, die von einem vorherigen Benutzer unbeabsichtigt zur Verfügung gestellt wurden.

HelpAssistant

Das HelpAssistant-Konto ist ein lokales Standardkonto, das aktiviert ist, wenn eine Remoteunterstützungssitzung ausgeführt wird. Dieses Konto wird automatisch deaktiviert, wenn keine Remoteunterstützungsanforderungen ausstehen.

HelpAssistant ist das primäre Konto, das zum Einrichten einer Remoteunterstützungssitzung verwendet wird. Die Remoteunterstützungssitzung wird verwendet, um eine Verbindung mit einem anderen Computer herzustellen, auf dem das Windows-Betriebssystem ausgeführt wird, und sie wird durch Einladung initiiert. Für die angeforderte Remoteunterstützung sendet ein Benutzer eine Einladung von ihrem Computer per E-Mail oder als Datei an eine Person, die Hilfe leisten kann. Nachdem die Einladung des Benutzers zu einer Remoteunterstützungssitzung akzeptiert wurde, wird automatisch das Standardmäßige HelpAssistant-Konto erstellt, um der Person, die Unterstützung bereitstellt, eingeschränkten Zugriff auf den Computer zu gewähren. Das HelpAssistant-Konto wird vom Remotedesktop-Hilfe-Sitzungs-Manager-Dienst verwaltet.

Überlegungen zur Sicherheit des HelpAssistant-Kontos

Zu den SIDs, die sich auf das Standardmäßige HelpAssistant-Konto beziehen, gehören:

  • SID: S-1-5-<domain>-13, Anzeigename Terminalserverbenutzer. Diese Gruppe umfasst alle Benutzer, die sich bei einem Server mit aktivierten Remotedesktopdiensten anmelden.
  • SID: S-1-5-<domain>-14, Anzeigename Remote Interactive Logon. Diese Gruppe umfasst alle Benutzer, die über eine Remotedesktopverbindung eine Verbindung mit dem Computer herstellen. Diese Gruppe ist eine Teilmenge der interaktiven Gruppe. Zugriffstoken, die die SID für die interaktive Remoteanmeldung enthalten, enthalten auch die interaktive SID.

Für das Windows Server-Betriebssystem ist die Remoteunterstützung eine optionale Komponente, die nicht standardmäßig installiert ist. Sie müssen die Remoteunterstützung installieren, bevor sie verwendet werden kann.

Ausführliche Informationen zu den HelpAssistant-Kontoattributen finden Sie in der folgenden Tabelle.

HelpAssistant-Kontoattribute

Attribut Wert
Bekannte SID/RID S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon)
Typ Benutzer
Standardcontainer CN=Users, DC=<domain>
Standardmitglieder Keine
Standardmitglied von Domänengäste

Gäste
Geschützt durch ADMINSDHOLDER? Nein
Sicheres Verschieben aus dem Standardcontainer? Kann verschoben werden, aber wir empfehlen es nicht.
Ist es sicher, die Verwaltung dieser Gruppe an Nicht-Service-Administratoren zu delegieren? Nein

DefaultAccount

Das DefaultAccount-Konto, das auch als Standardsystem verwaltetes Konto (Default System Managed Account, DSMA) bezeichnet wird, ist ein bekannter Benutzerkontotyp. DefaultAccount kann zum Ausführen von Prozessen verwendet werden, die entweder mehrbenutzerfähig oder benutzerunabhängig sind.

Der DSMA ist in den Desktopeditionen und auf den Serverbetriebssystemen mit Desktoperfahrung standardmäßig deaktiviert.

Die DSMA verfügt über eine bekannte RID von 503. Die Sicherheits-ID (SID) des DSMA verfügt daher über eine bekannte SID im folgenden Format: S-1-5-21-\<ComputerIdentifier>-503.

Der DSMA ist Mitglied der bekannten Gruppe SystemVerwaltete Kontengruppe, die über eine bekannte SID von verfügt S-1-5-32-581.

Dem DSMA-Alias kann während des Offline-Stagings Zugriff auf Ressourcen gewährt werden, noch bevor das Konto selbst erstellt wird. Das Konto und die Gruppe werden beim ersten Start des Computers im Security Accounts Manager (SAM) erstellt.

So verwendet Windows das DefaultAccount

Aus Berechtigungsperspektive ist defaultAccount ein Standardbenutzerkonto. Das DefaultAccount wird benötigt, um multi-user-manifested-apps (MUMA-Apps) auszuführen. MUMA-Apps werden ständig ausgeführt und reagieren auf Benutzer, die sich bei den Geräten anmelden und sich abmelden. Im Gegensatz zu Windows Desktop, bei dem Apps im Kontext des Benutzers ausgeführt werden und beendet werden, wenn sich der Benutzer abmeldet, werden MUMA-Apps mithilfe der DSMA ausgeführt.

MUMA-Apps sind in freigegebenen Sitzungs-SKUs wie Xbox funktionsfähig. Die Xbox-Shell ist beispielsweise eine MUMA-App. Heute meldet sich Xbox automatisch als Gastkonto an, und alle Apps werden in diesem Kontext ausgeführt. Alle Apps sind mehrbenutzerfähig und reagieren auf Ereignisse, die vom Benutzer-Manager ausgelöst werden. Die Apps werden als Gastkonto ausgeführt.

Ebenso meldet sich Phone automatisch als DefApps-Konto an, das dem Standardbenutzerkonto in Windows ähnelt, aber mit einigen zusätzlichen Berechtigungen ausgestattet ist. Broker, einige Dienste und Apps werden als dieses Konto ausgeführt.

Im konvergenten Benutzermodell müssen die Mehrbenutzer-fähigen Apps und Broker für mehrere Benutzer in einem anderen Kontext als dem der Benutzer ausgeführt werden. Zu diesem Zweck erstellt das System DSMA.

Erstellen des DefaultAccount auf Domänencontrollern

Wenn die Domäne mit Domänencontrollern erstellt wurde, die Windows Server 2016 ausgeführt werden, ist defaultAccount auf allen Domänencontrollern in der Domäne vorhanden. Wenn die Domäne mit Domänencontrollern erstellt wurde, auf denen eine frühere Version von Windows Server ausgeführt wird, wird das DefaultAccount erstellt, nachdem die Rolle PDC-Emulator auf einen Domänencontroller übertragen wurde, auf dem Windows Server 2016 ausgeführt wird. Das DefaultAccount wird dann auf alle anderen Domänencontroller in der Domäne repliziert.

Empfehlungen zum Verwalten des Standardkontos (DSMA)

Microsoft empfiehlt nicht, die Standardkonfiguration zu ändern, bei der das Konto deaktiviert ist. Es besteht kein Sicherheitsrisiko, wenn das Konto den Status "Deaktiviert" aufweist. Das Ändern der Standardkonfiguration könnte zukünftige Szenarien behindern, die auf diesem Konto basieren.

Lokale Standardsystemkonten

SYSTEM

Das SYSTEM-Konto wird vom Betriebssystem und von Diensten verwendet, die unter Windows ausgeführt werden. Es gibt viele Dienste und Prozesse im Windows-Betriebssystem, die die Möglichkeit benötigen, sich intern anzumelden, z. B. während einer Windows-Installation. Das SYSTEM-Konto wurde zu diesem Zweck entworfen, und Windows verwaltet die Benutzerrechte des SYSTEM-Kontos. Es handelt sich um ein internes Konto, das nicht im Benutzer-Manager angezeigt wird und keinem Gruppen hinzugefügt werden kann.

Andererseits wird das SYSTEM-Konto auf einem NTFS-Dateisystemvolume im Datei-Manager im Bereich Berechtigungen des Menüs Sicherheit angezeigt. Standardmäßig erhalten das SYSTEM-Konto Vollzugriffsberechtigungen für alle Dateien auf einem NTFS-Volume. Hier verfügt das SYSTEM-Konto über die gleichen funktionalen Rechte und Berechtigungen wie das Administratorkonto.

Hinweis

Um dem Konto Administratoren Gruppendateiberechtigungen zu gewähren, wird dem SYSTEM-Konto nicht implizit die Berechtigung erteilt. Die Berechtigungen des SYSTEM-Kontos können aus einer Datei entfernt werden, es wird jedoch davon abgeraten, sie zu entfernen.

NETZWERKDIENST

Das NETWORK SERVICE-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager (Service Control Manager, SCM) verwendet wird. Ein Dienst, der im Kontext des NETZWERKDIENSTkontos ausgeführt wird, stellt die Anmeldeinformationen des Computers Remoteservern zur Seite. Weitere Informationen finden Sie unter NetworkService-Konto.

LOKALER DIENST

Das LOKALE DIENSTkonto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Sie verfügt über Mindestberechtigungen auf dem lokalen Computer und stellt anonyme Anmeldeinformationen im Netzwerk bereit. Weitere Informationen finden Sie unter LocalService-Konto.

Verwalten lokaler Benutzerkonten

Die lokalen Standardbenutzerkonten und die von Ihnen erstellten lokalen Benutzerkonten befinden sich im Ordner Benutzer. Der Ordner Benutzer befindet sich unter Lokale Benutzer und Gruppen. Weitere Informationen zum Erstellen und Verwalten lokaler Benutzerkonten finden Sie unter Verwalten lokaler Benutzer.

Sie können lokale Benutzer und Gruppen verwenden, um nur dem lokalen Server Rechte und Berechtigungen zuzuweisen, um die Fähigkeit lokaler Benutzer und Gruppen zum Ausführen bestimmter Aktionen einzuschränken. Ein Recht autorisiert einen Benutzer, bestimmte Aktionen auf einem Server auszuführen, z. B. das Sichern von Dateien und Ordnern oder das Herunterfahren eines Servers. Eine Zugriffsberechtigung ist eine Regel, die einem Objekt zugeordnet ist, in der Regel einer Datei, einem Ordner oder einem Drucker. Sie regelt, welche Benutzer auf welche Weise Zugriff auf ein Objekt auf dem Server haben können.

Sie können keine lokalen Benutzer und Gruppen auf einem Domänencontroller verwenden. Sie können jedoch lokale Benutzer und Gruppen auf einem Domänencontroller verwenden, um Remotecomputer als Ziel zu verwenden, die keine Domänencontroller im Netzwerk sind.

Hinweis

Sie verwenden Active Directory-Benutzer und -Computer, um Benutzer und Gruppen in Active Directory zu verwalten.

Sie können lokale Benutzer auch mithilfe von NET.EXE USER und lokale Gruppen mithilfe NET.EXE LOCALGROUP oder mithilfe verschiedener PowerShell-Cmdlets und anderer Skripttechnologien verwalten.

Einschränken und Schützen lokaler Konten mit Administratorrechten

Ein Administrator kann viele Ansätze verwenden, um zu verhindern, dass böswillige Benutzer gestohlene Anmeldeinformationen wie ein gestohlenes Kennwort oder einen Kennworthash verwenden, damit ein lokales Konto auf einem Computer für die Authentifizierung auf einem anderen Computer mit Administratorrechten verwendet wird. Dies wird auch als Lateral Movement bezeichnet.

Der einfachste Ansatz besteht darin, sich mit einem Standardbenutzerkonto bei Ihrem Computer anzumelden, anstatt das Administratorkonto für Aufgaben zu verwenden. Verwenden Sie beispielsweise ein Standardkonto, um im Internet zu surfen, E-Mails zu senden oder ein Textverarbeitungsprogramm zu verwenden. Wenn Sie administrative Aufgaben ausführen möchten, z. B. das Installieren eines neuen Programms oder das Ändern einer Einstellung, die sich auf andere Benutzer auswirkt, müssen Sie nicht zu einem Administratorkonto wechseln. Sie können die Benutzerkontensteuerung (User Account Control, UAC) verwenden, um Sie zur Eingabe einer Berechtigung oder eines Administratorkennworts aufzufordern, bevor Sie die Aufgabe ausführen, wie im nächsten Abschnitt beschrieben.

Zu den anderen Ansätzen, die verwendet werden können, um Benutzerkonten mit Administratorrechten einzuschränken und zu schützen, gehören:

  • Erzwingen lokaler Kontoeinschränkungen für den Remotezugriff
  • Verweigern der Netzwerkanmeldung für alle lokalen Administratorkonten
  • Erstellen eindeutiger Kennwörter für lokale Konten mit Administratorrechten

Jeder dieser Ansätze wird in den folgenden Abschnitten beschrieben.

Hinweis

Diese Ansätze gelten nicht, wenn alle lokalen Administratorkonten deaktiviert sind.

Erzwingen lokaler Kontoeinschränkungen für den Remotezugriff

Die Benutzerkontensteuerung (User Account Control, UAC) ist ein Sicherheitsfeature, das Sie informiert, wenn ein Programm eine Änderung vornimmt, die Administratorberechtigungen erfordert. UAC passt die Berechtigungsstufe Ihres Benutzerkontos an. Standardmäßig ist die Benutzerkontensteuerung so festgelegt, dass Sie benachrichtigt werden, wenn Anwendungen versuchen, Änderungen an Ihrem Computer vorzunehmen. Sie können jedoch ändern, wenn die Benutzerkontensteuerung Sie benachrichtigt.

UAC ermöglicht es, dass ein Konto mit Administratorrechten als Standardbenutzer ohne Administratorkonto behandelt wird, bis vollständige Rechte, auch als Rechteerweiterung bezeichnet, angefordert und genehmigt werden. Beispielsweise ermöglicht die Benutzerkontensteuerung einem Administrator die Eingabe von Anmeldeinformationen während der Benutzersitzung eines Nichtadministrators, um gelegentlich administrative Aufgaben auszuführen, ohne benutzer wechseln, sich abmelden oder den Befehl Ausführen als verwenden zu müssen.

Darüber hinaus kann UAC von Administratoren verlangen, dass Anwendungen, die systemweite Änderungen vornehmen, ausdrücklich genehmigt werden, bevor diesen Anwendungen die Berechtigung für die Ausführung erteilt wird, auch in der Benutzersitzung des Administrators.

Beispielsweise wird eine Standardfunktion der UAC angezeigt, wenn sich ein lokales Konto von einem Remotecomputer über die Netzwerkanmeldung anmeldet (z. B. mit NET.EXE USE). In diesem instance wird ein Standardbenutzertoken ohne Administratorrechte ausgestellt, aber ohne die Möglichkeit, Rechteerweiterungen anzufordern oder zu empfangen. Folglich können lokale Konten, die sich mit der Netzwerkanmeldung anmelden, nicht auf Administratorfreigaben wie C$ oder ADMIN$ zugreifen oder keine Remoteverwaltung durchführen.

Weitere Informationen zur Benutzerkontensteuerung finden Sie unter Benutzerkontensteuerung.

Die folgende Tabelle zeigt die Gruppenrichtlinie- und Registrierungseinstellungen, die zum Erzwingen lokaler Kontoeinschränkungen für den Remotezugriff verwendet werden.

Nein. Einstellung Ausführliche Beschreibung
Richtlinienspeicherort Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
1 Richtlinienname Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto
Richtlinieneinstellung Enabled
2 Richtlinienspeicherort Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Richtlinienname Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen
Richtlinieneinstellung Enabled
3 Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Registrierungswertname LocalAccountTokenFilterPolicy
Registrierungswerttyp DWORD
Registrierungswertdaten 0

Hinweis

Sie können auch die Standardeinstellung für LocalAccountTokenFilterPolicy erzwingen, indem Sie die benutzerdefinierte ADMX in Sicherheitsvorlagen verwenden.

So erzwingen Sie Lokale Kontoeinschränkungen für den Remotezugriff

  1. Starten der Gruppenrichtlinie Management Console (GPMC)

  2. Erweitern Sie < in der Konsolenstruktur Gesamtstruktur>\Domänen\<Domäne>, und Gruppenrichtlinie Objekte, wobei gesamtstruktur der Name der Gesamtstruktur und Domäne der Name der Domäne ist, in der Sie das Gruppenrichtlinie Object (GPO) festlegen möchten.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinie Objekte > Neu.

  4. Geben < Sie im Dialogfeld Neues Gruppenrichtlinienobjektgpo_name> und >OK ein, wobei gpo_name der Name des neuen Gruppenrichtlinienobjekts ist. Der Gruppenrichtlinienobjektname gibt an, dass das Gruppenrichtlinienobjekt verwendet wird, um zu verhindern, dass lokale Administratorrechte auf einen anderen Computer übertragen werden.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf gpo_name>, und >klicken Sie dann auf < Bearbeiten.

  6. Stellen Sie sicher, dass UAC aktiviert ist und dass UAC-Einschränkungen für das Standardadministratorkonto gelten, indem Sie die folgenden Schritte ausführen:

    • Navigieren Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\ und >Sicherheitsoptionen.
    • Doppelklicken Sie auf Benutzerkontensteuerung: Alle Administratoren im Admin Genehmigungsmodus>ausführen>OK
    • Doppelklicken Sie auf Benutzerkontensteuerung: Admin Genehmigungsmodus für das integrierte Administratorkonto>aktiviert>OK
  7. Stellen Sie sicher, dass die Einschränkungen des lokalen Kontos auf Netzwerkschnittstellen angewendet werden, indem Sie die folgenden Schritte ausführen:

    • Navigieren Sie zu Computerkonfiguration\Einstellungen und Windows-Einstellungen und >Registrierung.
    • Klicken Sie mit der rechten Maustaste auf Registrierung und >neues>Registrierungselement.
    • Ändern Sie im Dialogfeld Neue Registrierungseigenschaften auf der Registerkarte Allgemein die Einstellung im Feld Aktion in Ersetzen.
    • Stellen Sie sicher, dass das Hive-Feld auf HKEY_LOCAL_MACHINE
    • Wählen Sie (...) aus, und navigieren Sie zum folgenden Speicherort für Schlüsselpfad>auswählen für: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • Geben Sie im Bereich WertnameLocalAccountTokenFilterPolicy
    • Wählen Sie im Feld Werttyp in der Dropdownliste REG_DWORD aus, um den Wert zu ändern.
    • Stellen Sie im Feld Wertdaten sicher, dass der Wert auf 0 festgelegt ist.
    • Überprüfen Sie diese Konfiguration, und >ok
  8. Verknüpfen Sie das GPO mit der ersten Arbeitsstationen-Organisationseinheit , indem Sie wie folgt vorgehen:

    • Navigieren Sie zum *Forest*\<Domains>\*Domain*\*OU* Pfad.
    • Klicken Sie mit der rechten Maustaste auf arbeitsstationen>, um ein vorhandenes Gruppenrichtlinienobjekt zu verknüpfen.
    • Wählen Sie das erstellte Gruppenrichtlinienobjekt aus, und ok>
  9. Testen der Funktionalität von Unternehmensanwendungen auf den Arbeitsstationen in dieser ersten Organisationseinheit und Beheben von Problemen, die durch die neue Richtlinie verursacht werden

  10. Erstellen von Links zu allen anderen Organisationseinheiten, die Arbeitsstationen enthalten

  11. Erstellen von Links zu allen anderen Organisationseinheiten, die Server enthalten

Verweigern der Netzwerkanmeldung für alle lokalen Administratorkonten

Wenn sie lokalen Konten die Möglichkeit zur Durchführung von Netzwerkanmeldungen verweigern, kann verhindert werden, dass ein Kennworthash eines lokalen Kontos bei einem böswilligen Angriff wiederverwendet wird. Dieses Verfahren trägt dazu bei, laterale Verschiebungen zu verhindern, indem sichergestellt wird, dass gestohlene Anmeldeinformationen für lokale Konten von einem kompromittierten Betriebssystem nicht verwendet werden können, um andere Computer zu kompromittieren, die dieselben Anmeldeinformationen verwenden.

Hinweis

Um dieses Verfahren auszuführen, müssen Sie zunächst den Namen des lokalen Standardadministratorkontos, bei dem es sich möglicherweise nicht um den Standardbenutzernamen "Administrator" handelt, und alle anderen Konten identifizieren, die Mitglieder der lokalen Administratorgruppe sind.

Die folgende Tabelle zeigt die Gruppenrichtlinie Einstellungen, die verwendet werden, um die Netzwerkanmeldung für alle lokalen Administratorkonten zu verweigern.

Nein. Einstellung Ausführliche Beschreibung
Richtlinienspeicherort Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten
1 Richtlinienname Zugriff vom Netzwerk auf diesen Computer verweigern
Richtlinieneinstellung Lokales Konto und Mitglied der Gruppe "Administratoren"
2 Richtlinienspeicherort Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten
Richtlinienname Anmelden über Remotedesktopdienste verweigern
Richtlinieneinstellung Lokales Konto und Mitglied der Gruppe "Administratoren"

So verweigern Sie die Netzwerkanmeldung für alle lokalen Administratorkonten

  1. Starten der Gruppenrichtlinie Management Console (GPMC)

  2. Erweitern Sie < in der Konsolenstruktur Gesamtstruktur>\Domänen\<Domäne>, und Gruppenrichtlinie Objekte, wobei gesamtstruktur der Name der Gesamtstruktur und Domäne der Name der Domäne ist, in der Sie das Gruppenrichtlinie Object (GPO) festlegen möchten.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinie Objekte, und > klicken Sie auf Neu.

  4. Geben Sie < im Dialogfeld Neues Gruppenrichtlinienobjektgpo_name> ein, und geben Sie dann >OK ein, wobei gpo_name der Name des neuen Gruppenrichtlinienobjekts angibt, dass es verwendet wird, um die interaktive Anmeldung der lokalen Administratorkonten beim Computer einzuschränken.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf gpo_name>, und >klicken Sie dann auf < Bearbeiten.

  6. Konfigurieren Sie die Benutzerrechte zum Verweigern von Netzwerkanmeldungen für lokale Administratorkonten wie folgt:

  7. Navigieren Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\ und >Zuweisung von Benutzerrechten.

  8. Doppelklicken Sie auf Zugriff auf diesen Computer über das Netzwerk verweigern.

  9. Wählen Sie Benutzer oder Gruppe hinzufügen aus, geben Sie Lokales Konto und Mitglied der Administratorgruppe ein, und >ok.

  10. Konfigurieren Sie die Benutzerrechte, um Remotedesktopanmeldungen (Remote Interactive) für lokale Administratorkonten wie folgt zu verweigern:

  11. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen und lokale Richtlinien, und wählen Sie dann Zuweisung von Benutzerrechten aus.

  12. Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern.

  13. Wählen Sie Benutzer oder Gruppe hinzufügen aus, geben Sie Lokales Konto und Mitglied der Administratorgruppe ein, und >ok.

  14. Verknüpfen Sie das Gruppenrichtlinienobjekt wie folgt mit der ersten Organisationseinheit für Arbeitsstationen :

    • Navigieren Sie zum < Pfad Gesamtstruktur>\Domänen\<Domäne>\OU.
    • Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Arbeitsstationen, und >verknüpfen Sie ein vorhandenes Gruppenrichtlinienobjekt.
    • Wählen Sie das erstellte Gruppenrichtlinienobjekt aus, und ok>
  15. Testen der Funktionalität von Unternehmensanwendungen auf den Arbeitsstationen in dieser ersten Organisationseinheit und Beheben von Problemen, die durch die neue Richtlinie verursacht werden

  16. Erstellen von Links zu allen anderen Organisationseinheiten, die Arbeitsstationen enthalten

  17. Erstellen von Links zu allen anderen Organisationseinheiten, die Server enthalten

Hinweis

Möglicherweise müssen Sie ein separates Gruppenrichtlinienobjekt erstellen, wenn der Benutzername des Standardadministratorkontos auf Arbeitsstationen und Servern unterschiedlich ist.

Erstellen eindeutiger Kennwörter für lokale Konten mit Administratorrechten

Kennwörter sollten für jedes einzelne Konto eindeutig sein. Dies gilt zwar für einzelne Benutzerkonten, aber viele Unternehmen verfügen über identische Kennwörter für gängige lokale Konten, z. B. das Standardadministratorkonto. Dies geschieht auch, wenn dieselben Kennwörter für lokale Konten während der Betriebssystembereitstellung verwendet werden.

Kennwörter, die unverändert bleiben oder synchron geändert werden, um sie identisch zu halten, stellen ein erhebliches Risiko für Organisationen dar. Die Zufälligkeit der Kennwörter entschärft "Pass-the-Hash"-Angriffe, indem verschiedene Kennwörter für lokale Konten verwendet werden, die die Fähigkeit böswilliger Benutzer behindern, Kennworthashes dieser Konten zu verwenden, um andere Computer zu kompromittieren.

Kennwörter können nach dem Zufallsprinzip festgelegt werden:

  • Kauf und Implementierung eines Unternehmenstools, um diese Aufgabe zu erfüllen. Diese Tools werden häufig als "Tools für die Verwaltung privilegierter Kennwörter" bezeichnet.
  • Konfigurieren der Lokalen Administratorkennwortlösung (LAPS) für diese Aufgabe
  • Erstellen und Implementieren eines benutzerdefinierten Skripts oder einer Lösung zum zufälligen Festlegen lokaler Kontokennwörter