Auf Anmeldeinformationsverwaltung als vertrauenswürdiger Aufrufer zugreifen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen beschrieben.
Referenzen
Die Anmeldeinformationsverwaltung verwendet zum Sichern und Wiederherstellen die Richtlinieneinstellung Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen. Kein Konto sollte über diese Berechtigung verfügen, da sie nur dem Winlogon-Dienst zugewiesen ist. Wenn die Berechtigung anderen Entitäten zugewiesen wird, kann dies die gespeicherten Anmeldeinformationen von Benutzern gefährden.
Konstante: SeTrustedCredManAccessPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Behalten Sie die Standardeinstellung dieser Richtlinie bei.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn dieses Benutzerrecht einem Konto zugewiesen wird, könnte der Benutzer des Kontos eine Anwendung erstellen, mit der er von der Anmeldeinformationsverwaltung die Anmeldeinformationen eines anderen Benutzers abrufen kann.
Gegenmaßnahme
Definieren Sie die Richtlinieneinstellung Auf Anmeldeinformations-Manager als vertrauenswürdigem Aufrufer zugreifen ausschließlich für die Anmeldeinformationsverwaltung.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.