Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist beschrieben.
Referenz
Wenn eine Sitzung in einem Windows-Betriebssystem gesperrt ist (d. h., der Benutzer am Computer hat die Tastenkombination STRG+ALT+ENTF gedrückt, und der sichere Desktop wird angezeigt), werden Benutzerinformationen angezeigt. In der Standardeinstellung liegen diese Informationen im Format <Benutzername> ist angemeldet vor. Der angezeigte Benutzername entspricht dem vollständigen Namen des Benutzers, der auf der Eigenschaftenseite für den Benutzer festgelegt ist. Diese Einstellungen gelten nicht für die Anmeldekacheln, die nach Verwendung der Funktion Benutzer wechseln auf dem Desktop angezeigt werden. Die angezeigten Informationen können so geändert werden, dass sie Ihren Sicherheitsanforderungen entsprechen; hierbei können die folgenden möglichen Werte angegeben werden.
Mögliche Werte
Benutzeranzeige-, Benutzer und Domänennamen anzeigen
Wenn es sich um eine lokale Anmeldung handelt, wird auf dem sicheren Desktop der vollständige Name des Benutzers angezeigt. Wenn es sich um eine Domänenanmeldung handelt, werden die Domäne des Benutzers und der Kontoname des Benutzers angezeigt.
Nur Benutzeranzeigenamen anzeigen
Der Name des Benutzers, der die Sitzung gesperrt hat, wird auf dem sicheren Desktop als vollständiger Name des Benutzers angezeigt.
Keine Benutzerinformationen anzeigen
Es werden keine Namen auf dem sicheren Desktop angezeigt, die vollständigen Namen des Benutzers werden jedoch auf dem Desktop Benutzer wechseln angezeigt.
Leer.
Die Standardeinstellung. Dies wird in „Nicht definiert“ übersetzt; es wird jedoch der vollständige Name des Benutzers auf dieselbe Weise wie bei der Option Benutzeranzeige-, Benutzer und Domänennamen anzeigen angezeigt. Wenn eine Option festgelegt ist, kann die Richtlinie nicht mehr auf „Leer“ oder „Nicht definiert“ zurückgesetzt werden.
Bewährte Methoden
Die jeweilige Implementierung dieser Richtlinie hängt von Ihren Sicherheitsanforderungen für angezeigte Anmeldeinformationen ab. Wenn auf Ihren Geräten vertrauliche Daten gespeichert werden und deren Bildschirme an nicht gesicherten Orten aufgestellt sind oder wenn Sie über Computer mit vertraulichen Daten verfügen, auf die von Remotestandorten aus zugegriffen wird, kann die Anzeige der vollständigen Namen angemeldeter Benutzer oder von Domänenkontennamen Ihren allgemeinen Sicherheitsrichtlinien widersprechen.
Je nach geltenden Sicherheitsrichtlinien empfiehlt es sich u. U. auch, die Richtlinie Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen zu aktivieren. Hierdurch wird verhindert, dass vom Windows-Betriebssystem der Anmeldename und die Anmeldekachel des zuletzt angemeldeten Benutzers angezeigt werden.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Benutzeranzeige-, Benutzer und Domänennamen anzeigen |
Effektive Standardeinstellungen für Mitgliedsserver |
Benutzeranzeige-, Benutzer und Domänennamen anzeigen |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Benutzeranzeige-, Benutzer und Domänennamen anzeigen |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikt-Aspekte
Keine
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn für einen Computer in einem nicht gesicherten Bereich der sichere Desktop angezeigt wird, sind bestimmte Benutzerinformationen ohne Weiteres für alle Personen sichtbar, die auf den Bildschirm blicken, entweder direkt oder über eine Remoteverbindung. Zu den angezeigten Informationen können der Name des Domänenbenutzerkontos, der vollständige Name des Benutzers, der die Sitzung gesperrt hat oder der Name des Benutzers zählen, der sich zuletzt angemeldet hat.
Gegenmaßnahme
Wenn Sie diese Richtlinieneinstellung aktivieren, kann das Betriebssystem bestimmte Benutzerinformationen auf dem sicheren Desktop ausblenden (nachdem das Gerät gestartet oder wenn die Sitzung mit STRG+ALT+ENTF gesperrt wurde). Benutzerinformationen werden jedoch angezeigt, wenn die Funktion Benutzer wechseln verwendet wird, sodass die Anmeldekacheln für jeden angemeldeten Benutzer angezeigt werden.
Es empfiehlt sich u. U. auch, die Richtlinie Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen zu aktivieren. Hierdurch wird verhindert, dass vom Windows-Betriebssystem der Anmeldename und die Anmeldekachel des zuletzt angemeldeten Benutzers angezeigt werden.
Mögliche Auswirkung
Wenn Sie diese Richtlinie nicht aktivieren, hat dies dieselbe Auswirkung wie beim Aktivieren der Richtlinie und Auswählen der Option Benutzeranzeige-, Benutzer und Domänennamen anzeigen.
Ist die Richtlinie aktiviert und auf Keine Benutzerinformationen anzeigen festgelegt, kann ein Beobachter nicht sehen, welcher Benutzer am sicheren Desktop angemeldet ist, die Anmeldekachel ist jedoch immer noch vorhanden, wenn die Richtlinie Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen nicht aktiviert ist. Je nach Konfiguration der Anmeldekacheln verfügen Beobachter u. U. über visuelle Hinweise auf den angemeldeten Benutzer. Wenn zudem die Richtlinie Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen nicht aktiviert ist, werden von der Funktion Benutzer wechseln Benutzerinformationen angezeigt.