Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen beschrieben.
Referenz
Diese Sicherheitsrichtlinieneinstellung bestimmt, ob der Name des zuletzt am Gerät angemeldeten Benutzers auf dem sicheren Desktop angezeigt wird.
Wenn diese Richtlinie aktiviert ist, wird der vollständige Name des zuletzt erfolgreich angemeldeten Benutzers auf dem sicheren Desktop nicht angezeigt, und auch die Anmeldekachel des Benutzers wird nicht angezeigt. Wird die Funktion Benutzer wechseln verwendet, werden der vollständige Name und die Anmeldekachel nicht angezeigt. Auf dem Anmeldebildschirm werden der qualifizierte Name eines Domänenkontos (bzw. der Name des lokalen Benutzers) und ein Kennwort angefordert.
Ist diese Richtlinie deaktiviert, werden der vollständige Name des zuletzt angemeldeten Benutzers sowie die Anmeldekachel des Benutzers angezeigt. Dieses Verhalten entspricht dem bei Verwendung des Features Benutzer wechseln.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
Die jeweilige Implementierung dieser Richtlinie hängt von Ihren Sicherheitsanforderungen für angezeigte Anmeldeinformationen ab. Wenn auf Ihren Geräten vertrauliche Daten gespeichert werden und deren Bildschirme an nicht gesicherten Orten aufgestellt sind oder wenn Sie über Geräte mit vertraulichen Daten verfügen, auf die von Remotestandorten aus zugegriffen wird, kann die Anzeige der vollständigen Namen angemeldeter Benutzer oder von Domänenkontennamen Ihren allgemeinen Sicherheitsrichtlinien widersprechen.
Je nach geltenden Sicherheitsrichtlinien empfiehlt es sich möglicherweise, die Richtlinie Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn Sitzung gesperrt ist zu aktivieren, durch die verhindert wird, dass vom Windows-Betriebssystem der Anmeldename angezeigt wird, wenn die Sitzung gesperrt ist oder gestartet wird.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Deaktiviert |
Standardrichtlinie für Domänencontroller |
Deaktiviert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für Domänencontroller |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikt-Aspekte
Keine.
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Für einen Angreifer mit Zugriff auf die Konsole (z. B. eine Person mit physischem Zugang oder eine Person, die per Remotedesktop-Sitzungshost eine Verbindung mit dem Gerät herstellen kann) wird der Name des zuletzt angemeldeten Benutzers angezeigt. Der Angreifer kann dann versuchen, sich durch Erraten des Kennworts, mithilfe eines Wörterbuchs oder mit einem Brute-Force-Angriff anzumelden.
Gegenmaßnahme
Aktivieren Sie die Einstellung Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen.
Mögliche Auswirkung
Benutzer müssen ihren Benutzernamen und ihr Kennwort immer eingeben, wenn sie sich lokal oder bei der Domäne anmelden. Die Anmeldekacheln für angemeldete Benutzer werden nicht angezeigt.