Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) beschrieben.
Referenz
Die Richtlinieneinstellung Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)) legt fest, ob ein Benutzer sich mit zwischengespeicherten Kontoinformationen bei einer Windows-Domäne anmelden kann. Anmeldeinformationen für Domänenkonten können lokal zwischengespeichert werden, damit sich ein Benutzer auch dann anmelden kann, wenn bei aufeinanderfolgenden Anmeldeversuchen keine Verbindung mit dem Domänencontroller hergestellt werden kann. Diese Richtlinieneinstellung legt die Anzahl an eindeutigen Benutzern fest, deren Anmeldeinformationen lokal zwischengespeichert werden.
Wenn ein Domänencontroller nicht verfügbar ist und die Anmeldeinformationen eines Benutzers zwischengespeichert wurden, wird dem Benutzer die folgende Nachricht angezeigt:
Mit einem Domänencontroller für Ihre Domäne konnte keine Verbindung hergestellt werden. Sie wurden mit zwischengespeicherten Informationen angemeldet. Änderungen, die seit Ihrer letzten Anmeldung an Ihrem Profil vorgenommen wurden, sind möglicherweise nicht verfügbar.
Wenn ein Domänencontroller nicht verfügbar ist und die Anmeldeinformationen eines Benutzers nicht zwischengespeichert wurden, wird dem Benutzer die folgende Nachricht angezeigt:
Das System kann Sie jetzt nicht anmelden, da die Domäne DOMAIN NAME nicht verfügbar ist.
Der Wert dieser Richtlinieneinstellung gibt die Anzahl der Benutzer an, deren Anmeldeinformationen lokal auf dem Server zwischengespeichert werden. Wenn der Wert auf 10 festgesetzt ist, werden die Anmeldeinformationen von 10 Benutzern auf dem Server zwischengespeichert. Wenn sich ein 11. Benutzer am Gerät anmeldet, überschreibt der Server die älteste zwischengespeicherte Anmeldesitzung.
Die Anmeldedaten von Benutzern, die auf die Serverkonsole zugreifen, werden auf diesem Server zwischengespeichert. Ein bösartiger Benutzer, der auf das Dateisystem des Servers zugreifen kann, ist in der Lage, in Besitz dieser zwischengespeicherten Informationen zu gelangen und mit einem Brute-Force-Angriff Benutzerkennwörter herauszufinden. Windows senkt das Risiko derartiger Angriffe durch die Verschlüsselung der Informationen und die Speicherung der zwischengespeicherten Anmeldedaten in den Systemregistrierungen, die sich auf viele physische Speicherorte verteilen.
Mögliche Werte
Eine benutzerdefinierte Zahl von 0 bis 50
Nicht definiert
Bewährte Methoden
Wir empfehlen, den Wert für Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) auf 0 zu setzen. Wenn dieser Wert auf 0 festgelegt wird, wird die lokale Zwischenspeicherung von Anmeldeinformationen deaktiviert. Als zusätzliche Gegenmaßnahmen bieten sich u. a. die Durchsetzung strikter Kennwortrichtlinien und die physische Sicherung der Computer an. Wenn der Wert auf 0 gesetzt ist, können sich Benutzer nur bei einem Computer anmelden, wenn ein Domänencontroller zur Authentifizierung verfügbar ist. Für Endbenutzersysteme und insbesondere für mobile Benutzer empfehlen wir Unternehmen, den Wert für Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) auf 2 zu setzen. Der Wert 2 bedeutet, dass die Anmeldeinformationen eines Benutzers auch dann noch im Zwischenspeicher enthalten sind, wenn ein Mitarbeiter der IT-Abteilung sich kürzlich auf seinem Gerät angemeldet hatte, um eine Systemwartung durchzuführen. Auf diese Weise können sich die Benutzer bei ihren Geräten anmelden, wenn sie nicht mit dem Unternehmensnetzwerk verbunden sind.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
10 Anmeldungen |
Effektive Standardeinstellungen für DC |
10 Anmeldungen |
Effektive Standardeinstellungen für Mitgliedsserver |
10 Anmeldungen |
Effektive Standardeinstellungen für Clientcomputer |
10 Anmeldungen |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Richtlinienkonflikt-Aspekte
Keine
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Die Zahl, die dieser Richtlinieneinstellung zugewiesen wird, gibt die Anzahl der Benutzer an, deren Anmeldeinformationen lokal von den Servern zwischengespeichert werden. Wenn die Anzahl auf 10 festgelegt ist, speichert der Server die Anmeldeinformationen für 10 Benutzer. Wenn sich ein 11. Benutzer am Gerät anmeldet, überschreibt der Server die älteste zwischengespeicherte Anmeldesitzung.
Die Anmeldedaten von Benutzern, die auf die Serverkonsole zugreifen, werden auf diesem Server zwischengespeichert. Ein Angreifer, der auf das Dateisystem des Servers zugreifen kann, ist in der Lage, in Besitz dieser zwischengespeicherten Informationen zu gelangen und mit einem Brute-Force-Angriff Benutzerkennwörter herauszufinden.
Um derartige Angriffe zu verhindern, verschlüsselt Windows die Informationen und verdeckt den physischen Speicherort.
Gegenmaßnahme
Legen Sie den Wert für Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) auf 0 fest, um die lokale Zwischenspeicherung von Anmeldeinformationen zu deaktivieren. Als zusätzliche Gegenmaßnahmen bieten sich u. a. die Durchsetzung strikter Kennwortrichtlinien und die physische Sicherung der Computer an.
Mögliche Auswirkung
Benutzer können sich nur bei einem Gerät anmelden, wenn ein Domänencontroller zur Authentifizierung verfügbar ist. Unternehmen können diesen Wert für Endbenutzer-Computer und insbesondere für mobile Benutzer auf 2 setzen. Der Wert 2 bedeutet, dass die Anmeldeinformationen eines Benutzers auch dann noch im Zwischenspeicher enthalten sind, wenn ein Mitarbeiter der IT-Abteilung sich kürzlich auf dem Gerät angemeldet hatte, um eine Systemwartung durchzuführen. Mit dieser Methode können sich Benutzer bei ihren Computern anmelden, wenn sie nicht mit dem Unternehmensnetzwerk verbunden sind.