Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich beschrieben.
Referenz
Zum Entsperren eines gesperrten Geräts sind Anmeldeinformationen erforderlich. Die Richtlinieneinstellung Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich legt für Domänenkonten fest, ob eine Verbindung zu einem Domänencontroller hergestellt werden muss, um ein Gerät zu entsperren. Zum Aktivieren dieser Richtlinieneinstellung ist ein Domänencontroller erforderlich, um das Domänenkonto zu authentifizieren, mit dem das Gerät entsperrt werden soll. Ist diese Richtlinieneinstellung deaktiviert, kann ein Benutzer das Gerät entsperren, ohne dass der Computer die Anmeldeinformationen mit einem Domänencontroller überprüft. Wenn die Einstellung Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) jedoch auf einen höheren Wert als 0 festgelegt ist, wird das System mit den zwischengespeicherten Anmeldedaten des Benutzers entsperrt.
Die Anmeldedaten aller authentifizierten Benutzer werden vom Gerät lokal zwischengespeichert. Mit diesen zwischengespeicherten Anmeldedaten authentifiziert das Gerät alle Benutzer, die versuchen, die Konsole zu entsperren.
Werden zwischengespeicherte Anmeldedaten verwendet, werden alle Änderungen, die kürzlich am Konto durchgeführt wurden (z. B. Zuweisung von Benutzerrechten, Kontosperrungen oder -deaktivierungen), nach diesem Authentifizierungsvorgang nicht berücksichtigt bzw. angewendet. Zum einen werden also die Benutzerrechte nicht aktualisiert. Viel entscheidender ist jedoch, dass deaktivierte Konten nach wie vor die Systemkonsole entsperren können.
Es empfiehlt sich, Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich auf „Aktiviert“ und Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) auf 0 festzusetzen. Wenn die Konsole eines Geräts von einem Benutzer oder automatisch durch einen Bildschirmschoner gesperrt wurde, wird die Sperrung erst nach einer erfolgreichen erneuten Authentifizierung des Benutzers beim Domänencontroller aufgehoben. Wenn kein Domänencontroller verfügbar ist, können Benutzer ihre Geräte nicht entsperren.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Setzen Sie Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich auf „Aktiviert“ und Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) auf 0 fest. Wenn die Konsole eines Geräts von einem Benutzer oder automatisch durch einen Bildschirmschoner gesperrt wurde, wird die Sperrung erst nach einer erfolgreichen erneuten Authentifizierung des Benutzers beim Domänencontroller aufgehoben. Wenn kein Domänencontroller verfügbar ist, können Benutzer ihre Geräte nicht entsperren.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikt-Aspekte
Keine
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Die Anmeldedaten aller authentifizierten Benutzer werden standardmäßig vom Gerät lokal zwischengespeichert. Mit diesen zwischengespeicherten Anmeldedaten authentifiziert das Gerät alle Benutzer, die versuchen, die Konsole zu entsperren. Werden zwischengespeicherte Anmeldedaten verwendet, werden alle Änderungen, die kürzlich am Konto durchgeführt wurden (z. B. Zuweisung von Benutzerrechten, Kontosperrungen oder -deaktivierungen), nach der Authentifizierung des Kontos nicht berücksichtigt bzw. angewendet. Die Benutzerberechtigungen werden nicht aktualisiert, und die Konsole des Geräts lässt sich nach wie vor mit deaktivierten Konten entsperren.
Gegenmaßnahme
Setzen Sie Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich auf „Aktiviert“ und Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) auf 0 fest.
Mögliche Auswirkung
Wenn die Konsole eines Geräts von einem Benutzer oder automatisch durch einen Bildschirmschoner gesperrt wurde, wird die Sperrung erst nach einer erfolgreichen erneuten Authentifizierung des Benutzers beim Domänencontroller aufgehoben. Wenn kein Domänencontroller verfügbar ist, können Benutzer ihre Arbeitsstationen nicht entsperren. Wenn Sie die Einstellung für Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) auf 0 setzen, können sich Benutzer, deren Domänencontroller nicht verfügbar sind (z. B. bei mobilen oder Remotebenutzern), nicht anmelden.