Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen beschrieben.
Referenzen
Diese Sicherheitseinstellung bestimmt, ob von der Anmeldeinformationsverwaltung Kennwörter und Anmeldeinformationen für die spätere Verwendung bei der Domänenauthentifizierung gespeichert werden.
Mögliche Werte
Aktiviert
Die Anmeldeinformationsverwaltung speichert keine Kennwörter und Anmeldeinformationen auf dem Gerät.
Deaktiviert
Von der Anmeldeinformationsverwaltung werden Kennwörter und Anmeldeinformationen zur späteren Verwendung bei der Domänenauthentifizierung auf diesem Computer gespeichert.
Nicht definiert
Bewährte Methoden
Es wird empfohlen, die Zwischenspeicherung von Anmeldeinformationen durch das Windows-Betriebssystem auf jedem Gerät, auf dem keine Anmeldeinformationen erforderlich sind, zu deaktivieren. Bewerten Sie Ihre Server und Arbeitsstationen, um die Anforderungen zu bestimmen. Die Zwischenspeicherung von Anmeldeinformationen ist in erster Linie zur Verwendung auf Laptops vorgesehen, für die Domänenanmeldeinformationen erforderlich sind, wenn sie von der Domäne getrennt werden.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Deaktiviert |
Standardrichtlinie für Domänencontroller |
Deaktiviert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Gruppenrichtlinien-Standardeinstellungen auf Clientcomputern |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Ein Neustart des Geräts ist erforderlich, damit diese Richtlinie wirksam wird, wenn Änderungen an dieser Richtlinie lokal gespeichert oder über eine Gruppenrichtlinie verteilt werden.
Gruppenrichtlinie
Diese Richtlinieneinstellung kann über die Gruppenrichtlinien-Verwaltungskonsole konfiguriert und über Gruppenrichtlinienobjekte verteilt werden. Wenn diese Richtlinie nicht in einem verteilten Gruppenrichtlinienobjekt enthalten ist, können Sie sie auf dem lokalen Computer mit dem Snap-In „Lokale Sicherheitsrichtlinie“ konfigurieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Auf zwischengespeicherte Kennwörter kann von Benutzern, die am Gerät angemeldet sind, zugegriffen werden. Diese Information mag offensichtlich klingen, doch es kann ein Problem auftreten, wenn der Benutzer unwissentlich Schadsoftware ausführt, die Kennwörter liest und diese an einen anderen, nicht autorisierten Benutzer weiterleitet.
Hinweis
Die Erfolgsaussichten für diesen Missbrauch sowie weitere Angriffe mit Schadsoftware werden in Unternehmen deutlich reduziert, die eine Unternehmensantivirenlösung, kombiniert mit sensiblen Richtlinien für Softwareeinschränkung, effektiv implementieren und verwalten.
Unabhängig davon, welcher Verschlüsselungsalgorithmus zum Verschlüsseln des Kennwortverifizierers verwendet wird, kann ein Kennwortverifizierer überschrieben werden, sodass sich ein Angreifer als der Benutzer, dem der Verifizierer gehört, authentifizieren kann. Daher kann das Kennwort des Administrators überschrieben werden. Bei dieser Vorgehensweise ist physischer Zugriff auf das Gerät erforderlich. Es gibt Dienstprogramme, mit denen der zwischengespeicherte Verifizierer überschrieben werden kann. Mithilfe eines dieser Dienstprogramme kann sich ein Angreifer durch Verwendung des überschriebenen Wertes authentifizieren.
Durch Überschreiben des Administratorkennworts kann der Angreifer mit diesem Kennwort nicht auf verschlüsselte Daten zugreifen. Ebenso kann der Angreifer durch Überschreiben des Kennworts nicht auf Daten des verschlüsselnden Dateisystems (Encrypting File System, EFS) zugreifen, die anderen Benutzern auf diesem Gerät gehören. Durch Überschreiben des Kennworts kann ein Angreifer den Verifizierer nicht ersetzen, da das grundlegende Schlüsselerstellungsmaterial falsch ist. Aus diesem Grund werden Daten, die mithilfe des verschlüsselnden Dateisystems (Encrypting File System, EFS) oder der Datenschutz-API (Data Protection API, DPAPI) verschlüsselt wurden, nicht entschlüsselt.
Gegenmaßnahme
Aktivieren Sie die Einstellung Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen.
Um die Anzahl der geänderten Domänenanmeldeinformationen einzuschränken, die auf dem Computer gespeichert sind, legen Sie den Registrierungseintrag cachedlogonscount fest. Standardmäßig nimmt das Betriebssystem eine Zwischenspeicherung des Verifizierers für die zehn letzten gültigen Anmeldungen jedes einzelnen Benutzers vor. Dieser Wert kann auf einen beliebigen Wert zwischen 0 und 50 festgelegt werden. Standardmäßig speichern alle Versionen des Windows-Betriebssystems zehn zwischengespeicherte Anmeldungen, ausgenommen Windows 2008 und höher, bei denen dieser Wert auf 25 festgelegt ist.
Wenn Sie versuchen, sich auf einem Windows-basierten Clientgerät bei einer Domäne anzumelden, und kein Domänencontroller verfügbar ist, erhalten Sie keine Fehlermeldung. Sie werden daher u. U. nicht bemerken, dass Sie mit zwischengespeicherten Anmeldeinformationen angemeldet sind. Sie können eine Anmeldungsbenachrichtigung festlegen, die zwischengespeicherte Domänenanmeldeinformationen mit dem Registrierungseintrag ReportDC verwendet.
Mögliche Auswirkung
Benutzer müssen ihr Kennwort jedes Mal eingeben, wenn sie sich bei ihrem Microsoft-Konto oder bei anderen Netzwerkressourcen anmelden, die für ihr Domänenkonto nicht zugänglich sind. Diese Richtlinieneinstellung sollte keine Auswirkung auf Benutzer haben, die auf Netzwerkressourcen zugreifen, welche so konfiguriert sind, dass der Zugriff mit ihrem Active Directory-basierten Domänenkonto zulässig ist.