Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann beschrieben.

Referenzen

Diese Einstellung bestimmt, auf welche Registrierungspfade zugegriffen werden kann, wenn eine Anwendung oder ein Prozess auf den Schlüssel WinReg verweist, um Zugriffsberechtigungen zu ermitteln.

Die Registrierung ist eine Datenbank für Gerätekonfigurationsdaten, darunter viele sensible Daten. Ein böswilliger Benutzer kann die Registrierung verwenden, um nicht autorisierte Aktivitäten zu vereinfachen. Um das Risiko hierfür zu verringern, werden in der gesamten Registrierung geeignete Zugriffssteuerungslisten (Access Control Lists, ACLs) zugewiesen, die die Registrierung vor dem Zugriff durch nicht autorisierte Benutzer schützen.

Um den Remotezugriff zuzulassen, müssen Sie auch den Remoteregistrierungsdienst aktivieren.

Mögliche Werte

• Benutzerdefinierte Liste von Pfaden

• Nicht definiert

Bewährte Methoden

• Legen Sie diese Richtlinie auf einen NULL-Wert fest, indem Sie die Richtlinieneinstellung aktivieren, aber in das Textfeld keine Pfade eingeben. Für Remoteverwaltungsprogramme wie z. B. Microsoft Baseline Security Analyzer und Configuration Manager ist ein Remotezugriff auf die Registrierung erforderlich. Durch Entfernen der Standardregistrierungspfade aus der Liste der Pfade, auf die zugegriffen werden kann, kann es zu Fehlern bei diesen und anderen Verwaltungstools kommen.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Die Kombination aller folgenden Registrierungsschlüssel gilt für die vorherigen Einstellungen:

1. System\CurrentControlSet\Control\ProductOptions

2. System\CurrentControlSet\Control\Server Applications

3. Software\Microsoft\Windows NT\CurrentVersion

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Ein Angreifer könnte Informationen in der Registrierung verwenden, um nicht autorisierte Aktivitäten zu vereinfachen. Um das Risiko eines solchen Angriffs zu verringern, werden in der gesamten Registrierung geeignete ACLs zugewiesen, um die Registrierung vor dem Zugriff durch nicht autorisierte Benutzer zu schützen.

Gegenmaßnahme

Konfigurieren Sie die Einstellung Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann auf einen NULL-Wert (aktivieren Sie die Einstellung, aber geben Sie in das Textfeld keine Pfade ein).

Mögliche Auswirkung

Remoteverwaltungsprogramme wie z. B. Microsoft Baseline Security Analyzer (MBSA) und Configuration Manager benötigen Remotezugriff auf die Registrierung, um diese Computer richtig zu überwachen und zu verwalten. Wenn Sie die Standardregistrierungspfade aus der Liste der Pfade, auf die zugegriffen werden kann, entfernen, kann es zu Fehlern bei diesen Remoteverwaltungsprogrammen kommen.

Hinweis  

Wenn Sie den Remotezugriff zulassen möchten, müssen Sie auch den Remoteregistrierungsdienst aktivieren.

Verwandte Themen

Sicherheitsoptionen