Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann beschrieben.
Referenzen
Diese Einstellung bestimmt, auf welche Registrierungspfade zugegriffen werden kann, wenn eine Anwendung oder ein Prozess auf den Schlüssel WinReg verweist, um Zugriffsberechtigungen zu ermitteln.
Die Registrierung ist eine Datenbank für Gerätekonfigurationsdaten, darunter viele sensible Daten. Ein böswilliger Benutzer kann die Registrierung verwenden, um nicht autorisierte Aktivitäten zu vereinfachen. Um das Risiko hierfür zu verringern, werden in der gesamten Registrierung geeignete Zugriffssteuerungslisten (Access Control Lists, ACLs) zugewiesen, die die Registrierung vor dem Zugriff durch nicht autorisierte Benutzer schützen.
Um den Remotezugriff zuzulassen, müssen Sie auch den Remoteregistrierungsdienst aktivieren.
Mögliche Werte
Benutzerdefinierte Liste von Pfaden
Nicht definiert
Bewährte Methoden
- Legen Sie diese Richtlinie auf einen NULL-Wert fest, indem Sie die Richtlinieneinstellung aktivieren, aber in das Textfeld keine Pfade eingeben. Für Remoteverwaltungsprogramme wie z. B. Microsoft Baseline Security Analyzer und Configuration Manager ist ein Remotezugriff auf die Registrierung erforderlich. Durch Entfernen der Standardregistrierungspfade aus der Liste der Pfade, auf die zugegriffen werden kann, kann es zu Fehlern bei diesen und anderen Verwaltungstools kommen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Siehe die folgende Registrierungsschlüsselkombination |
Effektive Standardeinstellungen für DC |
Siehe die folgende Registrierungsschlüsselkombination |
Effektive Standardeinstellungen für Mitgliedsserver |
Siehe die folgende Registrierungsschlüsselkombination |
Effektive Standardeinstellungen für Clientcomputer |
Siehe die folgende Registrierungsschlüsselkombination |
Die Kombination aller folgenden Registrierungsschlüssel gilt für die vorherigen Einstellungen:
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein Angreifer könnte Informationen in der Registrierung verwenden, um nicht autorisierte Aktivitäten zu vereinfachen. Um das Risiko eines solchen Angriffs zu verringern, werden in der gesamten Registrierung geeignete ACLs zugewiesen, um die Registrierung vor dem Zugriff durch nicht autorisierte Benutzer zu schützen.
Gegenmaßnahme
Konfigurieren Sie die Einstellung Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann auf einen NULL-Wert (aktivieren Sie die Einstellung, aber geben Sie in das Textfeld keine Pfade ein).
Mögliche Auswirkung
Remoteverwaltungsprogramme wie z. B. Microsoft Baseline Security Analyzer (MBSA) und Configuration Manager benötigen Remotezugriff auf die Registrierung, um diese Computer richtig zu überwachen und zu verwalten. Wenn Sie die Standardregistrierungspfade aus der Liste der Pfade, auf die zugegriffen werden kann, entfernen, kann es zu Fehlern bei diesen Remoteverwaltungsprogrammen kommen.
Hinweis
Wenn Sie den Remotezugriff zulassen möchten, müssen Sie auch den Remoteregistrierungsdienst aktivieren.