Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann beschrieben.
Referenzen
Diese Einstellung bestimmt, auf welche Registrierungspfade und -unterpfade zugegriffen werden kann, wenn eine Anwendung oder ein Prozess auf den Schlüssel WinReg verweist, um Zugriffsberechtigungen zu ermitteln.
Die Registrierung ist eine Datenbank für Gerätekonfigurationsdaten, darunter viele sensible Daten. Ein böswilliger Benutzer damit nicht autorisierte Aktivitäten vereinfachen. Die Wahrscheinlichkeit hierfür wird dadurch verringert, dass die Standard-ACLs, die in der gesamten Registrierung zugewiesen werden, relativ restriktiv sind und die Registrierung vor dem Zugriff durch nicht autorisierte Benutzer schützen.
Um den Remotezugriff zuzulassen, müssen Sie auch den Remoteregistrierungsdienst aktivieren.
Mögliche Werte
Benutzerdefinierte Liste von Pfaden
Nicht definiert
Bewährte Methoden
- Legen Sie diese Richtlinie auf einen Nullwert fest, indem Sie die Richtlinieneinstellung aktivieren, aber in das Textfeld keine Pfade eingeben. Für Remoteverwaltungsprogramme wie z. B. Microsoft Baseline Security Analyzer und Configuration Manager ist ein Remotezugriff auf die Registrierung erforderlich. Durch Entfernen der Standardregistrierungspfade aus der Liste der Pfade, auf die zugegriffen werden kann, kann es zu Fehlern bei diesen und anderen Verwaltungstools kommen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Siehe die folgende Registrierungsschlüsselkombination |
Effektive Standardeinstellungen für DC |
Siehe die folgende Registrierungsschlüsselkombination |
Effektive Standardeinstellungen für Mitgliedsserver |
Siehe die folgende Registrierungsschlüsselkombination |
Effektive Standardeinstellungen für Clientcomputer |
Siehe die folgende Registrierungsschlüsselkombination |
Die Kombination aller folgenden Registrierungsschlüssel gilt für die vorherigen Einstellungen:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Die Registrierung enthält sensible Gerätekonfigurationsinformationen, die von einem Angreifer zur Vereinfachung nicht autorisierter Aktivitäten verwendet werden könnten. Da die Standard-ACLs, die in der gesamten Registrierung zugewiesen werden, relativ restriktiv sind und die Registrierung vor dem Zugriff durch nicht autorisierte Benutzer schützen, wird das Risiko eines solchen Angriffs verringert.
Gegenmaßnahme
Konfigurieren Sie die Einstellung Netzwerkzugriff: Registrierungspfade und -unterpfade, auf die von anderen Computern aus zugegriffen werden kann auf einen Nullwert (aktivieren Sie die Einstellung, aber geben Sie in das Textfeld keine Pfade ein).
Mögliche Auswirkung
Remoteverwaltungsprogramme wie z. B. MBSA und Configuration Manager benötigen Remotezugriff auf die Registrierung, um diese Computer richtig zu überwachen und zu verwalten. Wenn Sie die Standardregistrierungspfade aus der Liste der Pfade, auf die zugegriffen werden kann, entfernen, kann es zu Fehlern bei diesen Remoteverwaltungsprogrammen kommen.
Hinweis
Wenn Sie den Remotezugriff zulassen möchten, müssen Sie auch den Remoteregistrierungsdienst aktivieren.