Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen beschrieben.
Referenzen
Diese Sicherheitseinstellung bestimmt, ob die Verbindungen von Benutzern, die außerhalb der gültigen Anmeldezeiten des Benutzerkontos mit dem lokalen Gerät verbunden sind, getrennt werden. Diese Einstellung betrifft die SMB (Server Message Block)-Komponente.
Diese Richtlinieneinstellung gilt nicht für Administratorkonten, sie verhält sich jedoch wie eine Kontorichtlinie. Für Domänenkonten kann nur eine Kontorichtlinie verwendet werden. Die Kontorichtlinie muss in der Standarddomänenrichtlinie definiert werden und wird von den Domänencontrollern der Domäne erzwungen. Ein Domänencontroller verwendet immer die Kontorichtlinie aus dem Gruppenrichtlinienobjekt der Standarddomänenrichtlinie. Dies gilt auch dann, wenn eine andere Kontorichtlinie auf die Organisationseinheit angewendet wird, in der der Domänencontroller enthalten ist. Standardmäßig erhalten auch Arbeitsstationen und Server, die einer Domäne angehören (z. B. Mitgliedsgeräte), dieselbe Kontorichtlinie für ihre lokalen Konten. Wenn eine Kontorichtlinie für die Organisationseinheit mit den Mitgliedsgeräten definiert wird, können sich die lokalen Kontorichtlinien für Mitgliedsgeräte jedoch von der Domänenkontorichtlinie unterscheiden. Kerberos-Einstellungen werden nicht auf Mitgliedsgeräten angewendet.
Mögliche Werte
Aktiviert
Wenn diese Richtlinie aktiviert ist, werden Clientverbindungen mit dem SMB-Server bei einer Überschreitung der Anmeldezeit des Clients zwangsweise getrennt.
Deaktiviert
Wenn diese Richtlinie deaktiviert ist, kann eine eingerichtete Clientsitzung außerhalb der Anmeldezeiten des Clients aufrecht erhalten werden.
Nicht definiert
Bewährte Methoden
- Legen Sie für Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen die Option „Aktiviert“ fest. Wenn die Anmeldezeit eines Benutzers abläuft, werden SMB-Sitzungen auf Mitgliedsservern beendet, und der Benutzer kann sich bis zur nächsten geplanten Zugriffszeit nicht mehr beim System anmelden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Deaktiviert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer mit dem Computer außerhalb ihrer vorgesehenen Anmeldezeiten verbunden bleiben.
Gegenmaßnahme
Aktivieren Sie die Einstellung Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen. Diese Richtlinieneinstellung gilt nicht für Administratorkonten.
Mögliche Auswirkung
Wenn die Anmeldezeit eines Benutzers abläuft, werden SMB-Sitzungen beendet. Der Benutzer kann sich bis zur nächsten geplanten Zugriffszeit nicht am Gerät anmelden.