Zugriff vom Netzwerk auf diesen Computer verweigern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Zugriff vom Netzwerk auf diesen Computer verweigern beschrieben.
Referenz
Diese Richtlinieneinstellung legt fest, welche Benutzer am Zugriff auf ein Gerät über das Netzwerk gehindert werden.
Konstante: SeDenyNetworkLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Gast
Bewährte Methoden
- Da bei allen Programmen der Active Directory-Domänendienste der Zugriff über eine Netzwerkanmeldung erfolgt, gehen Sie mit Bedacht vor, wenn Sie dieses Benutzerrecht für Domänencontroller zuweisen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung ist „Gast“ auf Domänencontrollern und eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Gast |
Standardeinstellungen für eigenständige Server |
Gast |
Effektive Standardeinstellungen für Domänencontroller |
Gast |
Effektive Standardeinstellungen für Mitgliedsserver |
Gast |
Effektive Standardeinstellungen für Clientcomputer |
Gast |
Richtlinienverwaltung
In diesem Abschnitt werden die Features und Tools beschrieben, mit denen diese Richtlinie verwaltet wird.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Diese Richtlinieneinstellung hat Vorrang gegenüber der Richtlinieneinstellung Auf diesen Computer vom Netzwerk aus zugreifen, wenn für ein Benutzerkonto beide Richtlinien gelten.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer, die sich über das Netzwerk am Gerät anmelden können, können Listen von Kontonamen, Gruppennamen und freigegebenen Ressourcen enumerieren. Benutzer mit der Berechtigung für den Zugriff auf freigegebene Ordner und Dateien können eine Verbindung über das Netzwerk herstellen und möglicherweise Daten anzeigen oder ändern.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Zugriff vom Netzwerk auf diesen Computer verweigern den folgenden Konten zu:
Anonyme Anmeldung
Integriertes lokales Administratorkonto
Lokales Gastkonto
Alle Dienstkonten
Eine wichtige Ausnahme von dieser Liste sind Dienstkonten zum Starten von Diensten, die über das Netzwerk eine Verbindung mit dem Gerät herstellen müssen. Angenommen, Sie haben einen freigegebenen Ordner für den Zugriff von Webservern konfiguriert, und Sie stellen die Inhalte in diesem Ordner über eine Website bereit. Sie müssen u. U. dem Konto für die Ausführung von IIS gestatten, sich aus dem Netzwerk beim Server mit dem freigegebenen Ordner anzumelden. Dieses Benutzerrecht ist besonders effektiv, wenn Sie Server und Arbeitsstationen konfigurieren müssen, auf denen in Erfüllung gesetzlicher Auflagen vertrauliche Informationen verarbeitet werden.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Zugriff vom Netzwerk auf diesen Computer verweigern für andere Konten konfigurieren, beschränken Sie u. U. die Fähigkeit von Benutzern, denen in Ihrer Umgebung bestimmte Administratorrollen zugewiesen sind. Sie sollten sich vergewissern, dass die zugewiesenen Aufgaben nicht beeinträchtigt werden.