Erzwingen des Herunterfahrens von einem Remotesystem aus
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Erzwingen des Herunterfahrens von einem Remotesystem aus beschrieben.
Referenz
Diese Einstellung bestimmt, welche Benutzer ein Gerät von einem Remotestandort im Netzwerk aus herunterfahren dürfen. Dadurch wird Mitgliedern der Gruppe „Administratoren“ oder bestimmten Benutzern das Verwalten von Computern (für Aufgaben wie einen Neustart) von einem Remotestandort aus gestattet.
Konstante: SeRemoteShutdownPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Administratoren
Bewährte Methoden
- Beschränken Sie dieses Benutzerrecht direkt auf Mitglieder der Gruppe „Administratoren“ oder sonstige speziell zugewiesenen Rollen, die diese Fähigkeit benötigen (z. B. Mitarbeiter ohne administrative Aufgaben).
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung ist „Administratoren“ und „Serveroperatoren“ bei Domänencontrollern und „Administratoren“ bei eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Serveroperatoren |
Standardeinstellungen für eigenständige Server |
Administratoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren Serveroperatoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Diese Einstellung muss auf den Computer angewendet werden, auf den remote zugegriffen wird.
Gruppenrichtlinie
Dieses Benutzerrecht wird im Gruppenrichtlinienobjekt (GPO) für den Standarddomänencontroller sowie in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jeder Benutzer, der ein Gerät herunterfahren darf, kann einen Denial-of-Service-Zustand verursachen. Daher sollte diese Berechtigung strikt beschränkt werden.
Gegenmaßnahme
Beschränken Sie das Benutzerrecht Erzwingen des Herunterfahrens von einem Remotesystem aus auf Mitglieder der Gruppe „Administratoren“ oder sonstige speziell zugewiesene Rollen, die diese Fähigkeit benötigen, z. B. Mitarbeiter ohne administrative Aufgaben.
Mögliche Auswirkung
Wenn Sie auf einem Domänencontroller der Gruppe „Serveroperatoren“ das Benutzerrecht Erzwingen des Herunterfahrens von einem Remotesystem aus entziehen, beschränken Sie u. U. die Fähigkeiten von Benutzern, denen in Ihrer Umgebung bestimmte Administratorrollen zugewiesen sind. Sie müssen sich vergewissern, dass delegierte Aktivitäten nicht beeinträchtigt werden.