Anmelden als Dienst
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anmelden als Dienst beschrieben.
Mit dieser Richtlinieneinstellung können Sie festlegen, welche Dienstkonten einen Prozess als Dienst registrieren können. Die Ausführung eines Prozesses unter einem Dienstkonto umgeht die Notwendigkeit für menschliche Eingriffe.
Konstante: SeServiceLogonRight
Benutzerdefinierte Liste von Konten
Nicht definiert
- Reduzieren Sie die Anzahl der Konten, denen dieses Benutzerrecht zugewiesen wird.
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Die standardmäßige Einstellung ist „Netzwerkdienste“ auf Domänencontrollern und eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Netzwerkdienst |
Effektive Standardeinstellungen für Mitgliedsserver |
Netzwerkdienst |
Effektive Standardeinstellungen für Clientcomputer |
Netzwerkdienst |
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Die Richtlinieneinstellung Anmelden als Dienst verweigern hat Vorrang vor dieser Richtlinieneinstellung, wenn für ein Benutzerkonto beide Richtlinien gelten.
Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge angewendet; hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Gerät überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Das Benutzerrecht Anmelden als Dienst gestattet es Konten, Netzwerkdienste oder Dienste zu starten, die kontinuierlich auf einem Computer ausgeführt werden, auch wenn niemand an der Konsole angemeldet ist. Da nur Benutzer mit Administratorrechten Dienste installieren und konfigurieren können, reduziert sich das Risiko. Ein Angreifer, der bereits über einen solch umfangreichen Zugriff verfügt, könnte den Dienst so konfigurieren, dass er unter dem lokalen Systemkonto ausgeführt wird.
Per Definition verfügt das Netzwerkdienstkonto über das Benutzerrecht Anmelden als Dienst. Dieses Recht wird nicht über die Gruppenrichtlinieneinstellung gewährt. Sie sollten die Anzahl der anderen Konten verringern, denen dieses Benutzerrecht zugewiesen wird.
Bei den meisten Computern besteht die Standardkonfiguration in der Beschränkung des Benutzerrechts Anmelden als Dienst auf die integrierten lokalen System- und Dienstkonten und Netzwerkdienstkonten und hat keine negativen Auswirkungen. Wenn Sie allerdings optionale Komponenten wie ASP.NET oder IIS installiert haben, müssen Sie das Benutzerrecht Anmelden als Dienst möglicherweise zusätzlichen Konten zuweisen, die von diesen Komponenten benötigt werden. IIS setzt voraus, dass dieses Benutzerrecht ausdrücklich ASP.NET-Benutzerkonten zugewiesen wird.