Erstellen eines Profils der Systemleistung
Im vorliegenden Referenzthema zu Sicherheitsrichtlinien für IT-Spezialisten werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für Richtlinieneinstellung Erstellen eines Profils der Systemleistung beschrieben.
Referenzen
Diese Sicherheitseinstellung bestimmt, welche Benutzer Windows-Leistungsüberwachungstools verwenden können, um die Leistung der Systemprozesse zu überwachen.
Konstante: SeSystemProfilePrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Administratoren
Nicht definiert
Bewährte Methoden
- Stellen Sie sicher, dass das Benutzerrecht Erstellen eines Profils der Systemleistung nur der lokalen Administratorgruppe zugewiesen ist.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Auf Domänencontrollern und eigenständigen Servern lautet die standardmäßige Einstellung „Administratoren“.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren |
Standardeinstellungen für eigenständige Server |
Administratoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Abhängig von Ihrer Windows-Version und der Umgebung müssen Sie dieses Recht dem lokalen Systemkonto oder dem lokalen Dienstkonto hinzufügen, wenn bei der Verwendung des Administratorkontos Zugriffsfehler auftreten.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Das Benutzerrecht Erstellen eines Profils der Systemleistung stellt ein moderates Sicherheitsrisiko dar. Angreifer mit diesem Benutzerrecht können die Leistung des Computers überwachen, um wichtige Prozesse zu identifizieren, die sie direkt angreifen möchten. Angreifer können möglicherweise ermitteln, welche Prozesse auf dem Computer ausgeführt werden, um Gegenmaßnahmen zu identifizieren, die sie umgehen müssen, z. B. Antivirensoftware oder ein System zur Erkennung von Netzwerkangriffen.
Gegenmaßnahme
Stellen Sie sicher, dass das Benutzerrecht Erstellen eines Profils der Systemleistung nur der lokalen Administratorgruppe zugewiesen ist.
Mögliche Auswirkung
Keine. Die Beschränkung des Benutzerrechts Erstellen eines Profils der Systemleistung auf die lokale Administratorengruppe ist die Standardkonfiguration.