Entfernen des Computers von der Dockingstation
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Entfernen des Computers von der Dockingstation beschrieben.
Referenzen
Mit dieser Sicherheitseinstellung wird festgelegt, ob ein Benutzer ein tragbares Gerät aus der Dockingstation herausnehmen kann, ohne sich anzumelden. Diese Richtlinieneinstellung betrifft nur Szenarien mit einem tragbaren Computer und zugehöriger Dockingstation.
Wenn dieses Benutzerrecht dem Benutzerkonto zugewiesen ist (oder der Benutzer Mitglied der zugewiesenen Gruppe ist), muss sich der Benutzer anmelden, bevor er das tragbare Gerät aus der Dockingstation ausdockt. Andernfalls kann sich der Benutzer aus Sicherheitsgründen nicht anmelden, nachdem das Gerät aus der Dockingstation genommen wurde. Wenn diese Richtlinie nicht zugewiesen ist, kann der Benutzer das tragbare Gerät aus der Dockingstation herausnehmen, ohne sich anzumelden. Außerdem kann er das Gerät starten und sich anmelden, während er ausgedockt ist.
Konstante: SeUndockPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Weisen Sie dieses Benutzerrecht nur den Konten zu, die zur Verwendung des tragbaren Geräts berechtigt sind.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Obwohl dieses Szenario für tragbare Geräte normalerweise nicht für Server gilt, ist diese Einstellung standardmäßig Administratoren auf Domänencontrollern und eigenständigen Servern zugänglich.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren |
Standardeinstellungen für eigenständige Server |
Administratoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jeder mit dem Benutzerrecht Entfernen des Computers von der Dockingstation kann sich anmelden und ein tragbares Gerät aus seiner Dockingstation entfernen. Wird diese Einstellung nicht definiert, hat dies dieselbe Wirkung, als würde jeder über dieses Recht verfügen. Der Nutzen, den Implementierung dieser Gegenmaßnahme bringt, wird jedoch durch die folgenden Faktoren beeinträchtigt:
Wenn Angreifer das Gerät neu starten können, könnten es ihn nach dem Start des BIOS, aber vor dem Start des Betriebssystems aus der Dockingstation herausnehmen.
Diese Einstellung wirkt sich nicht auf Server aus, da sie üblicherweise nicht in Dockingstations eingesetzt sind.
Ein Angreifer könnte Gerät und Dockingstation zusammen entwenden.
Mechanisch entfernbare Geräte können vom Benutzer physisch entfernt werden, wobei es keine Rolle spielt, ob die Windows-Funktion zum Entfernen verwendet wird.
Gegenmaßnahme
Stellen Sie sicher, dass nur der lokalen Administratorgruppe und dem Benutzerkonto, dem das Gerät zugeordnet ist, das Benutzerrecht Entfernen des Computers von der Dockingstation zugewiesen wird.
Mögliche Auswirkung
Dieses Recht wird standardmäßig nur Mitgliedern der lokalen Administratorgruppe gewährt. Das Benutzerrecht muss anderen Benutzerkonten nach Bedarf explizit gewährt werden. Sind Benutzer in Ihrer Organisation auf ihren tragbaren Geräten nicht Mitglied der lokalen Administratorgruppe, können sie ihre tragbaren Geräte erst aus der Dockingstation entfernen, nachdem sie das Gerät heruntergefahren haben. Daher empfiehlt es sich, die Berechtigung Entfernen des Computers von der Dockingstation der lokalen Benutzergruppe für tragbare Geräte zuzuweisen.