Konten: Administratorkontostatus

  • Artikel

Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Konten: Administratorkontostatus beschrieben.

Referenzen

Mit dieser Sicherheitseinstellung legen Sie fest, ob das lokale Administratorkonto aktiviert oder deaktiviert ist.

Wenn Sie versuchen, das Administratorkonto zu aktivieren, nachdem es deaktiviert wurde, und das aktuelle Administratorkennwort die Kennwortanforderungen nicht erfüllt, können Sie das Konto nicht aktivieren. In diesem Fall muss ein anderes Mitglied der Gruppe „Administratoren“ das Kennwort des Administratorkontos zurücksetzen.

Wenn Sie diese Richtlinieneinstellung deaktivieren und eine der folgenden Bedingungen auf dem Computer zutrifft, wird das Administratorkonto nicht deaktiviert.

  1. Es ist kein anderes lokales Administratorkonto vorhanden.

  2. Das Administratorkonto wird derzeit verwendet.

  3. Alle anderen lokalen Administratorkonten sind:

    1. Deaktiviert

    2. In der Liste der zugewiesenen Benutzerrechte unter Lokal anmelden verweigern aufgeführt

Wenn das aktuelle Administratorkennwort die Kennwortanforderungen nicht erfüllt, können Sie das deaktivierte Administratorkonto nicht erneut aktivieren. In diesem Fall muss ein anderes Mitglied der Gruppe „Administratoren“ das Kennwort des Administratorkontos festlegen.

Mögliche Werte

  • Aktiviert

  • Deaktiviert

  • Nicht definiert

Auf Domänencontrollern wird standardmäßig die Einstellung Nicht definiert und auf eigenständigen Servern die Einstellung Aktiviert verwendet.

Bewährte Methoden

  • Das Deaktivieren des Administratorkontos kann bei der Wartung unter bestimmten Umständen zu Problemen führen. Beispiel: Wenn in einer Domänenumgebung der sichere Kanal Ihrer Verbindung aus irgendeinem Grund ausfällt und kein anderes lokales Administratorkonto vorhanden ist, müssen Sie den Computer im abgesicherten Modus neu starten, um das Verbindungsproblem zu beheben.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Nicht definiert

Standardeinstellungen für eigenständige Server

Aktiviert

Effektive Standardeinstellungen für DC

Aktiviert

Effektive Standardeinstellungen für Mitgliedsserver

Aktiviert

Effektive Standardeinstellungen für Clientcomputer

Deaktiviert

 

Richtlinienverwaltung

Das Deaktivieren des Administratorkontos kann bei der Wartung unter bestimmten Umständen zu Problemen führen. Eine Organisation kann das integrierte Administratorkonto aus folgenden Gründen deaktivieren:

  • Für einige Organisationen kann das regelmäßige Ändern der Kennwörter für lokale Konten verwaltungstechnisch eine Herausforderung sein.

  • Standardmäßig kann das Administratorkonto nicht gesperrt werden, egal, wie oft die Anmeldeversuche der Benutzer fehlschlagen. Dies macht es zu einem primären Ziel von Brute-Force-Angriffen, bei denen versucht wird, Kennwörter zu erraten.

  • Dieses Konto besitzt eine allgemein bekannte Sicherheits-ID (SID). Mit einigen Nicht-Microsoft-Tools können Sie sich durch Angabe der SID anstelle des Kontonamens über das Netzwerk authentifizieren. Selbst wenn Sie das Administratorkonto umbenennen, könnte somit ein böswilliger Benutzer mithilfe der SID einen Brute-Force-Angriff starten.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Überlegungen zum abgesicherten Modus

Wenn Sie ein Gerät im abgesicherten Modus starten, wird das deaktivierte Administratorkonto nur aktiviert, wenn der Computer keiner Domäne angehört und keine anderen aktiven lokalen Administratorkonten vorhanden sind. Wenn der Computer Mitglied einer Domäne ist, wird das deaktivierte Administratorkonto nicht aktiviert.

Wenn das Administratorkonto deaktiviert ist, können Sie mit den aktuellen Anmeldeinformationen des Administrators weiterhin im abgesicherten Modus auf den Computer zugreifen. Beispiel: Wenn bei einem Computer, der Mitglied einer Domäne ist, ein sicherer Verbindungskanal ausfällt und kein anderes lokales Administratorkonto vorhanden ist, müssen Sie das Gerät im abgesicherten Modus neu starten, um den Fehler zu beheben.

Zugriff auf ein deaktiviertes Administratorkonto

Sie können mit einer der folgenden Methoden auf ein deaktiviertes Administratorkonto zugreifen:

  • Wenn nur ein lokales Administratorkonto deaktiviert ist, starten Sie das Gerät im abgesicherten Modus (lokal oder über ein Netzwerk). Melden Sie sich anschließend mit den Anmeldeinformationen für das Administratorkonto auf dem Computer an.

  • Wenn neben dem integrierten Konto auch lokale Administratorkonten vorhanden sind, starten Sie den Computer im abgesicherten Modus (lokal oder über ein Netzwerk). Melden Sie sich anschließend mit den Anmeldeinformationen für das Administratorkonto auf dem Gerät an. Alternativ können Sie sich mit einem anderen lokalen Administratorkonto, das erstellt wurde, bei Windows anmelden.

  • Wenn auf mehreren Servern, die Mitglied einer Domäne sind, ein lokales Administratorkonto deaktiviert ist, das im abgesicherten Modus zugänglich ist, können Sie PSExec remote mit folgendem Befehl ausführen: net user administrator /active: no.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Das integrierte Administratorkonto kann nicht gesperrt werden, egal, wie viele Anmeldeversuche fehlschlagen. Dadurch wird es zu einem primären Ziel für Brute-Force-Angriffe, bei denen versucht wird, Kennwörter zu erraten. Zudem verfügt dieses Konto über eine allgemein bekannte Sicherheits-ID (SID). Es gibt Nicht-Microsoft-Tools, mit denen die Authentifizierung mit der SID anstelle des Kontonamens möglich ist. Selbst wenn Sie das Administratorkonto umbenennen, könnte somit ein Angreifer mithilfe der SID einen Brute-Force-Angriff starten, um sich anzumelden. Bei allen anderen Konten, die Mitglieder der Gruppe des Administrators sind, wird das Konto bei einer Überschreitung des festgelegten Schwellenwert für fehlgeschlagene Anmeldungen gesperrt.

Gegenmaßnahme

Deaktivieren Sie die Einstellung Konten: Administratorkontostatus, sodass das integrierte Administratorkonto bei einem normalen Systemstart nicht verwendet werden kann.

Wenn das regelmäßige Ändern der Kennwörter lokaler Konten eine Schwierigkeit darstellt, können Sie das integrierte Administratorkonto deaktivieren. Der Schutz des Kontos hängt auf diese Weise nicht von regelmäßigen Kennwortänderungen ab.

Mögliche Auswirkung

Wenn Sie das Administratorkonto deaktivieren, können unter bestimmten Umständen Wartungsprobleme auftreten. Beispiel: Wenn der sichere Kanal zwischen einem Mitgliedscomputer und dem Domänencontroller aus irgendeinem Grund in einer Domänenumgebung ausfällt und kein anderes lokales Administratorkonto vorhanden ist, müssen Sie den Computer im abgesicherten Modus neu starten, um das Verbindungsproblem zu beheben.

Wenn das aktuelle Administratorkennwort nicht den Kennwortanforderungen entspricht, können Sie das deaktivierte Administratorkonto nicht aktivieren. In diesem Fall muss ein anderes Mitglied der Gruppe „Administratoren“ das Kennwort des Administratorkontos festlegen.

Verwandte Themen

Sicherheitsoptionen