Konten: Gastkontenstatus
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Konten: Gastkontenstatus beschrieben.
Referenzen
Mit der Richtlinieneinstellung Konten: Gastkontenstatus aktivieren oder deaktivieren Sie das Gastkonto.
Mit diesem Konto erhalten nicht authentifizierte Netzwerkbenutzer Zugriff auf das System, indem sie sich ohne Kennwort als Gast anmelden. Nicht autorisierte Benutzer können auf alle Ressourcen zugreifen, die über das Netzwerk für das Gastkonto zugänglich sind. Dies bedeutet, dass alle im Netzwerk freigegebenen Ordnern mit Zugriffsberechtigungen für das Gastkonto oder die Gruppen „Gäste“ und „Jeder“ über das Netzwerk zugänglich sind. Dies kann zur Offenlegung oder Beschädigung von Daten führen.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
Deaktivieren Sie die Option Konten: Gastkontenstatus, sodass das integrierte Gastkonto nicht mehr verwendet werden kann. Allen Netzwerkbenutzern müssen sich authentifizieren, um auf gemeinsam genutzte Ressourcen im System zugreifen zu können. Wenn das Gastkonto deaktiviert und Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten auf Nur Gast gesetzt ist, sind keine Netzwerkanmeldungen – beispielsweise vom SMB-Dienst – möglich.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Über das Standardgastkonto können sich nicht authentifizierte Netzwerkbenutzer ohne Kennwort als Gast anmelden. Diese nicht autorisierten Benutzer könnten auf alle Ressourcen zugreifen, die über das Netzwerk für das Gastkonto zugänglich sind. Dies bedeutet, dass alle freigegebenen Ordner mit Zugriffsberechtigungen auf das Gastkonto oder die Gruppen „Gäste“ und „Jeder“ über das Netzwerk zugänglich sind. Dies kann zur Offenlegung oder Beschädigung von Daten führen.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Konten: Gastkontenstatus, sodass das integrierte Gastkonto nicht verwendet werden kann.
Mögliche Auswirkung
Allen Netzwerkbenutzer müssen sich authentifizieren, um auf gemeinsam genutzte Ressourcen zugreifen zu können. Wenn Sie das Gastkonto deaktivieren und die Option Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten auf Nur Gast gesetzt ist, sind keine Netzwerkanmeldungen, beispielsweise durch den Microsoft-Netzwerkserver (SMB-Dienst) möglich. Diese Richtlinieneinstellung sollte auf den Großteil der Organisationen kaum Auswirkungen haben, da dies die Standardeinstellung unter Windows Vista und Windows Server 2003 ist.