Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken beschrieben.
Referenz
Diese Richtlinieneinstellung bestimmt, ob eine CD für lokale Benutzer und Remotebenutzer gleichzeitig zugänglich ist. Wenn Sie diese Einstellung aktivieren, können nur interaktiv angemeldete Benutzer auf CD-Wechselmedien zugreifen. Wenn diese Einstellung aktiviert und kein Benutzer interaktiv angemeldet ist, kann über das Netzwerk auf die CD zugegriffen werden.
Der Sicherheitsvorteil durch Aktivieren dieser Richtlinieneinstellung ist gering, da der Zugriff von Netzwerkbenutzern auf das Laufwerk nur verhindert wird, wenn ein Benutzer gleichzeitig an der lokalen Konsole des Systems angemeldet ist. Darüber hinaus werden CD-Laufwerke nicht automatisch als freigegebene Netzlaufwerke verfügbar gemacht. Sie müssen das betreffende Laufwerk explizit freigeben. Dies ist wichtig, wenn Administratoren Software von einer CD installieren oder Daten von einer CD kopieren und Netzwerkbenutzer nicht in der Lage sein sollen, die Anwendungen auszuführen oder die Daten einzusehen.
Wenn diese Richtlinieneinstellung aktiviert ist, können Benutzer, die über das Netzwerk eine Verbindung mit dem Server herstellen, keine auf dem Server installierten CD-Laufwerke verwenden, wenn eine Person an der lokalen Konsole auf dem Server angemeldet ist. Das Aktivieren dieser Richtlinieneinstellung empfiehlt sich nicht für ein System, das als CD-Jukebox für Netzwerkbenutzer fungiert.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Bewährte Methoden hängen von Ihren Sicherheitsanforderungen und der benötigten Zugänglichkeit von CD-Laufwerken ab.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein Remotebenutzer kann potenziell auf eine bereitgestellte CD mit vertraulichen Informationen zugreifen. Das Risiko ist gering, da CD-Laufwerke nicht automatisch als freigegebene Laufwerke verfügbar gemacht werden. Sie müssen das Laufwerk explizit freigeben. Sie können jedoch Benutzern im Netzwerk die Möglichkeit verweigern, auf dem Server Daten von Wechselmedien anzuzeigen oder Anwendungen von Wechselmedien auszuführen.
Gegenmaßnahme
Aktivieren Sie die Einstellung Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken.
Mögliche Auswirkung
Benutzer, die über das Netzwerk eine Verbindung mit dem Server herstellen, können keine auf dem Server installierten CD-Laufwerke verwenden, wenn eine Person an der lokalen Konsole des Servers angemeldet ist. Systemtools, die Zugriff auf das CD-Laufwerk benötigen, schlagen fehl. Der Volumenschattenkopie-Dienst versucht beispielsweise, bei seiner Initialisierung auf alle CD- und Diskettenlaufwerke auf dem Computer zuzugreifen. Wenn der Dienst auf eines dieser Laufwerke nicht zugreifen kann, schlägt er fehl. Dies führt dazu, dass die Windows-Sicherung fehlschlägt, wenn für den Sicherungsauftrag Volumenschattenkopien angegeben wurden. Alle Nicht-Microsoft-Sicherungsprodukte, die Volumenschattenkopien verwenden, schlagen ebenfalls fehl. Diese Richtlinieneinstellung ist nicht geeignet für einen Computer, der als CD-Jukebox für Netzwerkbenutzer fungiert.