Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Anlage H: Sichern von lokalen Konten und Gruppen

Bill Mathers|Zuletzt aktualisiert: 10.03.2017
|
1 Mitwirkender

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anlage H: Sichern von lokalen Konten und Gruppen

In allen Versionen von Windows, die derzeit in der grundlegenden Support ist das lokale Administratorkonto standardmäßig deaktiviert, dadurch wird das Konto nicht mehr für Pass-the-Hash und andere Anmeldeinformationen Diebstahl-Angriffe. Jedoch: in einer Umgebung mit älteren Betriebssystemen oder in der lokale Administratorkonten aktiviert wurden, können diese Konten zum Übertragen von Gefährdung auf Mitgliedsservern und Arbeitsstationen wie zuvor beschrieben verwendet werden. Jeden lokalen Administratorkonto und jede Gruppe sollte gesichert werden, wie in der Anleitung beschrieben.

Ausführliche Informationen zu Überlegungen zum Sichern von Gruppen mit integrierter Administrator (BA), finden Sie unter implementieren geringsten Verwaltungstools.

Steuerelemente für lokale Konten

Für das lokale Administratorkonto in den einzelnen Domänen in der Gesamtstruktur sollten Sie die folgenden Einstellungen konfigurieren:

  • Konfigurieren von Gruppenrichtlinienobjekten zum Einschränken der Domäne-Administratorkonto verwenden auf Systemen mit domänenzugehörigkeit

    • Fügen Sie das Administratorkonto in eine oder mehrere GPOs, die Sie erstellen und auf Arbeitsstationen und Server Organisationseinheiten in jede Domäne verknüpfen, um die folgenden Benutzerrechte in Computer Computerkonfiguration\Richtlinien\Windows Settings\Security Sicherheitseinstellungen\Lokale Einstellungen\Benutzername\Lokale Rechte Aufgaben:

      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Step-by-Step Eine Anleitung zum Sichern der lokalen Administratorgruppe

Konfigurieren von Gruppenrichtlinienobjekten Administratorkonto auf Systemen mit Domänenzugehörigkeit einschränken
  1. In Server-Manager, klicken Sie auf Tools, und klicken Sie auf die Gruppenrichtlinien-Verwaltungskonsole.

  2. Erweitern Sie in der Konsolenstruktur \Domains\, und klicken Sie dann Gruppenrichtlinienobjekte (wo ist der Name der Gesamtstruktur und ist der Name der Domäne, in denen Sie die Gruppenrichtlinie festlegen möchten).

  3. In der Konsolenstruktur mit der Maustaste Gruppenrichtlinienobjekte, und klicken Sie auf neu.

    Sichere lokale Administratorkonten und Gruppen

  4. In der Gruppenrichtlinienobjekt, geben Sie im Dialogfeld , und klicken Sie auf OK (wo ist der Name des Gruppenrichtlinienobjekts).

    Sichere lokale Administratorkonten und Gruppen

  5. In der rechten Maustaste , und klicken Sie auf bearbeiten.

  6. Navigieren Sie zu Computer Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Sichere lokale Administratorkonten und Gruppen

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das lokale Administratorkonto Mitglieder Server und Arbeitsstationen über das Netzwerk zugreifen, indem Sie wie folgt:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer Verweigern, und wählen Sie diese Richtlinieneinstellungen definieren.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos, und klicken Sie auf OK. Dieser Benutzername werden Administrator, die bei der Installation von Windows standardmäßig.

      Sichere lokale Administratorkonten und Gruppen

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie das Administratorkonto auf diese Einstellungen hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto durch Konfigurieren wie Sie die Konten beschriften. Z. B. zum Hinzufügen der TAILSPINTOYS Domäne Administratorkonto anmelden, um diese Verweigern von Benutzerrechten, Sie würden wechseln Sie zu dem Administratorkonto für die Domäne TAILSPINTOYS würde die als TAILSPINTOYS\Administrator angezeigt werden. Bei der Eingabe Administrator in den Einstellungen in den Gruppenrichtlinienobjekt-Editor für diesen Benutzer Rechte schränken Sie das lokale Administratorkonto auf jedem Computer, auf die das Gruppenrichtlinienobjekt angewendet wird, wie oben beschrieben.

  8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das lokale Administratorkonto anmelden als Stapelverarbeitungsauftrag wie folgt:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie diese Richtlinieneinstellungen definieren.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos, und klicken Sie auf OK. Dieser Benutzername werden Administrator, die bei der Installation von Windows standardmäßig.

      Sichere lokale Administratorkonten und Gruppen

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie das Administratorkonto auf diese Einstellungen hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder Domänenadministratorkonto durch Konfigurieren wie Sie die Konten beschriften. Z. B. zum Hinzufügen der TAILSPINTOYS Domäne Administratorkonto anmelden, um diese Verweigern von Benutzerrechten, Sie würden wechseln Sie zu dem Administratorkonto für die Domäne TAILSPINTOYS würde die als TAILSPINTOYS\Administrator angezeigt werden. Bei der Eingabe Administrator in den Einstellungen in den Gruppenrichtlinienobjekt-Editor für diesen Benutzer Rechte schränken Sie das lokale Administratorkonto auf jedem Computer, auf die das Gruppenrichtlinienobjekt angewendet wird, wie oben beschrieben.

  9. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das lokale Administratorkonto anmelden als Dienst wie folgt:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie diese Richtlinieneinstellungen definieren.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos, und klicken Sie auf OK. Dieser Benutzername werden Administrator, die bei der Installation von Windows standardmäßig.

      Sichere lokale Administratorkonten und Gruppen

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie das Administratorkonto auf diese Einstellungen hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder Domänenadministratorkonto durch Konfigurieren wie Sie die Konten beschriften. Z. B. zum Hinzufügen der TAILSPINTOYS Domäne Administratorkonto anmelden, um diese Verweigern von Benutzerrechten, Sie würden wechseln Sie zu dem Administratorkonto für die Domäne TAILSPINTOYS würde die als TAILSPINTOYS\Administrator angezeigt werden. Bei der Eingabe Administrator in den Einstellungen in den Gruppenrichtlinienobjekt-Editor für diesen Benutzer Rechte schränken Sie das lokale Administratorkonto auf jedem Computer, auf die das Gruppenrichtlinienobjekt angewendet wird, wie oben beschrieben.

  10. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das lokale Administratorkonto zugreifen auf Mitgliedsservern und Arbeitsstationen über Remotedesktopdienste wie folgt:

    1. Doppelklicken Sie auf anmelden über Remotedesktopdienste Verweigern, und wählen Sie diese Richtlinieneinstellungen definieren.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos, und klicken Sie auf OK. Dieser Benutzername werden Administrator, die bei der Installation von Windows standardmäßig.

      Sichere lokale Administratorkonten und Gruppen

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie das Administratorkonto auf diese Einstellungen hinzufügen, geben Sie an, ob Sie ein lokales Administratorkonto oder Domänenadministratorkonto durch Konfigurieren wie Sie die Konten beschriften. Z. B. zum Hinzufügen der TAILSPINTOYS Domäne Administratorkonto anmelden, um diese Verweigern von Benutzerrechten, Sie würden wechseln Sie zu dem Administratorkonto für die Domäne TAILSPINTOYS würde die als TAILSPINTOYS\Administrator angezeigt werden. Bei der Eingabe Administrator in den Einstellungen in den Gruppenrichtlinienobjekt-Editor für diesen Benutzer Rechte schränken Sie das lokale Administratorkonto auf jedem Computer, auf die das Gruppenrichtlinienobjekt angewendet wird, wie oben beschrieben.

  11. Zum Beenden Gruppenrichtlinienverwaltungs-Editor, klicken Sie auf Datei, und klicken Sie auf beenden.

  12. In die Gruppenrichtlinien-Verwaltungskonsole, verknüpfen Sie das Gruppenrichtlinienobjekt, Mitgliedsserver und Arbeitsstationen OUs wie folgt:

    1. Navigieren Sie zu den \Domains\ (wobei ist der Name der Gesamtstruktur und ist der Name der Domäne, in denen Sie die Gruppenrichtlinie festlegen möchten).

    2. Mit der rechten Maustaste der Organisationseinheit, die das GPO wird angewendet, und klicken Sie auf verknüpfen Sie ein vorhandenes GPO.

      Sichere lokale Administratorkonten und Gruppen

    3. Wählen Sie das Gruppenrichtlinienobjekt, das Sie erstellt haben, und klicken Sie auf OK.

      Sichere lokale Administratorkonten und Gruppen

    4. Erstellen Sie Links zu allen anderen Organisationseinheiten, Arbeitsstationen enthalten.

    5. Erstellen Sie Links zu allen anderen Organisationseinheiten, Mitgliedsserver enthalten.

Überprüfungsschritte

Überprüfen Sie die GPO-Einstellungen "Zugriff auf diesen Computer vom Netzwerk aus verweigern"

Versuchen Sie von jeder Mitgliedsserver oder einer Arbeitsstation, die durch die GPO-Änderungen (z. B. ein Server Sprunglisten) nicht beeinträchtigt wird auf einem Mitgliedsserver oder einer Arbeitsstation über das Netzwerk zugreifen, die durch die GPO-Änderungen betroffen ist. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk Zuordnung von der NET USE Befehl.

  1. Melden Sie sich lokal jeder Mitgliedsserver oder einer Arbeitsstation, die durch die GPO-Änderungen nicht beeinträchtigt wird.

  2. Mit der Maus den Mauszeiger in die obere oder untere rechte Ecke des Bildschirms. Wenn die Charms Leiste angezeigt wird, klicken Sie auf Suche.

  3. In der Suche geben Eingabeaufforderung, mit der rechten Maustaste Eingabeaufforderung, und klicken Sie dann auf als Administrator ausführen, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.

  4. Wenn Sie aufgefordert werden, die erhöhte Rechte zu genehmigen, klicken Sie auf Ja.

    Sichere lokale Administratorkonten und Gruppen

  5. In der Eingabeaufforderung geben net verwenden \\\c$ /user:\Administrator, wobei ist der Name des dem Mitgliedsserver oder einer Arbeitsstation, die Sie versuchen, sich über das Netzwerk zugreifen.

    Hinweis

    Die Anmeldeinformationen des lokalen Administrators muss von einem System, die Sie über das Netzwerk zugreifen.

  6. Das folgende Bildschirmfoto zeigt die Fehlermeldung, die angezeigt werden soll.

    Sichere lokale Administratorkonten und Gruppen

Überprüfen Sie die GPO-Einstellungen "Anmelden als Batchauftrag verweigern"

Von jeder Mitgliedsserver oder Arbeitsstation, die durch die GPO-Änderungen beeinflusst lokal melden Sie zulassen an.

Erstellen Sie eine Datei
  1. Mit der Maus den Mauszeiger in die obere oder untere rechte Ecke des Bildschirms. Wenn die Charms Leiste angezeigt wird, klicken Sie auf Suche.

  2. In der Suche geben Editor, und klicken Sie auf Editor.

  3. In Editor, Typ Dir c:.

  4. Klicken Sie auf Datei, und klicken Sie auf speichern unter.

  5. In der Dateinamen geben bat (wo ist der Name der neuen Batch-Datei).

Eine Aufgabe planen
  1. Mit der Maus den Mauszeiger in die obere oder untere rechte Ecke des Bildschirms. Wenn die Charms Leiste angezeigt wird, klicken Sie auf Suche.

  2. In der Suche ein, geben Sie die aufgabenplanung, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Auf Computern mit Windows 8, ausgeführt, in der Suche geben Planen von Aufgaben, und klicken Sie auf Planen von Aufgaben.

  3. Klicken Sie auf Aktion, und klicken Sie auf Aufgabe erstellen.

  4. In der Aufgabe erstellen, geben Sie im Dialogfeld (wobei ist der Name der neuen Aufgabe).

  5. Klicken Sie auf die Aktionen aus, und klicken Sie auf neu.

  6. In der Aktion auf Starten von Programmen.

  7. In der -Programm-Skript auf Durchsuchenwählen die Batchdatei in erstellt die erstellen Sie eine Datei Abschnitt, und klicken Sie auf öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die allgemeine Registerkarte.

  10. In der Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen des lokalen Administratorkontos des Systems, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

  12. Wählen Sie ausgeführt wird, ob der Benutzer oder nicht angemeldet ist und keine Kennwort speichern. Die Aufgabe wird nur auf lokale Ressourcen zugreifen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt, die Anmeldeinformationen für anfordernden Benutzerkonto zum Ausführen der Aufgabe.

  15. Nach der Eingabe der Anmeldeinformationen, klicken Sie auf OK.

  16. Sollte etwa wie folgt ein Dialogfeld angezeigt werden.

    Sichere lokale Administratorkonten und Gruppen

Überprüfen Sie die GPO-Einstellungen "Anmelden als Dienst verweigern"
  1. Von jeder Mitgliedsserver oder Arbeitsstation, die durch die GPO-Änderungen beeinflusst lokal melden Sie zulassen an.

  2. Mit der Maus den Mauszeiger in die obere oder untere rechte Ecke des Bildschirms. Wenn die Charms Leiste angezeigt wird, klicken Sie auf Suche.

  3. In der Suche geben Dienste, und klicken Sie auf Dienste.

  4. Doppelklicken Sie auf Druckwarteschlange.

  5. Klicken Sie auf die anmelden Registerkarte.

  6. In melden Sie sich als auf dieses Konto.

  7. Klicken Sie auf Durchsuchen, geben Sie ein lokale Administratorkonto des Computers ein, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

  8. In der Kennwort und Kennwort bestätigen Felder, geben Sie das ausgewählte Konto Kennwort ein, und klicken Sie auf OK.

  9. Klicken Sie auf OK drei Mal.

  10. Mit der rechten Maustaste Druckwarteschlange, und klicken Sie auf neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte etwa wie folgt ein Dialogfeld angezeigt werden.

    Sichere lokale Administratorkonten und Gruppen

Wiederherstellen von Änderungen an den Druckerspooler-Dienst
  1. Von jeder Mitgliedsserver oder Arbeitsstation, die durch die GPO-Änderungen beeinflusst lokal melden Sie zulassen an.

  2. Mit der Maus den Mauszeiger in die obere oder untere rechte Ecke des Bildschirms. Wenn die Charms Leiste angezeigt wird, klicken Sie auf Suche.

  3. In der Suche geben Dienste, und klicken Sie auf Dienste.

  4. Doppelklicken Sie auf Druckwarteschlange.

  5. Klicken Sie auf die anmelden Registerkarte.

  6. In der melden Sie sich als: Feld lokalen Systemaccount, und klicken Sie auf OK.

Überprüfen Sie die GPO-Einstellungen "Anmelden über Remotedesktopdienste verweigern"
  1. Mit der Maus den Mauszeiger in die obere oder untere rechte Ecke des Bildschirms. Wenn die Charms Leiste angezeigt wird, klicken Sie auf Suche.

  2. In der Suche geben Remotedesktopverbindung, und klicken Sie auf Remotedesktopverbindung.

  3. In der Computer Feld, geben Sie den Namen des Computers, die Sie verwenden möchten, schließen Sie an, und klicken Sie auf verbinden. (Sie können auch die IP-Adresse anstelle des Computernamens eingeben.)

  4. Bei entsprechender Aufforderung die Anmeldeinformationen für das System den lokalen's Administrator Konto.

  5. Sollte etwa wie folgt ein Dialogfeld angezeigt werden.

    Sichere lokale Administratorkonten und Gruppen

© 2017 Microsoft