Freigeben über

Anhang H: Schützen lokaler Administratorkonten und -gruppen

Anhang H: Schützen lokaler Administratorkonten und -gruppen

Bei allen Versionen von Windows, für die es aktuell allgemeinen Support gibt, ist das lokale Administratorkonto standardmäßig deaktiviert. Somit ist dieses Konto für Pass-the-Hash- und andere Angriffe zum Identitätsdiebstahl nicht nutzbar. In Umgebungen, in denen ältere Betriebssysteme eingesetzt werden oder in denen lokale Administratorkonten aktiviert wurden, können diese Konten dazu missbraucht werden, um eine Kompromittierung auf die Mitgliedsserver und Arbeitsstationen zu verteilen. Alle lokalen Administratorkonten und -gruppen sollten wie in den folgenden Schritt-für-Schritt-Anleitungen gesichert werden.

Detaillierte Informationen zum Schutz von integrierten Administratorgruppen finden Sie unter Implementieren von Verwaltungsmodellen der geringsten Rechte.

Kontrollen für lokale Administratorkonten

In jeder Domäne Ihrer Gesamtstruktur sollten Sie für das lokale Administratorkonto die folgenden Einstellungen konfigurieren:

  • Konfigurieren Sie Gruppenrichtlinienobjekte, um die Verwendung des Administratorkontos der Domäne auf Systemen einzuschränken, die in die Domäne eingebunden sind.

    • Fügen Sie in den Gruppenrichtlinienobjekten, die Sie erstellen und mit Organisationseinheiten für Arbeitsstationen und Mitgliedsserver in den einzelnen Domänen verknüpfen, den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten das Administratorkonto hinzu:

      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Schritt-für-Schritt-Anleitungen zum Sichern von lokalen Administratorgruppen

Konfigurieren von Gruppenrichtlinienobjekten um Einschränken des Administratorkontos auf Systemen, die in die Domäne eingebunden sind

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot der Registerkarte „Mitglieder“, auf der Sie die Gruppenrichtlinienobjekte zum Einschränken des Administratorkontos auf Systemen konfigurieren können, die in die Domäne eingebunden sind.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie auf OK. (Hierbei ist <Name des Gruppenrichtlinienobjekts> der Name dieses Gruppenrichtlinienobjekts.)

    Screenshot: Hier können Sie einen Namen für das Gruppenrichtlinienobjekt angegeben, damit Sie Gruppenrichtlinienobjekte zum Einschränken des Administratorkontos auf Systemen konfigurieren können, die in die Domäne eingebunden sind.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot, der zeigt, wohin Sie navigieren müssen, damit Sie Gruppenrichtlinienobjekte zum Einschränken des Administratorkontos auf Systemen konfigurieren können, die in die Domäne eingebunden sind.

  7. Konfigurieren Sie die Benutzerrechte wie folgt so, dass das lokale Administratorkonto nicht über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen kann:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot: So überprüfen Sie, ob Sie die Benutzerrechte so konfiguriert haben, dass das lokale Administratorkonto nicht über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen kann.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  8. Konfigurieren Sie die Benutzerrechte so, dass dem lokalen Administratorkonto die Anmeldung als Batchauftrag verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot: So überprüfen Sie, ob Sie die Benutzerrechte so konfiguriert haben, dass sich das lokale Administratorkonto nicht als Batchauftrag anmelden kann.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  9. Konfigurieren Sie die Benutzerrechte so, dass dem lokalen Administratorkonto die Anmeldung als Dienst verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot: So überprüfen Sie, ob Sie die Benutzerrechte so konfiguriert haben, dass sich das lokale Administratorkonto nicht als Dienst anmelden kann.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  10. Konfigurieren Sie die Benutzerrechte so, dass das lokale Administratorkonto nicht über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen kann:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot: So überprüfen Sie, ob Sie die Benutzerrechte so konfiguriert haben, dass das lokale Administratorkonto nicht über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen kann.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  11. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  12. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot der Menüoption „Vorhandenes Gruppenrichtlinienobjekt verknüpfen“, die angezeigt wird, wenn Sie das Gruppenrichtlinienobjekt mit den Organisationseinheiten von Mitgliedsserver und Arbeitsstationen verknüpfen möchten.

    3. Wählen Sie das erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot: Hier wählen Sie das gerade erstellte Gruppenrichtlinienobjekt aus, wenn Sie das Gruppenrichtlinienobjekt mit den Organisationseinheiten von Mitgliedsserver und Arbeitsstationen verknüpfen.

    4. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

Überprüfungsschritte

Überprüfen der Gruppenrichtlinieneinstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, über einen beliebigen Mitgliedsserver oder eine beliebige Arbeitsstation, der bzw. die nicht von den Änderungen des Gruppenrichtlinienobjekts betroffen ist (z. B. ein Jumpserver), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die Änderungen des Gruppenrichtlinienobjekts gelten. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mit dem Befehl NET USE zuzuordnen.

  1. Melden Sie sich auf einem Mitgliedsserver oder einer Arbeitsstation an, der bzw. die von den Änderungen des Gruppenrichtlinienobjekts nicht betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Klicken Sie bei Aufforderung zur Genehmigung der Rechteerweiterung auf Ja.

    Screenshot des Dialogfelds „Benutzerkontensteuerung“, die beim Überprüfen der Einstellungen für das Gruppenrichtlinienobjekt angezeigt wird.

  5. Geben Sie im Fenster Eingabeaufforderung den Befehl net use \\<Server Name>\c$ /user:<Server Name>\Administrator ein, wobei <Server Name> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über das Netzwerk zugreifen möchten.

    Hinweis

    Die Anmeldeinformationen des lokalen Administrators müssen zu dem System gehören, auf das Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden sollte.

    Screenshot der Fehlermeldung „Anmeldefehler“, die beim Überprüfen der Einstellungen für das Gruppenrichtlinienobjekt angezeigt wird.

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.

  3. Geben Sie im Editordir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname<Filename>.bat ein, wobei <Filename> der Name der neuen Batchdatei ist.

Planen einer Aufgabe

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen „Aufgabenplanung“ ein, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Suchfeld die Begriffe Aufgaben planen ein, und klicken Sie auf Aufgaben planen.

  3. Klicken Sie auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Aufgabe erstellen den <Aufgabennamen> ein (wobei der <Aufgabenname> der Name der neuen Aufgabe ist).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Klicken Sie im Feld Aktion auf Programm starten.

  7. Klicken Sie im Feld Programm/Skript auf Durchsuchen, suchen Sie die im Abschnitt Batchdatei erstellen erstellte Batchdatei, wählen Sie sie aus, und klicken Sie anschließend auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie im Feld Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen des lokalen Administratorkontos des Systems ein, und klicken Sie auf Namen überprüfen und anschließend auf OK.

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Anmeldeinformationen für das Benutzerkonto zur Ausführung der Aufgabe abgefragt werden.

  15. Klicken Sie nach Eingabe der Anmeldeinformationen auf OK.

  16. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot des Dialogfeld „Aufgabenplanung“, der beim Planen einer Aufgabe angezeigt wird.

Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Klicken Sie im Feld Anmelden als auf Dieses Konto.

  7. Klicken Sie auf Durchsuchen, geben Sie das lokale Administratorkonto des Systems ein, und klicken Sie auf Namen überprüfen und anschließend auf OK.

  8. Geben Sie in den Feldern Kennwort und Kennwort bestätigen das Kennwort des ausgewählten Kontos ein, und klicken Sie auf OK.

  9. Klicken Sie drei weitere Male auf OK.

  10. Klicken Sie mit der rechten Maustaste auf Druckwarteschlange und dann auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot einer Meldung, die darüber informiert, dass Windows die Druckwarteschlange auf dem lokalen Computer nicht starten konnte.

Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie im Feld Anmelden als: die Option Lokales Systemkonto aus, und klicken Sie auf OK.

Überprüfen der GPO-Einstellung „Anmelden über Remotedesktopdienste verweigern“

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Remotedesktopverbindung ein, und klicken Sie auf Remotedesktopverbindung.

  3. Geben Sie im Feld Computer den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie auf Verbinden. (Sie können anstelle des Computernamens auch die IP-Adresse angeben.)

  4. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für das lokale Administratorkonto des Systems ein.

  5. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Sichern von lokalen Administratorkonten und -gruppen