Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen beschrieben.
Referenzen
Durch diese Richtlinieneinstellung wird bestimmt, ob ein Gerät heruntergefahren werden kann, ohne dass eine Anmeldung beim Windows-Betriebssystem erfolgen muss. Wenn Sie diese Richtlinieneinstellung aktivieren, ist die Option Herunterfahren auf dem Windows-Anmeldebildschirm verfügbar. Wenn Sie diese Einstellung deaktivieren, wird die Option Herunterfahren vom Anmeldebildschirm entfernt. Diese Konfiguration erfordert, dass sich Benutzer erfolgreich am Gerät anmelden und über das Benutzerrecht Herunterfahren des Systems verfügen, bevor sie den Computer herunterfahren können.
Benutzer mit lokalem Zugriff auf die Konsole können das System herunterfahren. Angreifer oder fehlgeleitete Benutzer können mithilfe der Remotedesktopdienste eine Verbindung mit dem Server herstellen und den Server dann herunterfahren oder neu starten, ohne sich identifizieren zu müssen. Ein böswilliger Benutzer kann auch einen vorübergehenden Denial-of-Service-Zustand bewirken, indem er den Server von der lokalen Konsole aus neu startet, oder den Server herunterfährt und alle seine Anwendungen und Dienste dadurch unerreichbar macht.
Mögliche Werte
Aktiviert
Der Befehl "Herunterfahren" ist auf dem Anmeldebildschirm verfügbar.
Deaktiviert
Die Option „Herunterfahren“ wird vom Anmeldebildschirm entfernt, und Benutzer müssen über das Benutzerrecht Herunterfahren des Systems verfügen, damit sie einen Computer herunterfahren können.
Nicht definiert
Bewährte Methoden
Legen Sie diese Richtlinie auf den Servern auf Deaktiviert fest. Sie müssen sich bei Servern anmelden, um sie herunterzufahren oder neu zu starten.
Legen Sie diese Richtlinie auf Clientgeräten auf Aktiviert fest, und definieren Sie die Liste der Benutzer, die zum Herunterfahren oder Neustart berechtigt sind, mithilfe der Richtlinie für die Benutzerrechtezuweisung Herunterfahren des Systems.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart des Computers wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Informationen über die Richtlinie für die Benutzerrechtezuweisung Herunterfahren des Systems finden Sie im Referenzthema Herunterfahren des Systems.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer mit lokalem Zugriff auf die Konsole können das Gerät herunterfahren.
Angreifer mit Zugriff auf die lokale Konsole könnten den Server neu starten und dadurch einen vorübergehenden DoS-Zustand bewirken. Angreifer könnten den Server außerdem herunterfahren und alle seine Anwendungen und Dienste unerreichbar machen.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen.
Mögliche Auswirkung
Sie müssen sich bei Servern anmelden, um sie herunterzufahren oder neu zu starten.