Anhang H: Schützen lokaler Administratorkonten und -gruppen

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang H: Schützen lokaler Administratorkonten und -gruppen

Bei allen Versionen von Windows, für die es aktuell allgemeinen Support gibt, ist das lokale Administratorkonto standardmäßig deaktiviert. Somit ist dieses Konto für Pass-the-Hash- und andere Angriffe zum Identitätsdiebstahl nicht nutzbar. In Umgebungen, in denen ältere Betriebssysteme eingesetzt werden oder in denen lokale Administratorkonten aktiviert wurden, können diese Konten dazu missbraucht werden, um eine Kompromittierung auf die Mitgliedsserver und Arbeitsstationen zu verteilen. Alle lokalen Administratorkonten und -gruppen sollten wie in den folgenden Schritt-für-Schritt-Anleitungen gesichert werden.

Detaillierte Informationen zum Schutz von integrierten Administratorgruppen finden Sie unter Implementieren von Verwaltungsmodellen der geringsten Rechte.

Kontrollen für lokale Administratorkonten

In jeder Domäne Ihrer Gesamtstruktur sollten Sie für das lokale Administratorkonto die folgenden Einstellungen konfigurieren:

  • Konfigurieren Sie Gruppenrichtlinienobjekte, um die Verwendung des Administratorkontos der Domäne auf Systemen einzuschränken, die in die Domäne eingebunden sind.

    • Fügen Sie in den Gruppenrichtlinienobjekten, die Sie erstellen und mit Organisationseinheiten für Arbeitsstationen und Mitgliedsserver in den einzelnen Domänen verknüpfen, den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten das Administratorkonto hinzu:

      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Schritt-für-Schritt-Anleitungen zum Sichern von lokalen Administratorgruppen

Konfigurieren von Gruppenrichtlinienobjekten um Einschränken des Administratorkontos auf Systemen, die in die Domäne eingebunden sind

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie auf OK. (Hierbei ist <Name des Gruppenrichtlinienobjekts> der Name dieses Gruppenrichtlinienobjekts.)

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. Konfigurieren Sie die Benutzerrechte wie folgt so, dass das lokale Administratorkonto nicht über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen kann:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  8. Konfigurieren Sie die Benutzerrechte so, dass dem lokalen Administratorkonto die Anmeldung als Batchauftrag verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  9. Konfigurieren Sie die Benutzerrechte so, dass dem lokalen Administratorkonto die Anmeldung als Dienst verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  10. Konfigurieren Sie die Benutzerrechte so, dass das lokale Administratorkonto nicht über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen kann:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen, geben Sie den Benutzernamen des lokalen Administratorkontos ein, und klicken Sie auf OK. Dieser Benutzername ist Administrator, der Standard bei der Installation von Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. Klicken Sie auf OK.

      Wichtig

      Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor Administrator eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

  11. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  12. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. Wählen Sie das erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

Überprüfungsschritte

Überprüfen der Gruppenrichtlinieneinstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, über einen beliebigen Mitgliedsserver oder eine beliebige Arbeitsstation, der bzw. die nicht von den Änderungen des Gruppenrichtlinienobjekts betroffen ist (z. B. ein Jumpserver), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die Änderungen des Gruppenrichtlinienobjekts gelten. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mit dem Befehl NET USE zuzuordnen.

  1. Melden Sie sich auf einem Mitgliedsserver oder einer Arbeitsstation an, der bzw. die von den Änderungen des Gruppenrichtlinienobjekts nicht betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Klicken Sie bei Aufforderung zur Genehmigung der Rechteerweiterung auf Ja.

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. Geben Sie im Fenster Eingabeaufforderung den Befehl net use \\<Server Name>\c$ /user:<Server Name>\Administrator ein, wobei <Server Name> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über das Netzwerk zugreifen möchten.

    Hinweis

    Die Anmeldeinformationen des lokalen Administrators müssen zu dem System gehören, auf das Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden sollte.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.

  3. Geben Sie im Editordir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname<Filename>.bat ein, wobei <Filename> der Name der neuen Batchdatei ist.

Planen einer Aufgabe

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen „Aufgabenplanung“ ein, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Suchfeld die Begriffe Aufgaben planen ein, und klicken Sie auf Aufgaben planen.

  3. Klicken Sie auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Aufgabe erstellen den <Aufgabennamen> ein (wobei der <Aufgabenname> der Name der neuen Aufgabe ist).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Klicken Sie im Feld Aktion auf Programm starten.

  7. Klicken Sie im Feld Programm/Skript auf Durchsuchen, suchen Sie die im Abschnitt Batchdatei erstellen erstellte Batchdatei, wählen Sie sie aus, und klicken Sie anschließend auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie im Feld Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen des lokalen Administratorkontos des Systems ein, und klicken Sie auf Namen überprüfen und anschließend auf OK.

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Anmeldeinformationen für das Benutzerkonto zur Ausführung der Aufgabe abgefragt werden.

  15. Klicken Sie nach Eingabe der Anmeldeinformationen auf OK.

  16. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Klicken Sie im Feld Anmelden als auf Dieses Konto.

  7. Klicken Sie auf Durchsuchen, geben Sie das lokale Administratorkonto des Systems ein, und klicken Sie auf Namen überprüfen und anschließend auf OK.

  8. Geben Sie in den Feldern Kennwort und Kennwort bestätigen das Kennwort des ausgewählten Kontos ein, und klicken Sie auf OK.

  9. Klicken Sie drei weitere Male auf OK.

  10. Klicken Sie mit der rechten Maustaste auf Druckwarteschlange und dann auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie im Feld Anmelden als: die Option Lokales Systemkonto aus, und klicken Sie auf OK.

Überprüfen der GPO-Einstellung „Anmelden über Remotedesktopdienste verweigern“

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Remotedesktopverbindung ein, und klicken Sie auf Remotedesktopverbindung.

  3. Geben Sie im Feld Computer den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie auf Verbinden. (Sie können anstelle des Computernamens auch die IP-Adresse angeben.)

  4. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für das lokale Administratorkonto des Systems ein.

  5. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    secure local admin accounts and groups