Zugreifen auf diesen Computer über das Netzwerk: Sicherheitsrichtlinieneinstellung
Betrifft:
- Windows 11
- Windows 10
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Azure Stack HCI
Beschreibt bewährte Methoden, Standort, Werte, Richtlinienverwaltung und Sicherheitsüberlegungen für den Zugriff auf diesen Computer über die Netzwerksicherheitsrichtlinieneinstellung.
Warnung
Wenn Sie Windows Server- oder Azure Stack HCI-Failoverclustering ausführen, entfernen Sie authentifizierte Benutzer nicht aus der Einstellung Auf diesen Computer zugreifen aus der Netzwerkrichtlinieneinstellung . Dies kann zu einem unerwarteten Produktionsausfall führen. Dies liegt an der CLIUSR des lokalen Benutzerkontos, die zum Ausführen des Clusterdiensts verwendet wird. CLIUSR ist kein Mitglied der lokalen Administratorgruppe, und wenn die Gruppe Authentifizierte Benutzer entfernt wird, verfügt der Clusterdienst nicht über ausreichende Rechte, um ordnungsgemäß zu funktionieren oder zu starten.
Verweis
Die Einstellung Auf diesen Computer über die Netzwerkrichtlinie zugreifen bestimmt, welche Benutzer über das Netzwerk eine Verbindung mit dem Gerät herstellen können. Diese Funktion ist für viele Netzwerkprotokolle erforderlich, einschließlich SMB-basierten Protokollen (Server Message Block), NetBIOS, CIFS (Common Internet File System) und Component Object Model Plus (COM+).
Benutzer, Geräte und Dienstkonten erhalten oder verlieren das Benutzerrecht Auf diesen Computer über das Netzwerk zugreifen , indem sie explizit oder implizit zu einer Sicherheitsgruppe hinzugefügt oder entfernt werden, der dieses Benutzerrecht gewährt wurde. Beispielsweise kann ein Benutzerkonto oder ein Computerkonto explizit einer benutzerdefinierten Sicherheitsgruppe oder einer integrierten Sicherheitsgruppe hinzugefügt werden, oder es kann von Windows implizit zu einer berechneten Sicherheitsgruppe hinzugefügt werden, z. B. Domänenbenutzer, authentifizierte Benutzer oder Unternehmensdomänencontroller. Benutzerkonten und Computerkonten wird standardmäßig das Recht Auf diesen Computer vom Netzwerkbenutzer zugreifen gewährt, wenn berechnete Gruppen wie authentifizierte Benutzer und für Domänencontroller die Gruppe Unternehmensdomänencontroller in den Standarddomänencontrollern Gruppenrichtlinie Object (GPO) definiert sind.
Konstante: SeNetworkLogonRight
Mögliche Werte
- Benutzerdefinierte Liste von Konten
- Nicht definiert
Bewährte Methoden
- Gewähren Sie dieses Recht auf Desktopgeräten oder Mitgliedsservern nur Benutzern und Administratoren.
- Gewähren Sie dieses Recht auf Domänencontrollern nur authentifizierten Benutzern, Unternehmensdomänencontrollern und Administratoren.
- Stellen Sie in Failoverclustern sicher, dass dieses Recht authentifizierten Benutzern gewährt wird.
- Diese Einstellung enthält die Gruppe Jeder , um die Abwärtskompatibilität sicherzustellen. Nachdem Sie überprüft haben, ob alle Benutzer und Gruppen ordnungsgemäß migriert wurden, sollten Sie nach dem Windows-Upgrade die Gruppe Jeder entfernen und stattdessen die Gruppe Authentifizierte Benutzer verwenden.
Position
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte für die neuesten unterstützten Versionen von Windows aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.
| Servertyp des Gruppenrichtlinienobjekts | Standardwert |
|---|---|
| Standarddomänenrichtlinie | Nicht definiert |
| Standardrichtlinie für Domänencontroller | Jeder, Administratoren, authentifizierte Benutzer, Unternehmensdomänencontroller, Vor Windows 2000 kompatibler Zugriff |
| Standardeinstellungen für eigenständige Server | Jeder, Administratoren, Benutzer, Sicherungsoperatoren |
| Effektive Standardeinstellungen für Domänencontroller | Jeder, Administratoren, authentifizierte Benutzer, Unternehmensdomänencontroller, Vor Windows 2000 kompatibler Zugriff |
| Effektive Standardeinstellungen für Mitgliedsserver | Jeder, Administratoren, Benutzer, Sicherungsoperatoren |
| Effektive Standardeinstellungen für Clientcomputer | Jeder, Administratoren, Benutzer, Sicherungsoperatoren |
Richtlinienverwaltung
Wenn Sie dieses Benutzerrecht ändern, können die folgenden Aktionen zu Netzwerkzugriffsproblemen bei Benutzern und Diensten führen:
- Entfernen der Sicherheitsgruppe "Unternehmensdomänencontroller"
- Entfernen der Gruppe "Authentifizierte Benutzer" oder einer expliziten Gruppe, die Benutzern, Computern und Dienstkonten das Herstellen einer Verbindung mit Computern über das Netzwerk ermöglicht
- Entfernen aller Benutzer- und Computerkonten
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
- Lokale Richtlinieneinstellungen
- Websiterichtlinieneinstellungen
- Domänenrichtlinieneinstellungen
- OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsüberlegungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.
Sicherheitsrisiko
Benutzer, die von ihrem Gerät aus eine Verbindung mit dem Netzwerk herstellen können, können auf Ressourcen auf Zielgeräten zugreifen, für die sie über die Berechtigung verfügen. Beispielsweise ist das Recht Auf diesen Computer über das Netzwerkbenutzer zugreifen erforderlich, damit Benutzer eine Verbindung mit freigegebenen Druckern und Ordnern herstellen können. Wenn dieses Benutzerrecht der Gruppe Jeder zugewiesen ist, kann jeder in der Gruppe die Dateien in diesen freigegebenen Ordnern lesen. Diese Situation ist unwahrscheinlich, da die Gruppen, die mit einer Standardinstallation von mindestens Windows Server 2008 R2 oder Windows 7 erstellt wurden, nicht die Gruppe Jeder enthalten. Wenn ein Gerät jedoch aktualisiert wird und das ursprüngliche Gerät die Gruppe Jeder als Teil der definierten Benutzer und Gruppen enthält, wird diese Gruppe im Rahmen des Upgradeprozesses umgestellt und ist auf dem Gerät vorhanden.
Gegenmaßnahme
Beschränken Sie das Zugriffsrecht auf diesen Computer über den Netzwerkbenutzer auf die Benutzer und Gruppen, die Zugriff auf den Computer benötigen. Wenn Sie diese Richtlinieneinstellung beispielsweise für die Gruppen Administratoren und Benutzer konfigurieren, können Benutzer, die sich bei der Domäne anmelden, auf Ressourcen zugreifen, die von Servern in der Domäne freigegeben werden, wenn Mitglieder der Gruppe Domänenbenutzer in der lokalen Gruppe Benutzer enthalten sind.
Hinweis Wenn Sie IPsec verwenden, um die Netzwerkkommunikation in Ihrem organization zu schützen, stellen Sie sicher, dass eine Gruppe, die Computerkonten enthält, dieses Recht erhält. Dieses Recht ist für eine erfolgreiche Computerauthentifizierung erforderlich. Wenn Sie authentifizierten Benutzern oder Domänencomputern dieses Recht zuweisen, wird diese Anforderung erfüllt.
Mögliche Auswirkung
Wenn Sie die Berechtigung Auf diesen Computer über den Netzwerkbenutzer zugreifen auf Domänencontroller für alle Benutzer entfernen, kann sich niemand bei der Domäne anmelden oder Netzwerkressourcen verwenden. Wenn Sie dieses Benutzerrecht auf Mitgliedsservern entfernen, können Benutzer keine Verbindung mit diesen Servern über das Netzwerk herstellen. Wenn Sie optionale Komponenten wie ASP.NET oder Internetinformationsdienste (IIS) installiert haben, müssen Sie dieses Benutzerrecht möglicherweise anderen Konten zuweisen, die für diese Komponenten erforderlich sind. Es ist wichtig zu überprüfen, ob autorisierten Benutzern dieses Benutzerrecht für die Geräte zugewiesen wird, die sie für den Zugriff auf das Netzwerk benötigen.
Wenn Sie Windows Server- oder Azure Stack HCI-Failoverclustering ausführen, entfernen Sie authentifizierte Benutzer nicht aus der Einstellung Auf diesen Computer zugreifen aus der Netzwerkrichtlinieneinstellung. Dies kann zu einem unerwarteten Produktionsausfall führen. Dieser Ausfall ist auf die CLIUSR des lokalen Benutzerkontos zurückzuführen, die zum Ausführen des Clusterdiensts verwendet wird. CLIUSR ist kein Mitglied der lokalen Administratorgruppe, und wenn die Gruppe Authentifizierte Benutzer entfernt wird, verfügt der Clusterdienst nicht über ausreichende Rechte, um ordnungsgemäß zu funktionieren oder zu starten.