- Artikel
- 10/28/2021
- 2 minuten zum Lesen
-
-
D -
S -
V -
g -
J -
+1
-
Gilt für
- Windows 10
Beschreibt die Best Practices, den Speicherort, die Werte, die Richtlinienverwaltung und die Sicherheitsüberlegungen für das Erzwingen des Herunterfahrens von einer Sicherheitsrichtlinieneinstellung für Remotesysteme.
Referenz
Diese Sicherheitseinstellung legt fest, welche Benutzer ein Gerät von einem Remotestandort im Netzwerk herunterfahren dürfen. Mit dieser Einstellung können Mitglieder der Gruppe Administratoren oder bestimmte Benutzer Computer (für Aufgaben wie einen Neustart) von einem Remotestandort aus verwalten.
Konstant: SeRemoteShutdownPrivilege
Mögliche Werte
- Benutzerdefinierte Liste der Konten
- Administratoren
Best Practices
- Beschränken Sie dieses Benutzerrecht explizit auf Mitglieder der Gruppe Administratoren oder andere zugewiesene Rollen, die diese Funktion erfordern, z. B. nicht administrative Vorgänge personal.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten
Standardwerte
Standardmäßig sind dies Administratoren und Serverbetreiber auf Domänencontrollern und Administratoren auf eigenständigen Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
| Standarddomänenrichtlinie | Nicht definiert |
| Standardrichtlinie für Domänencontroller | Administratoren Serverbetreiber |
| Standardeinstellungen des eigenständigen Servers | Administratoren |
| Domänencontroller Effektive Standardeinstellungen | Administratoren Serverbetreiber |
| Mitgliedsserver Effektive Standardeinstellungen | Administratoren |
| Clientcomputer Effektive Standardeinstellungen | Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden Funktionen, Tools und Anleitungen zur Verwaltung dieser Richtlinie beschrieben.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der Zuweisung von Benutzerrechten für ein Konto wird wirksam, wenn sich der Inhaber des Kontos das nächste Mal anmeldet.
Diese Richtlinieneinstellung muss auf den Computer angewendet werden, auf den remote zugegriffen wird.
Gruppenrichtlinie
Dieses Benutzerrecht ist im Gruppenrichtlinienobjekt (GPO) Standarddomänencontroller und in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert.
Die Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt angewendet, das die Einstellungen auf dem lokalen Computer beim nächsten Gruppenrichtlinienupdate überschreibt:
- Lokale Richtlinieneinstellungen
- Standortrichtlinieneinstellungen
- Domänenrichtlinieneinstellungen
- OU-Richtlinieneinstellungen
Wenn eine lokale Einstellung ausgegraut ist, zeigt dies an, dass ein Gruppenrichtlinienobjekt diese Einstellung derzeit steuert.
Sicherheitsüberlegungen
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder seine Konfiguration ausnutzen kann, wie die Gegenmaßnahme implementiert wird und welche negativen Folgen die Implementierung der Gegenmaßnahme haben kann.
Schwachstelle
Jeder Benutzer, der ein Gerät herunterfahren kann, kann einen Denial-of-Service-Zustand verursachen. Daher sollte dieses Benutzerrecht streng eingeschränkt werden.
Gegenmaßnahme
Beschränken Sie das Erzwingen des Herunterfahrens von einem Remotesystembenutzerrecht auf Mitglieder der Administratorengruppe oder andere zugewiesene Rollen, die diese Fähigkeit erfordern, z. B. nicht administratives Betriebspersonal.
Mögliche Auswirkungen
Wenn Sie auf einem Domänencontroller die Option Herunterfahren erzwingen von einem Remotesystembenutzer direkt aus der Serverbetreibergruppe entfernen, können Sie die Fähigkeiten von Benutzern einschränken, die bestimmten Administratorrollen in Ihrer Umgebung zugewiesen sind. Bestätigen Sie, dass delegierte Aktivitäten nicht beeinträchtigt werden.
- Vergabe von Benutzerrechten