Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung

In diesem Artikel wird eine Änderung an einer Sicherheitsrichtlinie ab Windows 10, Version 1709, und Windows Server 2016 Version 1709, beschrieben. Gemäß der neuen Richtlinie können nur Benutzer, die lokale Administratoren auf einem Remotecomputer sind, Dienste auf diesem Computer starten oder beenden.

In diesem Artikel wird auch beschrieben, wie einzelne Dienste aus dieser neuen Richtlinie ausgeschlossen werden.

Weitere Informationen

Ein häufiger Sicherheitsfehler besteht darin, eine uneingeschränkte Sicherheitsbeschreibung (siehe Dienstsicherheit und Zugriffsrechte) zu verwenden und dadurch mehr Remoteanrufern als beabsichtigt Zugriff zu gewähren. Dienste, die authentifizierten Benutzern SERVICE_START- oder SERVICE_STOP-Berechtigungen gewähren, sind beispielsweise nicht ungewöhnlich. Diese Berechtigungen sollten zwar in der Regel nur lokalen Administratorbenutzern gewährt werden, Authentifizierte Benutzer umfasst aber auch alle Benutzer oder Computerkonten in der Active Directory-Gesamtstruktur, unabhängig davon, ob dieses Konto Mitglied der Administratorengruppe auf dem Remote- oder auf dem lokalen Computer ist. Diese übermäßigen Berechtigungen könnten missbraucht werden und das gesamte Netzwerk beschädigen.

Angesichts der Verbreitung und des potenziellen Schweregrads dieses Problems sowie der modernen Sicherheitsmaßnahme, dass angenommen wird, dass ausreichend große Domänen beschädigte Computer enthalten, wurde eine neue Systemsicherheitseinstellung eingeführt, die erfordert, dass Remoteanrufer auch lokale Administratoren auf dem Computer sein müssen, damit die folgenden Dienstberechtigungen angefordert werden können:

SERVICE_CHANGE_CONFIG
SERVICE_START
SERVICE_STOP
SERVICE_PAUSE_CONTINUE
DELETE
WRITE_DAC
WRITE_OWNER

Die neue Sicherheitseinstellung erfordert auch, das Remoteanrufer lokale Administratoren auf dem Computer sind, damit die folgenden Berechtigungen des Dienststeuerungs-Managers angefordert werden können:

SC_MANAGER_CREATE_SERVICE

Hinweis: Diese Prüfung auf lokale Administratoren findet zusätzlich zu der vorhandenen Zugriffsprüfung für den Dienst oder die Sicherheitsbeschreibung der Dienststeuerung statt. Diese Einstellung wurde in Windows 10, Version 1709, und in Windows Server 2016, Version 1709, eingeführt. Die Einstellung ist standardmäßig aktiviert.

Diese neue Prüfung führt bei manchen Kunden mit Diensten, die darauf beruhen, dass Nicht-Administratoren diese remote starten oder beenden können, möglicherweise zu Problemen. Falls erforderlich, können Sie einzelne Dienste aus dieser Richtlinie ausschließen, indem Sie den Dienstnamen am folgenden Registrierungsspeicherort zum REG_MULTI_SZ-Registrierungswert RemoteAccessCheckExemptionList hinzufügen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Gehen Sie hierfür folgendermaßen vor:

  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.

  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

    Hinweis:     Wenn der Unterschlüssel nicht vorhanden ist, müssen Sie ihn erstellen: Klicken Sie im Menü Bearbeiten auf Neu, und wählen Sie dann Schlüssel aus. Geben Sie den Namen des neuen Unterschlüssels ein, und drücken Sie dann die EINGABESTASTE.

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann REG_MULTI_SZ Value aus.

  4. Geben Sie RemoteAccessCheckExemptionList als Namen für den REG_MULTI_SZ-Wert ein, und drücken Sie dann die EINGABETASTE.

  5. Doppelklicken Sie auf den Wert RemoteAccessCheckExemptionList, geben Sie den Namen des Diensts an, der aus der neuen Richtlinie ausgeschlossen werden sollen, und klicken Sie dann auf OK.

  6. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.

Administratoren, die diese neue Prüfung global deaktivieren und das alte, weniger sichere Verhalten wiederherstellen möchten, können den REG_DWORD-Registrierungswert RemoteAccessExemption am folgenden Registrierungsspeicherort auf einen Wert festlegen, der nicht Null ist:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Hinweis: Durch vorübergehendes Festlegen dieses Werts kann schnell ermittelt werden, ob dieses neue Berechtigungsmodell die Ursache von Anwendungskompatibilitätsproblemen ist.

Gehen Sie hierfür folgendermaßen vor:

  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.

  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf REG_DWORD-Wert (32-Bit) .

  4. Geben Sie RemoteAccessCheckExemption als Namen für den REG_DWORD-Wert ein, und drücken Sie dann die EINGABETASTE.

  5. Doppelklicken Sie auf den Wert RemoteAccessExemption, geben Sie 1 in das Feld Wertdaten ein, und klicken Sie dann auf OK.

  6. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×