So blockieren Sie den Remote-Netzwerkzugriff für lokale Benutzerkonten in Windows

Ja, die Verwaltung lokaler Benutzerkonten unter Windows in einer Domänenumgebung kann wirklich lästig sein. Lokale Administratorkonten werden üblicherweise für die schnelle Fehlerbehebung oder den Fernzugriff verwendet. Wenn jedoch mehrere Geräte denselben Benutzernamen und dasselbe Passwort verwenden, ist das, als würde man eine Hintertür weit offen lassen. Insbesondere angesichts des Risikos von Pass-the-Hash-Angriffen ist das alles andere als optimal für die Sicherheit. Außerdem kann es ein Albtraum sein, herauszufinden, wer auf welche Daten zugegriffen hat, da diese lokalen Anmeldungen nicht auf den Domänencontrollern protokolliert werden. Nicht ideal, wenn man Wert auf Nachvollziehbarkeit legt.

Ein guter Schritt ist es, das standardmäßige lokale Administratorkonto umzubenennen – eine eigentlich simple Maßnahme, die aber die Tarnung verbessert. Dies lässt sich über „ Lokale Benutzer und Gruppen“ in der Computerverwaltung oder, falls Sie mehrere Computer verwalten, über eine Gruppenrichtlinie (GPO) erledigen. Um den Remotezugriff abzusichern, sind Tools wie Microsofts „Local Administrator Password Solution“ ( KB 2871997 ) sehr hilfreich, da sie die Passwörter im Netzwerk regelmäßig ändern. Das löst jedoch nicht das größere Problem: die Vielzahl potenziell vorhandener lokaler Konten. Denn seien wir ehrlich: Windows ist nicht perfekt darin, die Kontrolle über all diese Konten zentral zu verwalten.

So schränken Sie den Netzwerkzugriff für lokale Konten ein

Methode 1: Verwenden Sie die Zugriffsverweigerungsrichtlinie mit SIDs

Das mag etwas technisch klingen, funktioniert aber, um gezielt lokale Benutzerkonten zu blockieren. Warum? Weil Windows spezifische Sicherheitskennungen (SIDs) vergibt. Zwei wichtige SIDs sind S-1-5-113 für alle lokalen Benutzerkonten und S-1-5-114 für lokale Administratoren. Diese Gruppen werden beim Anmelden dem Zugriffstoken des Benutzers hinzugefügt, und Sie können ihnen den Netzwerkzugriff verweigern, indem Sie diese SIDs der Richtlinie „Zugriff auf diesen Computer aus dem Netzwerk verweigern“ hinzufügen.

Hier ist der schnelle und einfache Befehl, um zu überprüfen, ob Ihr lokales Administratorkonto unter Windows 10/Server 2016 diesen Gruppen hinzugefügt wird:

Whoami /all

Dieser Befehl listet die Gruppen auf, denen Sie angehören, einschließlich derer mit den SIDs S-1-5-113 und S-1-5-114. Werden diese Gruppen angezeigt, ist das Token korrekt eingerichtet. Andernfalls müssen Sie möglicherweise ein Update durchführen, um die Gruppen zu aktivieren.

Andererseits können Sie die Existenz dieser SIDs überprüfen, indem Sie ein PowerShell-Skript wie das folgende ausführen:

$objSID = New-Object System. Security. Principal. SecurityIdentifier("S-1-5-113") $objAccount = $objSID. Translate([System. Security. Principal. NTAccount]) Write-Output $objAccount. Value

Wenn die Antwort „NT Authority\Local account“ lautet, ist alles in Ordnung. Andernfalls müssen Sie diese SIDs möglicherweise manuell erstellen oder die Sicherheitsgruppen Ihres Systems überprüfen.

Methode 2: Gruppenrichtlinie zum Verweigern des Netzwerkzugriffs konfigurieren

Sobald diese Gruppen bestätigt sind, können Sie sie unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten der Netzwerkrichtlinie „Zugriff auf diesen Computer verweigern“ hinzufügen. Dadurch wird die Netzwerkanmeldung für alle lokalen Konten, die zu diesen Gruppen gehören, deaktiviert.

Achtung: Falls Sie bereits eine Richtlinie für den Fernzugriff bestimmter Gruppen eingerichtet haben, wird diese durch die Verweigerungsrichtlinie überschrieben. Daher kann die Implementierung dieser Richtlinie zu Verbindungsabbrüchen führen, wenn Sie nicht vorsichtig vorgehen. Auf manchen Rechnern ist möglicherweise ein Neustart oder die Ausführung von `gpupdate /force` erforderlich, damit diese Einstellung wirksam wird.

Beschränken des Remote-Desktop-Zugriffs für lokale Konten

Wenn der Zugriff auf Remotedesktopdienste ein Problem darstellt, kann die Richtlinie „Anmeldung über Remotedesktopdienste verweigern“ lokale und Domänenkonten daran hindern, eine Remoteverbindung herzustellen.Öffnen Sie dazu gpedit.msc (oder Active Directory, falls Sie mehrere Computer verwalten) und navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten. Suchen Sie nach „Anmeldung über Remotedesktopdienste verweigern“ und fügen Sie die Gruppen „Lokales Konto und Mitglied der Gruppe Administratoren“ sowie „Lokales Konto“ hinzu.

Vergessen Sie nicht, gpupdate /forcenach jeder Änderung einen Neustart durchzuführen. Dadurch werden Remote-RDP-Sitzungen für diese Konten gesperrt und potenziell riskante Fernzugriffe verhindert. Beachten Sie jedoch, dass dies in manchen Konfigurationen Ihre übliche Administratoranmeldung blockieren kann. Testen Sie dies daher vorher.

Beschränken des Netzwerkzugriffs von lokalen Konten

Als Nächstes können Sie die Netzwerkeinstellung „Zugriff auf diesen Computer verweigern“ auf ähnliche Weise nutzen, indem Sie dort Ihre lokalen Gruppen hinzufügen. Dadurch wird verhindert, dass lokale Benutzer Ordner freigeben oder Laufwerke remote verbinden. Genau das Richtige, wenn Sie die Sicherheit Ihrer Rechner umfassend gewährleisten möchten.

In einer Domänenumgebung kann diese Richtlinie auch auf Konten mit hohen Berechtigungen wie Domänen- und Unternehmensadministratoren angewendet werden, um Angriffsvektoren einzuschränken. Bei Aktivierung blockiert sie alle Netzwerkanmeldungen für diese lokalen Konten und bietet so einen wirksamen Schutz vor Zugriffsausweitungsversuchen.

Aber Vorsicht: Wenn Sie dies auf einem PC anwenden, der nicht in der Domäne ist, können Sie sich wahrscheinlich gar nicht remote anmelden – nur lokal. Und wenn etwas schiefgeht, könnten Sie komplett ausgesperrt werden. Testen Sie daher immer zuerst auf einem Testrechner!

Lokale Anmeldung gemäß der Benutzerrechterichtlinie verweigern

Für alle, die noch weiter gehen möchten, ist die Richtlinie „Lokale Anmeldung verweigern“ genau das Richtige. Sie verhindert, dass sich bestimmte lokale Gruppen interaktiv an einem Windows-Rechner anmelden. Gehen Sie dazu einfach zu Gruppenrichtlinienobjekt (GPO) > Zuweisung von Benutzerrechten > Lokale Anmeldung verweigern und fügen Sie die Gruppen hinzu, deren Zugriff Sie einschränken möchten.

Achtung: Hier ist äußerste Vorsicht geboten. Sollten Sie sich versehentlich selbst blockieren, kann die Wiederherstellung sehr aufwendig sein. Diese Funktion ist in der Regel für spezielle Sicherheitsszenarien gedacht, nicht für den alltäglichen Gebrauch. Auf einem Computer, der einer Domäne beigetreten ist, sollten Sie außerdem die Kontobeschränkungen in Active Directory überprüfen.

Zusammenfassend bieten diese Richtlinien eine gute Kontrolle über die Funktionsweise lokaler Konten im Hinblick auf Netzwerk- und Fernzugriff. Man sollte es aber nicht übertreiben, sonst sperrt man sich womöglich selbst aus – und das wäre ziemlich ärgerlich.

Zusammenfassung

  • Durch die Umbenennung des standardmäßigen lokalen Administratorkontos wird der Zugriff verschleiert.
  • Verwenden Sie die SIDs S-1-5-113 und S-1-5-114, um lokale Konten in Richtlinien gezielt anzusprechen.
  • Konfigurieren Sie „ Zugriff auf diesen Computer aus dem Netzwerk verweigern“ für lokale Gruppen, um Netzwerkanmeldungen zu blockieren.
  • Richten Sie die Option „Anmeldung verweigern“ über Remotedesktopdienste ein, um Remotesitzungen einzuschränken.
  • Seien Sie vorsichtig mit lokalen Anmeldebeschränkungen – Tests im Voraus verhindern Aussperrungen.

Zusammenfassung

Die Umsetzung dieser Einschränkungen ist nicht immer einfach, insbesondere bei der Verwaltung mehrerer Geräte. Durch das Blockieren des Netzwerkzugriffs lokaler Konten und gegebenenfalls von Remote-Anmeldungen wird die Sicherheit jedoch deutlich erhöht – insbesondere im Hinblick auf Rechteausweitung und unbefugten Zugriff. Manches davon mag etwas übertrieben erscheinen, aber da Windows die zentrale Verwaltung lokaler Konten nicht immer einfach macht, ist dies die einzige Lösung, wenn Sicherheit Priorität hat. Schon komisch, wie kompliziert Microsoft das Ganze gestaltet, oder?

Hoffentlich spart das jemandem ein paar Stunden. Denkt nur daran, alles zuerst auf einem einzelnen Rechner zu testen – sicher ist sicher, bevor ihr euch versehentlich aus eurem Netzwerk aussperrt!