Jump to content

GPO für erzwungene Useranmeldung bzw. Anmeldebildschirm?

Küstennebel

Von Küstennebel
in Active Directory Forum

Direkt zur Lösung Gelöst von Küstennebel,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Küstennebel

Küstennebel   0

Geschrieben
Geschrieben (bearbeitet)

Moin Forum,

gibt es eine GPO für das Erzwingen des Anmeldebildschirms bei Rechnerstart? Bei uns haben einige User ihren Rechner auf "Durchstarten bis zum Desktop" eingestellt, ohne das die Anmeldeinformationen erneut eingegeben werden müssen. Nun, im Zuge der Einführung der EU-DSGV wollen wir hier mal einige Schwachstellen ausmertzen.

Eine GPO für das Locken des Computers nach bestimmter Inaktivität habe ich gefunden, aber einen erzwungenen Anmeldebildschirm bei Rechnerstart leider nicht. Könnt Ihr mir da auf die Sprünge helfen?

 

Gruß

Jörg

(DC Server 2016 / Windows 7 Clients)

bearbeitet von Küstennebel
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben

Hi,

 

ich würde es mit:

Zitat

Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich

Diese Sicherheitseinstellung bestimmt, ob vor der Anmeldung eines Benutzers STRG+ALT+ENTF gedrückt werden muss.

Wenn diese Richtlinie auf einem Computer aktiviert ist, muss der Benutzer nicht STRG+ALT+ENTF drücken, um sich anzumelden. Durch das Umgehen von STRG+ALT+ENTF sind Benutzer Angriffen ausgesetzt, bei denen versucht wird, Kennwörter abzufangen. Das Drücken von STRG+ALT+ENTF gewährleistet, dass Benutzer bei der Eingabe von Kennwörtern über einen vertrauenswürdigen Pfad kommunizieren.

Wenn diese Richtlinie deaktiviert ist, muss jeder Benutzer vor der Anmeldung an Windows STRG+ALT+ENTF drücken.

Standardeinstellung auf Domänencomputern: Aktiviert: Mindestens Windows 8/Deaktiviert: Windows 7 oder früher.
Standardeinstellung auf eigenständigen Computern: Aktiviert.

versuchen. Findest du in den Sicherheitsrichtlinien.

 

Bye

Norbert

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben
vor 13 Stunden schrieb mwiederkehr:

Auf https://support.microsoft.com/de-ch/help/324737/how-to-turn-on-automatic-logon-in-windows steht, wo in der Registry die Login-Informationen hinterlegt werden. Man könnte per GPO diese Werte beim Herunterfahren löschen.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kann nur ein Admin schreiben. Wenn die User alle Admins sind, tragen sie das später einfach wieder ein. Wenn die User Admins sind, gibt es an der Stelle ein ganz anderes Problem.

Link zu diesem Kommentar
mwiederkehr Mentor

mwiederkehr   373

Geschrieben
Geschrieben
vor 16 Minuten schrieb Sunny61:

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kann nur ein Admin schreiben. Wenn die User alle Admins sind, tragen sie das später einfach wieder ein. Wenn die User Admins sind, gibt es an der Stelle ein ganz anderes Problem.

Evtl. trägt Windows die Werte im SYSTEM-Kontext ein? Sonst könnten Benutzer ohne Adminrechte ja kein Auto-Login konfigurieren. Löscht man die Werte beim Abmelden, kann der User zwar immer wieder Auto-Login konfigurieren, aber es hat keinen Effekt, da die Werte beim Neustart weg sind.

Link zu diesem Kommentar
Küstennebel

Küstennebel   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Moin und Dank für die zahlreichen Rückmeldungen. Hätte gedacht, da gibt's mittlerweile 'ne GPO für.

Aber dann setze ich per GPO einfach den Registrywert "AutoAdminLogon" wieder auf "0" und die automatische Anmeldung müsste gegessen sein. Das Löschen des Schlüssels "DefaultPassword" kann ich mir dann schenken.

 

(Bei uns sind einige User auch Lokale Admins auf Ihren Maschinen. Die Softwareentwickler müssen halt ständig Sachen installieren und testen. Und einige haben halt das AutoLogon aktiviert. Und wenn sie das dann später wieder auf "1" setzen, .... mal sehen, wann sie aufgeben. :-))

 

Gruß

Jörg

 

bearbeitet von Küstennebel
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben (bearbeitet)
vor 3 Stunden schrieb Küstennebel:

(Bei uns sind einige User auch Lokale Admins auf Ihren Maschinen. Die Softwareentwickler müssen halt ständig Sachen installieren und testen. Und einige haben halt das AutoLogon aktiviert. Und wenn sie das dann später wieder auf "1" setzen, .... mal sehen, wann sie aufgeben. :-))

Spätestens wenn Daten gelöscht sind oder die ganze Firma am Platz steht und den versprochenen Kuchen und Kaffee vom Mitarbeiter verlangt, mit gut zureden geht da nichts.

bearbeitet von Sunny61
Link zu diesem Kommentar
Küstennebel

Küstennebel   0

Geschrieben
  • Autor
Geschrieben

In diesem Zusammenhang haben wir eben auch mal die GPO "Interaktive Anmeldung: Inaktivitätsgrenze des Computers" getestet. Hier wollten wir gerne erreichen, dass nach 30 Minuten Inaktivität der Rechner gesperrt wird. Doch die genannte GPO funktioniert nicht bei normaler Domänenanmeldung. Hier müssen wir wohl jetzt doch über den erzwungenen Bildschrimschoner gehen.

Link zu diesem Kommentar
  • Beste Lösung
Küstennebel

Küstennebel   0

Geschrieben
  • Autor
  • Beste Lösung
Geschrieben (bearbeitet)

Wen's interessiert, hier die Rückmeldung zur Lösung, welche zumindest bei uns Wirkung zeigt. Teile davon habe ich z.B. hier gefunden:

 

für die Sperrung des Computers nach zeitlicher Inaktivität:

GPO an eine User OU geknüpft:  Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Systemsteuerung > Anpassung:

  1. Bildschirmschoner aktivieren
  2. Kennwortschutz für den Bildschirmschoner verwenden
  3. Zeitlimit für Bildschirmschoner setzen
  4. Bestimmten Bildschirmschoner erzwingen (sofortiger Lock Screen mit „rundll32.exe user32.dll,LockWorkStation“)
für die erzwungene Domänenanmeldung (kein Durchstarten des Rechners bis zum Desktop bei gespeicherten Anmeldedaten)
GPO an eine Computer OU geknüpft:  Computerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung:
Hier muss dann folgender Registrywert angelegt und auf "Aktualisieren" gesetzt werden: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon > AutoAdminLogon auf „0“
 
Falls also ein User ein AutoLogon in seinem Windows aktviert hat (AutoAdminLogon auf „1“), wird dieser Wert überschrieben und wieder auf „0“ gesetzt.
bearbeitet von Küstennebel
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...