Küstennebel 0 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 (bearbeitet) Moin Forum, gibt es eine GPO für das Erzwingen des Anmeldebildschirms bei Rechnerstart? Bei uns haben einige User ihren Rechner auf "Durchstarten bis zum Desktop" eingestellt, ohne das die Anmeldeinformationen erneut eingegeben werden müssen. Nun, im Zuge der Einführung der EU-DSGV wollen wir hier mal einige Schwachstellen ausmertzen. Eine GPO für das Locken des Computers nach bestimmter Inaktivität habe ich gefunden, aber einen erzwungenen Anmeldebildschirm bei Rechnerstart leider nicht. Könnt Ihr mir da auf die Sprünge helfen? Gruß Jörg (DC Server 2016 / Windows 7 Clients) bearbeitet 28. März 2018 von Küstennebel Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 Hi, ich würde es mit: Zitat Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich Diese Sicherheitseinstellung bestimmt, ob vor der Anmeldung eines Benutzers STRG+ALT+ENTF gedrückt werden muss. Wenn diese Richtlinie auf einem Computer aktiviert ist, muss der Benutzer nicht STRG+ALT+ENTF drücken, um sich anzumelden. Durch das Umgehen von STRG+ALT+ENTF sind Benutzer Angriffen ausgesetzt, bei denen versucht wird, Kennwörter abzufangen. Das Drücken von STRG+ALT+ENTF gewährleistet, dass Benutzer bei der Eingabe von Kennwörtern über einen vertrauenswürdigen Pfad kommunizieren. Wenn diese Richtlinie deaktiviert ist, muss jeder Benutzer vor der Anmeldung an Windows STRG+ALT+ENTF drücken. Standardeinstellung auf Domänencomputern: Aktiviert: Mindestens Windows 8/Deaktiviert: Windows 7 oder früher. Standardeinstellung auf eigenständigen Computern: Aktiviert. versuchen. Findest du in den Sicherheitsrichtlinien. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 Moin, nee, das ist es nicht. Diese Einstellung steuert, ob man den Lockscreen mit irgendeiner Taste zur Anmeldeseite öffnet (Standard z.B. in Windows 10) oder ob man "wie früher" Strg-Alt-Entf drücken muss. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 Geht ein Autologon bei Domänen-PCs überhaupt? Oder reden wir von Workgroups? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 Im Zweifelsfall gehts mit dem Sysinternals Autologon einzurichten. Auf der Seite (https://docs.microsoft.com/en-us/sysinternals/downloads/autologon) steht evtl. auch ein Lösungsansatz: Zitat Note: When Exchange Activesync password restrictions are in place, Windows will not process the autologon configuration. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 Sie soll ja aus sein ;) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 Ja, daher ja das Zitat der Sysinternals Seite. (Sofern man ein ggfs. wie auch immer eingerichtetes Auto-Login hat und man es nicht anderweitig ausschalten kann) Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 28. März 2018 Melden Teilen Geschrieben 28. März 2018 Auf https://support.microsoft.com/de-ch/help/324737/how-to-turn-on-automatic-logon-in-windows steht, wo in der Registry die Login-Informationen hinterlegt werden. Man könnte per GPO diese Werte beim Herunterfahren löschen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 29. März 2018 Melden Teilen Geschrieben 29. März 2018 vor 13 Stunden schrieb mwiederkehr: Auf https://support.microsoft.com/de-ch/help/324737/how-to-turn-on-automatic-logon-in-windows steht, wo in der Registry die Login-Informationen hinterlegt werden. Man könnte per GPO diese Werte beim Herunterfahren löschen. In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kann nur ein Admin schreiben. Wenn die User alle Admins sind, tragen sie das später einfach wieder ein. Wenn die User Admins sind, gibt es an der Stelle ein ganz anderes Problem. Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 29. März 2018 Melden Teilen Geschrieben 29. März 2018 vor 16 Minuten schrieb Sunny61: In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kann nur ein Admin schreiben. Wenn die User alle Admins sind, tragen sie das später einfach wieder ein. Wenn die User Admins sind, gibt es an der Stelle ein ganz anderes Problem. Evtl. trägt Windows die Werte im SYSTEM-Kontext ein? Sonst könnten Benutzer ohne Adminrechte ja kein Auto-Login konfigurieren. Löscht man die Werte beim Abmelden, kann der User zwar immer wieder Auto-Login konfigurieren, aber es hat keinen Effekt, da die Werte beim Neustart weg sind. Zitieren Link zu diesem Kommentar
Küstennebel 0 Geschrieben 29. März 2018 Autor Melden Teilen Geschrieben 29. März 2018 (bearbeitet) Moin und Dank für die zahlreichen Rückmeldungen. Hätte gedacht, da gibt's mittlerweile 'ne GPO für. Aber dann setze ich per GPO einfach den Registrywert "AutoAdminLogon" wieder auf "0" und die automatische Anmeldung müsste gegessen sein. Das Löschen des Schlüssels "DefaultPassword" kann ich mir dann schenken. (Bei uns sind einige User auch Lokale Admins auf Ihren Maschinen. Die Softwareentwickler müssen halt ständig Sachen installieren und testen. Und einige haben halt das AutoLogon aktiviert. Und wenn sie das dann später wieder auf "1" setzen, .... mal sehen, wann sie aufgeben. ) Gruß Jörg bearbeitet 29. März 2018 von Küstennebel Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 29. März 2018 Melden Teilen Geschrieben 29. März 2018 Dann verbiete das Autologon organisatorisch (zusätzlich zur GPO). Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 29. März 2018 Melden Teilen Geschrieben 29. März 2018 (bearbeitet) vor 3 Stunden schrieb Küstennebel: (Bei uns sind einige User auch Lokale Admins auf Ihren Maschinen. Die Softwareentwickler müssen halt ständig Sachen installieren und testen. Und einige haben halt das AutoLogon aktiviert. Und wenn sie das dann später wieder auf "1" setzen, .... mal sehen, wann sie aufgeben. ) Spätestens wenn Daten gelöscht sind oder die ganze Firma am Platz steht und den versprochenen Kuchen und Kaffee vom Mitarbeiter verlangt, mit gut zureden geht da nichts. bearbeitet 29. März 2018 von Sunny61 Zitieren Link zu diesem Kommentar
Küstennebel 0 Geschrieben 29. März 2018 Autor Melden Teilen Geschrieben 29. März 2018 In diesem Zusammenhang haben wir eben auch mal die GPO "Interaktive Anmeldung: Inaktivitätsgrenze des Computers" getestet. Hier wollten wir gerne erreichen, dass nach 30 Minuten Inaktivität der Rechner gesperrt wird. Doch die genannte GPO funktioniert nicht bei normaler Domänenanmeldung. Hier müssen wir wohl jetzt doch über den erzwungenen Bildschrimschoner gehen. Zitieren Link zu diesem Kommentar
Beste Lösung Küstennebel 0 Geschrieben 29. März 2018 Autor Beste Lösung Melden Teilen Geschrieben 29. März 2018 (bearbeitet) Wen's interessiert, hier die Rückmeldung zur Lösung, welche zumindest bei uns Wirkung zeigt. Teile davon habe ich z.B. hier gefunden: für die Sperrung des Computers nach zeitlicher Inaktivität: GPO an eine User OU geknüpft: Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Systemsteuerung > Anpassung: Bildschirmschoner aktivieren Kennwortschutz für den Bildschirmschoner verwenden Zeitlimit für Bildschirmschoner setzen Bestimmten Bildschirmschoner erzwingen (sofortiger Lock Screen mit „rundll32.exe user32.dll,LockWorkStation“) für die erzwungene Domänenanmeldung (kein Durchstarten des Rechners bis zum Desktop bei gespeicherten Anmeldedaten) GPO an eine Computer OU geknüpft: Computerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung: Hier muss dann folgender Registrywert angelegt und auf "Aktualisieren" gesetzt werden: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon > AutoAdminLogon auf „0“ Falls also ein User ein AutoLogon in seinem Windows aktviert hat (AutoAdminLogon auf „1“), wird dieser Wert überschrieben und wieder auf „0“ gesetzt. bearbeitet 29. März 2018 von Küstennebel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.