Jump to content

GPO für erzwungene Useranmeldung bzw. Anmeldebildschirm?


Go to solution Solved by Küstennebel,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Moin Forum,

gibt es eine GPO für das Erzwingen des Anmeldebildschirms bei Rechnerstart? Bei uns haben einige User ihren Rechner auf "Durchstarten bis zum Desktop" eingestellt, ohne das die Anmeldeinformationen erneut eingegeben werden müssen. Nun, im Zuge der Einführung der EU-DSGV wollen wir hier mal einige Schwachstellen ausmertzen.

Eine GPO für das Locken des Computers nach bestimmter Inaktivität habe ich gefunden, aber einen erzwungenen Anmeldebildschirm bei Rechnerstart leider nicht. Könnt Ihr mir da auf die Sprünge helfen?

 

Gruß

Jörg

(DC Server 2016 / Windows 7 Clients)

Edited by Küstennebel
Link to comment

Hi,

 

ich würde es mit:

Zitat

Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich

Diese Sicherheitseinstellung bestimmt, ob vor der Anmeldung eines Benutzers STRG+ALT+ENTF gedrückt werden muss.

Wenn diese Richtlinie auf einem Computer aktiviert ist, muss der Benutzer nicht STRG+ALT+ENTF drücken, um sich anzumelden. Durch das Umgehen von STRG+ALT+ENTF sind Benutzer Angriffen ausgesetzt, bei denen versucht wird, Kennwörter abzufangen. Das Drücken von STRG+ALT+ENTF gewährleistet, dass Benutzer bei der Eingabe von Kennwörtern über einen vertrauenswürdigen Pfad kommunizieren.

Wenn diese Richtlinie deaktiviert ist, muss jeder Benutzer vor der Anmeldung an Windows STRG+ALT+ENTF drücken.

Standardeinstellung auf Domänencomputern: Aktiviert: Mindestens Windows 8/Deaktiviert: Windows 7 oder früher.
Standardeinstellung auf eigenständigen Computern: Aktiviert.

versuchen. Findest du in den Sicherheitsrichtlinien.

 

Bye

Norbert

Link to comment
vor 13 Stunden schrieb mwiederkehr:

Auf https://support.microsoft.com/de-ch/help/324737/how-to-turn-on-automatic-logon-in-windows steht, wo in der Registry die Login-Informationen hinterlegt werden. Man könnte per GPO diese Werte beim Herunterfahren löschen.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kann nur ein Admin schreiben. Wenn die User alle Admins sind, tragen sie das später einfach wieder ein. Wenn die User Admins sind, gibt es an der Stelle ein ganz anderes Problem.

Link to comment
vor 16 Minuten schrieb Sunny61:

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kann nur ein Admin schreiben. Wenn die User alle Admins sind, tragen sie das später einfach wieder ein. Wenn die User Admins sind, gibt es an der Stelle ein ganz anderes Problem.

Evtl. trägt Windows die Werte im SYSTEM-Kontext ein? Sonst könnten Benutzer ohne Adminrechte ja kein Auto-Login konfigurieren. Löscht man die Werte beim Abmelden, kann der User zwar immer wieder Auto-Login konfigurieren, aber es hat keinen Effekt, da die Werte beim Neustart weg sind.

Link to comment

Moin und Dank für die zahlreichen Rückmeldungen. Hätte gedacht, da gibt's mittlerweile 'ne GPO für.

Aber dann setze ich per GPO einfach den Registrywert "AutoAdminLogon" wieder auf "0" und die automatische Anmeldung müsste gegessen sein. Das Löschen des Schlüssels "DefaultPassword" kann ich mir dann schenken.

 

(Bei uns sind einige User auch Lokale Admins auf Ihren Maschinen. Die Softwareentwickler müssen halt ständig Sachen installieren und testen. Und einige haben halt das AutoLogon aktiviert. Und wenn sie das dann später wieder auf "1" setzen, .... mal sehen, wann sie aufgeben. :-))

 

Gruß

Jörg

 

Edited by Küstennebel
Link to comment
vor 3 Stunden schrieb Küstennebel:

(Bei uns sind einige User auch Lokale Admins auf Ihren Maschinen. Die Softwareentwickler müssen halt ständig Sachen installieren und testen. Und einige haben halt das AutoLogon aktiviert. Und wenn sie das dann später wieder auf "1" setzen, .... mal sehen, wann sie aufgeben. :-))

Spätestens wenn Daten gelöscht sind oder die ganze Firma am Platz steht und den versprochenen Kuchen und Kaffee vom Mitarbeiter verlangt, mit gut zureden geht da nichts.

Edited by Sunny61
Link to comment

In diesem Zusammenhang haben wir eben auch mal die GPO "Interaktive Anmeldung: Inaktivitätsgrenze des Computers" getestet. Hier wollten wir gerne erreichen, dass nach 30 Minuten Inaktivität der Rechner gesperrt wird. Doch die genannte GPO funktioniert nicht bei normaler Domänenanmeldung. Hier müssen wir wohl jetzt doch über den erzwungenen Bildschrimschoner gehen.

Link to comment
  • Solution

Wen's interessiert, hier die Rückmeldung zur Lösung, welche zumindest bei uns Wirkung zeigt. Teile davon habe ich z.B. hier gefunden:

 

für die Sperrung des Computers nach zeitlicher Inaktivität:

GPO an eine User OU geknüpft:  Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Systemsteuerung > Anpassung:

  1. Bildschirmschoner aktivieren
  2. Kennwortschutz für den Bildschirmschoner verwenden
  3. Zeitlimit für Bildschirmschoner setzen
  4. Bestimmten Bildschirmschoner erzwingen (sofortiger Lock Screen mit „rundll32.exe user32.dll,LockWorkStation“)
für die erzwungene Domänenanmeldung (kein Durchstarten des Rechners bis zum Desktop bei gespeicherten Anmeldedaten)
GPO an eine Computer OU geknüpft:  Computerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung:
Hier muss dann folgender Registrywert angelegt und auf "Aktualisieren" gesetzt werden: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon > AutoAdminLogon auf „0“
 
Falls also ein User ein AutoLogon in seinem Windows aktviert hat (AutoAdminLogon auf „1“), wird dieser Wert überschrieben und wieder auf „0“ gesetzt.
Edited by Küstennebel
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...