Tags: Authentifizierung, Windows 11, Gruppenrichtlinien
Der Windows-Anmeldebildschirm zeigt standardmäßig einige Informationen zum aktuellen Benutzer sowie zu Konten an, deren User sich zuvor in das System eingeloggt haben. Diese kann man gezielt über mehrere Gruppenrichtlinien ausblenden. In einigen Fällen ist allerdings nicht auf Anhieb klar, was diese bewirken und wie sie mit anderen zusammenspielen.
Was Windows auf dem Anmeldebildschirm anzeigt, hat sowohl Einfluss auf die Bedienerfreundlichkeit als auch auf die Sicherheit. Listet der er alle möglichen User auf, die zuvor an dem Rechner gearbeitet haben, dann erspart es diesen beim nächsten Logon das Eintippen ihres Namens.
In einigen sensiblen Umgebungen hingegen will man nicht nur diese Anmeldehistorie verbergen, sondern auch Informationen zu Benutzern bei der Anmeldung oder beim Entsperren des Bildschirms generell ausblenden. Sie könnten böswilligen Akteuren als nützliche Einstiegspunkte für Angriffe dienen.
Die dafür zuständigen Einstellungen lassen sich nur in Ausnahmen interaktiv anpassen. Ihre Konfiguration erfolgt primär über Gruppenrichtlinien oder MDM-Schnittstellen, wobei sie sich aus offensichtlichen Gründen nur unter dem Zweig Computerkonfiguration befinden. Schließlich geht es ja um das Aussehen des Bildschirms bevor sich ein User anmeldet.
Die dafür relevanten Einstellungen sind über zwei Orte verstreut. All jene, deren Bezeichnung mit "Interaktive Anmeldung:" beginnen, findet man unter Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen, die anderen unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden.
(Zuvor) angemeldete Konten ausblenden
Standardmäßig zeigt der Logon-Bildschirm die Accounts, die zuletzt angemeldet waren. Wenn man nicht offenlegen möchte, wer an einem Rechner gearbeitet hat, dann aktiviert man
- Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen ("Interactive logon: Don't display last signed-in").
Der Anmeldebildschirm zeigt dann über dem Login-Formular nur mehr Anderer Benutzer an, so dass jeder User seinen Namen selbst eintippen muss. Außerdem verschwindet die Liste der aktiven Benutzer, wenn man eine Sitzung entsperren möchte.
Angemeldete User nicht anzeigen
Auf den ersten Blick könnte folgende Einstellung dem gleichen Zweck dienen:
- Verbundene Benutzer auf Computern, die der Domäne angehören, nicht auflisten ("Do not enumerate connected users on domain-joined computer")
Sie blendet aber nur Benutzer aus, die aktuell eine Session auf dem Rechner geöffnet haben. Dies kann der Fall sein, wenn jemand mit der schnellen Benutzerumschaltung (Fast User Switching) eine neue Sitzung gestartet hat oder wenn mehrere User gleichzeitig auf einem RDS Session Host arbeiten.
Lokale Konten beim Logon einblenden
Auf Workgroup-Rechnern zeigt der Anmeldebildschirm alle lokalen Konten an, so dass sich User ohne Eingabe ihres Namens einfach einloggen können. Ist der Rechner Mitglied in einer Domäne, dann verschwinden die lokalen Konten vom Logon-Bildschirm, weil dann kaum jemand noch mit ihnen arbeitet.
Dies kann man ändern, indem man folgende Einstellung aktiviert:
- Lokale Benutzer auf Computern, die der Domäne angehören, auflisten ("Enumerate local users on domain-joined computers")
In den meisten Umgebungen wird man darauf jedoch schon aus Sicherheitsgründen verzichten, weil damit auch die Namen der lokalen Admins sichtbar werden.
Benutzerinfos beim Entsperren einer Sitzung
Die Eingabe der Anmeldedaten ist ebenfalls notwendig, wenn man den Bildschirm entsperren möchte. Standardmäßig zeigt Windows hier den Namen des Benutzers an, der seine Session gesperrt hat. Ein Angreifer mit physischem Zugang zum Rechner könnte sich daher sein Wissen über diese Person zunutze machen, um das Passwort zu erraten.
Um zu verbergen, wer an diesem Rechner angemeldet ist, kann man die Anzeige des Namens auf dem gesperrten Bildschirm anpassen, indem man folgende Einstellung konfiguriert:
- Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn die Sitzung gesperrt ist (Interactive logon: Display user information when the session is locked)
Sie bietet drei Optionen, um die Benutzerinformationen anzupassen:
- Benutzeranzeigename, Domänen- und Benutzernamen: Bei einer lokalen Anmeldung der vollständige Name des Benutzers, bei einem Microsoft-Konto seine E-Mail-Adresse und bei einer Domänenanmeldung "Domäne\Benutzername".
- Nur Benutzeranzeigename: der vollständige Name des Benutzers, der die Sitzung gesperrt hat
- Nur Domänen- und Benutzernamen: Nur bei einer Domänenanmeldung wird "Domäne\Benutzername" angezeigt.
- Benutzerinformationen nicht anzeigen: Seit Windows 10 1607 wird diese Option nicht mehr unterstützt. Wählt man die aus, dann erscheint der vollständige Name des Benutzers, der die Sitzung gesperrt hat.
Falls Benutzer in der App Einstellungen unter Konten => Anmeldeoptionen => Datenschutz die Option Im Anmeldebildschirm Kontodetails wie E-Mail-Adresse anzeigen deaktivieren, dann wird nur der Benutzername angezeigt, unabhängig davon, welche Option man bei dieser Richtlinie gewählt hat.
Es gibt eine weitere Gruppenrichtlinie, die speziell auf diesen Zweck zugeschnitten ist:
- Benutzer darf keine Kontodetails auf dem Anmeldebildschirm anzeigen (Block user from showing account details on sign-in)
Aktiviert man diese Richtlinie, dann unterdrückt sie Kontodetails auf dem Anmeldebildschirm, unabhängig davon, wie die konkurrierende Einstellung in der App konfiguriert wurde.
Namen nach Anmeldung ausblenden
Schließlich bietet Windows noch die Möglichkeit, die Anzeige des Benutzernamens zu unterdrücken, nachdem dieser seine Anmeldedaten abgeschickt hat. Die dafür zuständige Einstellung heißt:
- Interaktive Anmeldung: Keinen Benutzernamen bei der Anmeldung anzeigen ("Interactive logon: Don't display username at sign-in")
Sie wirkt allerdings nur, wenn sich ein Anwender über die Schaltfläche Anderer Benutzer anmeldet. Erscheint sein Name jedoch auf dem Login-Bildschirm und er klickt auf diesen für die Anmeldung, dann wird er mit seinem Namen begrüßt.
Sinnvoll ist diese Option daher nur in Kombination mit der oben beschriebenen Einstellung Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen ("Interactive logon: Don't display last signed-in"), weil sie dafür sorgt, dass nur mehr Anderer Benutzer zur Verfügung steht.
Zusammenfassung
In sicherheitskritischen Umgebungen kann die Historie der zuletzt angemeldeten Benutzer auf dem Logon-Bildschirm oder die Anzeige des Namens auf dem gesperrten Bildschirm unerwünscht sein. Diese Informationen könnten potenzielle Angreifer etwa zu Social Engineering inspirieren.
Microsoft bietet daher die Möglichkeit, das Aussehen der Anmeldeseite mit Hilfe von Gruppenrichtlinien anzupassen. Dafür sind Einstellungen an zwei verschiedenen Orten zuständig, was die Aufgabe nicht vereinfacht. Das Gleiche gilt für unklare Abgrenzung einiger Policies untereinander.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
- Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11
- EvergreenAdmx: Administrative Vorlagen automatisch aktualisieren
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- Neue Gruppenrichtlinien in Windows 11 2022: Startmenü, Taskbar, winget, Drucken, Defender, IE
Weitere Links