Benutzer am Login-Bildschirm anzeigen oder ausblenden mit Gruppenrichtlinien

    , 01.02.2023, zuletzt aktualisiert am 20.02.2023
    Tags: , ,

    Windows LogonDer Windows-Anmeldebildschirm zeigt standardmäßig einige Informationen zum aktuellen Benutzer sowie zu Konten an, deren User sich zuvor in das System eingeloggt haben. Diese kann man gezielt über mehrere Gruppenrichtlinien ausblenden. In einigen Fällen ist allerdings nicht auf Anhieb klar, was diese bewirken und wie sie mit anderen zusammenspielen.

    Was Windows auf dem Anmeldebildschirm anzeigt, hat sowohl Einfluss auf die Bediener­freund­lichkeit als auch auf die Sicherheit. Listet der er alle möglichen User auf, die zuvor an dem Rechner gearbeitet haben, dann erspart es diesen beim nächsten Logon das Eintippen ihres Namens.

    In einigen sensiblen Umgebungen hingegen will man nicht nur diese Anmeldehistorie verbergen, sondern auch Informationen zu Benutzern bei der Anmeldung oder beim Entsperren des Bildschirms generell ausblenden. Sie könnten böswilligen Akteuren als nützliche Einstiegspunkte für Angriffe dienen.

    Die dafür zuständigen Einstellungen lassen sich nur in Ausnahmen interaktiv anpassen. Ihre Konfiguration erfolgt primär über Gruppenrichtlinien oder MDM-Schnittstellen, wobei sie sich aus offensichtlichen Gründen nur unter dem Zweig Computer­konfiguration befinden. Schließlich geht es ja um das Aussehen des Bildschirms bevor sich ein User anmeldet.

    Die dafür relevanten Einstellungen sind über zwei Orte verstreut. All jene, deren Bezeichnung mit "Interaktive Anmeldung:" beginnen, findet man unter Computer­konfiguration => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheits­optionen, die anderen unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden.

    Einstellungen für die Logon-Konfiguration unter lokale Richtlinien / Sicherheitsoptionen

    (Zuvor) angemeldete Konten ausblenden

    Standardmäßig zeigt der Logon-Bildschirm die Accounts, die zuletzt angemeldet waren. Wenn man nicht offenlegen möchte, wer an einem Rechner gearbeitet hat, dann aktiviert man

    • Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen ("Interactive logon: Don't display last signed-in").

    Der Anmeldebildschirm zeigt dann über dem Login-Formular nur mehr Anderer Benutzer an, so dass jeder User seinen Namen selbst eintippen muss. Außerdem verschwindet die Liste der aktiven Benutzer, wenn man eine Sitzung entsperren möchte.

    Nach dem Ausblenden der zuletzt angemeldeten Benutzer zeigt Windows nur mehr "Anderer Benutzer" an.

    Angemeldete User nicht anzeigen

    Auf den ersten Blick könnte folgende Einstellung dem gleichen Zweck dienen:

    • Verbundene Benutzer auf Computern, die der Domäne angehören, nicht auflisten ("Do not enumerate connected users on domain-joined computer")

    Sie blendet aber nur Benutzer aus, die aktuell eine Session auf dem Rechner geöffnet haben. Dies kann der Fall sein, wenn jemand mit der schnellen Benutzer­umschaltung (Fast User Switching) eine neue Sitzung gestartet hat oder wenn mehrere User gleichzeitig auf einem RDS Session Host arbeiten.

    Standardmäßig zeigt Windows alle User mit einer aktiven Session auf dem Rechner an

    Lokale Konten beim Logon einblenden

    Auf Workgroup-Rechnern zeigt der Anmeldebildschirm alle lokalen Konten an, so dass sich User ohne Eingabe ihres Namens einfach einloggen können. Ist der Rechner Mitglied in einer Domäne, dann verschwinden die lokalen Konten vom Logon-Bildschirm, weil dann kaum jemand noch mit ihnen arbeitet.

    Dies kann man ändern, indem man folgende Einstellung aktiviert:

    • Lokale Benutzer auf Computern, die der Domäne angehören, auflisten ("Enumerate local users on domain-joined computers")

    In den meisten Umgebungen wird man darauf jedoch schon aus Sicherheitsgründen verzichten, weil damit auch die Namen der lokalen Admins sichtbar werden.

    Benutzerinfos beim Entsperren einer Sitzung

    Die Eingabe der Anmeldedaten ist ebenfalls notwendig, wenn man den Bildschirm entsperren möchte. Standardmäßig zeigt Windows hier den Namen des Benutzers an, der seine Session gesperrt hat. Ein Angreifer mit physischem Zugang zum Rechner könnte sich daher sein Wissen über diese Person zunutze machen, um das Passwort zu erraten.

    Um zu verbergen, wer an diesem Rechner angemeldet ist, kann man die Anzeige des Namens auf dem gesperrten Bildschirm anpassen, indem man folgende Einstellung konfiguriert:

    • Interaktive Anmeldung: Benutzerinformationen anzeigen, wenn die Sitzung gesperrt ist (Interactive logon: Display user information when the session is locked)

    Optionen zur Konfiguration der Benutzerinformationen auf dem Bildschirm zum Entsperren einer Sitzung

    Sie bietet drei Optionen, um die Benutzerinformationen anzupassen:

    • Benutzeranzeigename, Domänen- und Benutzernamen: Bei einer lokalen Anmeldung der vollständige Name des Benutzers, bei einem Microsoft-Konto seine E-Mail-Adresse und bei einer Domänenanmeldung "Domäne\Benutzername".
    • Nur Benutzeranzeigename: der vollständige Name des Benutzers, der die Sitzung gesperrt hat
    • Nur Domänen- und Benutzernamen: Nur bei einer Domänen­anmeldung wird "Domäne\Benutzername" angezeigt.
    • Benutzerinformationen nicht anzeigen: Seit Windows 10 1607 wird diese Option nicht mehr unterstützt. Wählt man die aus, dann erscheint der vollständige Name des Benutzers, der die Sitzung gesperrt hat.

    Anzeige bei der Auswahl von Nur Domänen- und Benutzernamen

    Falls Benutzer in der App Einstellungen unter Konten => Anmeldeoptionen => Datenschutz die Option Im Anmeldebildschirm Kontodetails wie E-Mail-Adresse anzeigen deaktivieren, dann wird nur der Benutzername angezeigt, unabhängig davon, welche Option man bei dieser Richtlinie gewählt hat.

    Option zur Konfiguration der Benutzerinfos auf dem Anmeldebildschirm in der App Einstellungen

    Es gibt eine weitere Gruppenrichtlinie, die speziell auf diesen Zweck zugeschnitten ist:

    • Benutzer darf keine Kontodetails auf dem Anmeldebildschirm anzeigen (Block user from showing account details on sign-in)

    Aktiviert man diese Richtlinie, dann unterdrückt sie Kontodetails auf dem Anmeldebildschirm, unabhängig davon, wie die konkurrierende Einstellung in der App konfiguriert wurde.

    Namen nach Anmeldung ausblenden

    Schließlich bietet Windows noch die Möglichkeit, die Anzeige des Benutzernamens zu unterdrücken, nachdem dieser seine Anmeldedaten abgeschickt hat. Die dafür zuständige Einstellung heißt:

    • Interaktive Anmeldung: Keinen Benutzernamen bei der Anmeldung anzeigen ("Interactive logon: Don't display username at sign-in")

    Sie wirkt allerdings nur, wenn sich ein Anwender über die Schaltfläche Anderer Benutzer anmeldet. Erscheint sein Name jedoch auf dem Login-Bildschirm und er klickt auf diesen für die Anmeldung, dann wird er mit seinem Namen begrüßt.

    Sinnvoll ist diese Option daher nur in Kombination mit der oben beschriebenen Einstellung Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen ("Interactive logon: Don't display last signed-in"), weil sie dafür sorgt, dass nur mehr Anderer Benutzer zur Verfügung steht.

    Benutzernamen nach erfolgreicher Anmeldung ausblenden

    Zusammenfassung

    In sicherheitskritischen Umgebungen kann die Historie der zuletzt angemeldeten Benutzer auf dem Logon-Bildschirm oder die Anzeige des Namens auf dem gesperrten Bildschirm unerwünscht sein. Diese Informationen könnten potenzielle Angreifer etwa zu Social Engineering inspirieren.

    Microsoft bietet daher die Möglichkeit, das Aussehen der Anmeldeseite mit Hilfe von Gruppen­richtlinien anzupassen. Dafür sind Einstellungen an zwei verschiedenen Orten zuständig, was die Aufgabe nicht vereinfacht. Das Gleiche gilt für unklare Abgrenzung einiger Policies untereinander.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links