NWC Services Blog
NWC Credential Provider für Windows 10 fit machen
Da bereits einige unserer Kunden mit DSM und der Verteilung von Windows 10 die ersten Erfahrungen sammeln, wurde ich vor kurzem auch darauf angesprochen ob es denn wieder einen "NWC Credential Provider" für Windows 10 geben würde, da die alte Version für Windows 7, den Login nur noch bedingt sperren würde bzw. man den gesperrten Login Screen sehr leicht durch drücken auf "Anderen Benutzer verwenden" entsperren könnte.
Aufgrund dieser Nachfrage möchte ich heute kurz zeigen wie Sie den "NWC Credential Provider" relativ einfach selbst, für Windows 10 fit machen können.
Was ist der NWC Credential Provider?
Für alle neuen Leser dieses Blogs bzw. jene, die mit dem Begriff "NWC Credential Provider" nichts anfangen können, möchte ich zunächst auf einen anderen Artikel von Frank Scholer verweisen, in dem die Thematik "Lokale Anmeldung sperren" sehr ausführlich beschrieben wird.
https://www.nwc-services.de/en/support-en/blog/entry/sperren-der-lokalen-anmeldung
NWC Credential Provider Anpassungen für Windows 10
Wie auch schon unter Windows 8 müssen die Credential Provider GUIDs Betriebssystemspezifisch angepasst werden, um zu gewährleisten, dass der Credential Provider voll funktionsfähig ist und den Login für nicht berechtigte Personen sperren kann.
Zunächst suchen wir uns die für Windows 10 gültigen Credential Provider GUIDs. Diese finden Sie in der Registry unter folgendem Pfad:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers"
Damit der NWC Credential Provider alle Windows Provider erfolgreich blocken kann müssen diese GUIDs nun noch in der Datei "RegCredProv.reg" eingetragen werden. Da es sich hierbei um einen REG_MULTI_SZ handelt empfiehlt es sich den Wert zunächst manuell in der Registry zu ändern und diesen dann anschließend zu exportieren.
Hierfür können Sie die Datei "RegCredProv.reg" auf einem Windows 10 System manuell ausführen. Anschließend sollten Sie einen weiteren Eintrag unter Credential Provides finden:
Unter Settings befindet sich auch der Wert "BlockProviders" in den wir nun alle angezeigten GUIDs von Providern eintragen können, die wir gerne über den NWC Credential Provider geblockt haben möchten:
Anschließend muss der Wert nur noch exportiert und in des "RegCredProv.reg" integriert werden:
Lässt man nun bei einer Grundinstallation den NWC Credential Provider wieder "normal" mit installieren sollten alle noch aktivierten Anmeldemöglichkeiten deaktiviert sein:
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Comments 2
Ist die Anleitung noch aktuell? Es klappt zwar alles soweit, aber ich kann noch den User wechseln.
Hallo Martin,
ja, die Anleitung ist noch aktuell. Allerdings ist es so, dass sich die Windows Provider mit teilweise mit den einzelnen Builds auch wieder ändern. So muss der NWC Credential Provider unter Umständen auch für die einzelnen Windows Builds (1703, 1709, etc.) angepasst werden.
Zusätzlich könnte es auch noch sein, dass in eurem Unternehmen z.B. durch eine Gruppenrichtlinie die Anzeige des zuletzt angemeldeten Benutzers explizit erlaubt wird. Diese Option wurde im Vergleich zu Windows 7 bei Windows 10 etwas verändert, was auch dazu führen kann, dass du dich dann über diese Option mit einem anderen Benutzer anmelden kannst.
In diesem Fall könnte man z.B. mit einer "Staging OU" im AD arbeiten um während der Grundinstallation nur ein minimum an GPOs ziehen zu lassen. Über die Grundinstallation könnte der Rechner dann am Ende der Installation in seine Ziel OU verschoben werden.
Bei weiteren Fragen hierzu melde dich einfach bei mir.
Gruß,
Bene