Как запретить доступ сетевых пользователей к компьютеру
Перейти к содержимому

Как запретить доступ сетевых пользователей к компьютеру

  • автор:

Общие сведения об управлении доступом

В этой статье описывается управление доступом в Windows, которое представляет собой процесс авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. Основные понятия, составляющие управление доступом:

  • Разрешения
  • владение объектами
  • наследование разрешений
  • права пользователя
  • аудит объектов

Компьютеры под управлением поддерживаемой версии Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения того, имеет ли пользователь, прошедший проверку подлинности, правильные разрешения на доступ к ресурсу.

Общие ресурсы доступны пользователям и группам, не являющимся владельцем ресурса, и их необходимо защитить от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначаются права и разрешения, которые информируют операционную систему о том, что может сделать каждый пользователь и группа. У каждого ресурса есть владелец, который предоставляет разрешения субъектам безопасности. Во время проверка управления доступом эти разрешения проверяются, чтобы определить, какие субъекты безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.

Субъекты безопасности выполняют действия (включая чтение, запись, изменение или полный контроль) с объектами. Объекты включают файлы, папки, принтеры, разделы реестра и объекты доменные службы Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACL) для назначения разрешений. Это позволяет диспетчерам ресурсов применять управление доступом следующими способами:

  • Запрет доступа для несанкционированных пользователей и групп
  • Установка четко определенных ограничений на доступ, предоставляемый авторизованным пользователям и группам

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, вложенные папки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его содержимым выражается путем ссылки на контейнер в качестве родительского. Объект в контейнере называется дочерним, а дочерний наследует параметры управления доступом родительского объекта. Владельцы объектов часто определяют разрешения для объектов-контейнеров, а не для отдельных дочерних объектов, чтобы упростить управление доступом.

Этот набор содержимого содержит:

  • Обзор динамического контроля доступа
  • Идентификаторы безопасности
  • Субъекты безопасности
    • Локальные учетные записи
    • Учетные записи Active Directory
    • Учетные записи Майкрософт
    • Учетные записи службы
    • Группы безопасности Active Directory

    Требования к выпуску и лицензированию Windows

    В следующей таблице перечислены выпуски Windows, поддерживающие контроль доступа (ACL/SACL):

    Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
    Да Да Да Да

    контроль доступа лицензии (ACL/SACL) предоставляются следующими лицензиями:

    Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
    Да Да Да Да Да

    Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

    Практическое применение

    Администраторы, использующие поддерживаемую версию Windows, могут уточнить приложение и управление доступом к объектам и субъектам, чтобы обеспечить следующую безопасность:

    • Защита большего числа и разнообразия сетевых ресурсов от неправильного использования
    • Подготовка пользователей к доступу к ресурсам в соответствии с политиками организации и требованиями их заданий
    • Разрешить пользователям получать доступ к ресурсам с различных устройств в различных расположениях
    • Регулярно обновляйте возможность доступа пользователей к ресурсам по мере изменения политик организации или изменения заданий пользователей
    • Учитывайте растущее число сценариев использования (например, доступ из удаленных расположений или с быстро расширяющихся устройств, таких как планшетные компьютеры и мобильные телефоны);
    • Выявление и устранение проблем с доступом, когда законные пользователи не могут получить доступ к ресурсам, которые им необходимы для выполнения своих заданий

    Разрешения

    Разрешения определяют тип доступа, который предоставляется пользователю или группе для объекта или свойства объекта. Например, группе «Финансы» можно предоставить разрешения на чтение и запись для файла с именем Payroll.dat.

    С помощью пользовательского интерфейса управления доступом можно задать разрешения NTFS для таких объектов, как файлы, объекты Active Directory, объекты реестра или системные объекты, такие как процессы. Разрешения могут быть предоставлены любому пользователю, группе или компьютеру. Рекомендуется назначать разрешения группам, так как это повышает производительность системы при проверке доступа к объекту.

    Для любого объекта можно предоставить разрешения на:

    • Группы, пользователи и другие объекты с идентификаторами безопасности в домене.
    • Группы и пользователи в этом домене и любых доверенных доменах.
    • Локальные группы и пользователи на компьютере, где находится объект.

    Разрешения, присоединенные к объекту, зависят от типа объекта. Например, разрешения, которые могут быть присоединены к файлу, отличаются от разрешений, которые могут быть присоединены к разделу реестра. Однако некоторые разрешения являются общими для большинства типов объектов. Ниже перечислены распространенные разрешения.

    • Read
    • Изменить
    • Смена владельца
    • Delete

    При настройке разрешений вы указываете уровень доступа для групп и пользователей. Например, можно разрешить одному пользователю читать содержимое файла, другому пользователю вносить изменения в файл и запретить другим пользователям доступ к файлу. Вы можете задать аналогичные разрешения на принтерах, чтобы некоторые пользователи могли настроить принтер, а другие — только печать.

    Если необходимо изменить разрешения для файла, можно запустить Windows Обозреватель, щелкнуть имя файла правой кнопкой мыши и выбрать пункт Свойства. На вкладке Безопасность можно изменить разрешения для файла. Дополнительные сведения см. в разделе Управление разрешениями.

    Другой тип разрешений, называемый разрешениями общего доступа, задается на вкладке Общий доступ на странице свойств папки или с помощью мастера общих папок. Дополнительные сведения см. в разделе Общий доступ и разрешения NTFS на файловом сервере.

    Владение объектами

    Владелец назначается объекту при создании этого объекта. По умолчанию владелец является создателем объекта . Независимо от того, какие разрешения заданы для объекта, владелец объекта всегда может изменить разрешения. Дополнительные сведения см. в разделе Управление владением объектами.

    Наследование разрешений

    Наследование позволяет администраторам легко назначать разрешения и управлять ими. Эта функция автоматически приводит к тому, что объекты в контейнере наследуют все наследуемые разрешения этого контейнера. Например, файлы в папке наследуют разрешения папки. Наследуются только разрешения, помеченные как наследуемые.

    Права пользователя

    Права пользователей предоставляют определенные привилегии и права входа пользователям и группам в вычислительной среде. Администраторы могут назначать определенные права учетным записям групп или отдельным учетным записям пользователей. Эти права разрешают пользователям выполнять определенные действия, такие как интерактивный вход в систему или резервное копирование файлов и каталогов.

    Права пользователя отличаются от разрешений, так как права пользователей применяются к учетным записям пользователей, а разрешения связаны с объектами. Хотя права пользователей могут применяться к отдельным учетным записям пользователей, их лучше администрировать на основе учетной записи группы. В пользовательском интерфейсе управления доступом нет поддержки предоставления прав пользователя. Однако назначение прав пользователя можно администрировать с помощью локальных параметров безопасности.

    Дополнительные сведения о правах пользователя см. в разделе Назначение прав пользователя.

    Аудит объектов

    С правами администратора вы можете выполнять аудит успешного или неудачного доступа пользователей к объектам. Вы можете выбрать доступ к объекту для аудита с помощью пользовательского интерфейса управления доступом, но сначала необходимо включить политику аудита, выбрав Аудит доступа к объекту в разделе Локальные политики в параметрах локальной безопасности. Затем эти события, связанные с безопасностью, можно просмотреть в журнале безопасности в Просмотр событий.

    Дополнительные сведения об аудите см. в статье Обзор аудита безопасности.

    См. также

    Дополнительные сведения об управлении доступом и авторизации см. в разделе контроль доступа и обзор авторизации.

    Отказ в доступе к компьютеру из сети

    Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики запретить доступ к этому компьютеру из параметра политики безопасности сети .

    Справочные материалы

    Этот параметр безопасности определяет, каким пользователям запрещен доступ к устройству по сети.

    Возможные значения

    • Определяемый пользователей список учетных записей
    • Гость

    Рекомендации

    • Так как все программы доменные службы Active Directory используют сетевой вход для доступа, будьте осторожны при назначении этого права пользователя на контроллерах домена.

    Расположение

    Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

    Значения по умолчанию

    По умолчанию этот параметр имеет значение Гостевой на контроллерах домена и на автономных серверах.

    В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

    Тип сервера или объект групповой политики Значение по умолчанию
    Default Domain Policy Не определено
    Политика контроллера домена по умолчанию Гость
    Параметры по умолчанию для автономного сервера Гость
    Действующие параметры по умолчанию для контроллера домена Гость
    Действующие параметры по умолчанию для рядового сервера Гость
    Действующие параметры по умолчанию для клиентского компьютера Гость

    Управление политикой

    В этом разделе описываются функции и средства, доступные для управления этой политикой.

    Перезапуск устройства не требуется, чтобы этот параметр политики вступил в силу.

    Этот параметр политики заменяет параметр «Доступ к этому компьютеру» из параметра политики сети , если учетная запись пользователя подчиняется обеим политикам.

    Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

    Групповая политика

    Параметры применяются в следующем порядке через объект групповая политика , который перезаписывает параметры на локальном компьютере при следующем обновлении групповая политика:

    1. Параметры локальной политики
    2. Параметры политики сайта
    3. Параметры политики домена
    4. Параметры политики подразделения

    Если локальный параметр выделен серым цветом, он указывает, что объект групповой политики в настоящее время управляет этим параметром.

    Вопросы безопасности

    В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

    Уязвимость

    Пользователи, которые могут войти на устройство по сети, могут перечислять списки имен учетных записей, имен групп и общих ресурсов. Пользователи с разрешением на доступ к общим папкам и файлам могут подключаться по сети и, возможно, просматривать или изменять данные.

    Противодействие

    Назначьте право запретить доступ к этому компьютеру от сетевого пользователя следующим учетным записям:

    • Анонимный вход
    • Встроенная учетная запись локального администратора
    • Локальная гостевая учетная запись
    • Все учетные записи служб

    Важным исключением из этого списка являются все учетные записи служб, которые используются для запуска служб, которые должны подключаться к устройству по сети. Например, предположим, что вы настроили общую папку для доступа к веб-серверам и предоставили содержимое этой папки через веб-сайт. Возможно, потребуется разрешить учетной записи, в которой запущены службы IIS, войти на сервер с помощью общей папки из сети. Это право пользователя действует, если необходимо настроить серверы и рабочие станции, на которых обрабатывается конфиденциальная информация из-за требований соответствия нормативным требованиям.

    Если учетная запись службы настроена в свойствах входа в службу Windows, для правильного запуска контроллерам домена требуются права на вход в сеть.

    Возможное влияние

    Если вы настроили параметр Запретить доступ к этому компьютеру из сетевого пользователя для других учетных записей, можно ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде. Убедитесь, что делегированные задачи не затрагиваются отрицательно.

    Связанные темы

    Доступ к этому компьютеру из сети — параметр политики безопасности

    Описывает рекомендации, расположение, значения, управление политиками и рекомендации по обеспечению безопасности для параметра политики » Доступ к этому компьютеру из параметра политики безопасности сети «.

    Если используется Windows Server или отказоустойчивая кластеризация Azure Stack HCI, не удаляйте пользователей, прошедших проверку подлинности, из параметра политики сети доступ к этому компьютеру . Это может привести к непредвиденному сбою в рабочей среде. Это связано с учетной записью локального пользователя CLIUSR, которая используется для запуска службы кластера. CLIUSR не является членом локальной группы администраторов, и если группа прошедших проверку подлинности пользователей удалена, служба кластера не будет иметь достаточных прав для правильной работы или запуска.

    Справочные материалы

    Параметр политики «Доступ к этому компьютеру из сети » определяет, какие пользователи могут подключаться к устройству из сети. Эта возможность требуется для многих сетевых протоколов, в том числе протоколов на основе SMB, NetBIOS, общей интернет-файловой системы (CIFS) и компонентной объектной модели плюс (COM+).

    Пользователи, устройства и учетные записи служб получают или теряют право доступа к этому компьютеру из сетевого пользователя, явно или неявно добавляя или удаляя из группы безопасности, которой было предоставлено это право. Например, учетная запись пользователя или учетная запись компьютера может быть явно добавлена в настраиваемую группу безопасности или встроенную группу безопасности, либо она может быть неявно добавлена Windows в вычисленную группу безопасности, например «Пользователи домена», «Прошедшие проверку подлинности» или «Корпоративные контроллеры домена». По умолчанию учетным записям пользователей и компьютеров предоставляется право доступа к этому компьютеру из сети, когда вычисляемые группы, такие как прошедшие проверку подлинности пользователи, и для контроллеров домена, группа контроллеров домена предприятия, определяются в контроллерах домена по умолчанию групповая политика объекте (GPO).

    Возможные значения

    • Определяемый пользователей список учетных записей
    • Не определено

    Рекомендации

    • На настольных устройствах или рядовых серверах предоставьте это право только пользователям и администраторам.
    • На контроллерах домена предоставьте это право только пользователям, прошедшим проверку подлинности, контроллерам домена предприятия и администраторам.
    • В отказоустойчивых кластерах убедитесь, что это право предоставлено пользователям, прошедшим проверку подлинности.
    • Этот параметр включает группу Все для обеспечения обратной совместимости. После обновления Windows после проверки правильности миграции всех пользователей и групп следует удалить группу Все и использовать группу Прошедшие проверку подлинности .

    Расположение

    Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

    Значения по умолчанию

    В следующей таблице перечислены фактические и действующие значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.

    Тип сервера объекта групповой политики Значение по умолчанию
    Политика домена по умолчанию Не определено
    Политика контроллера домена по умолчанию Все, администраторы, пользователи, прошедшие проверку подлинности, контроллеры домена предприятия, доступ, совместимый с Windows 2000
    Параметры по умолчанию для автономного сервера Все, администраторы, пользователи, операторы резервного копирования
    Действующие параметры по умолчанию для контроллера домена Все, администраторы, пользователи, прошедшие проверку подлинности, контроллеры домена предприятия, доступ, совместимый с Windows 2000
    Действующие параметры по умолчанию для рядового сервера Все, администраторы, пользователи, операторы резервного копирования
    Действующие параметры клиентского компьютера по умолчанию Все, администраторы, пользователи, операторы резервного копирования

    Управление политикой

    При изменении этого права пользователя следующие действия могут привести к проблемам с доступом к сети:

    • Удаление группы безопасности «Контроллеры домена предприятия»
    • Удаление группы прошедших проверку подлинности пользователей или явной группы, которая позволяет пользователям, компьютерам и учетным записям служб подключаться к компьютерам по сети.
    • Удаление всех учетных записей пользователей и компьютеров

    Перезапуск устройства не требуется, чтобы этот параметр политики вступил в силу.

    Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

    Групповая политика

    Параметры применяются в следующем порядке через объект групповая политика , который перезаписывает параметры на локальном компьютере при следующем обновлении групповая политика:

    1. Параметры локальной политики
    2. Параметры политики сайта
    3. Параметры политики домена
    4. Параметры политики подразделения

    Если локальный параметр выделен серым цветом, он указывает, что объект групповой политики в настоящее время управляет этим параметром.

    Вопросы безопасности

    В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

    Уязвимость

    Пользователи, которые могут подключаться со своего устройства к сети, могут получать доступ к ресурсам на целевых устройствах, для которых у них есть разрешение. Например, для подключения к общим принтерам и папкам требуется право доступа к этому компьютеру из сетевого пользователя. Если это право пользователя назначено группе Все , любой пользователь в группе может считывать файлы в этих общих папках. Такая ситуация маловероятна, так как группы, созданные при установке по умолчанию windows Server 2008 R2 или Windows 7, не включают группу Все . Однако если устройство обновляется, а исходное устройство включает группу Все в составе определенных пользователей и групп, эта группа перемещается в процессе обновления и присутствует на устройстве.

    Противодействие

    Ограничьте доступ к этому компьютеру из сетевого пользователя только теми пользователями и группами, которым требуется доступ к компьютеру. Например, если этот параметр политики настроен для групп «Администраторы » и «Пользователи «, пользователи, которые вошли в домен, могут получать доступ к ресурсам, совместно используемым с серверов в домене, если члены группы «Пользователи домена» включены в локальную группу «Пользователи «.

    Примечание Если вы используете IPsec для защиты сетевых коммуникаций в организации, убедитесь, что группа, включающая учетные записи компьютеров, имеет это право. Это право необходимо для успешной проверки подлинности компьютера. Это требование соответствует назначению этого права пользователям, прошедшим проверку подлинности , или компьютерам домена .

    Возможное влияние

    Если удалить доступ к этому компьютеру от сетевого пользователя прямо на контроллерах домена для всех пользователей, никто не сможет войти в домен или использовать сетевые ресурсы. Если удалить это право на рядовые серверы, пользователи не смогут подключаться к этим серверам по сети. Если установлены необязательные компоненты, такие как ASP.NET или службы IIS, может потребоваться назначить это право пользователя другим учетным записям, необходимым для этих компонентов. Важно убедиться, что авторизованным пользователям назначено это право для устройств, которые им нужны для доступа к сети.

    Если используется Windows Server или отказоустойчивая кластеризация Azure Stack HCI, не удаляйте пользователей, прошедших проверку подлинности, из параметра политики сети доступ к этому компьютеру. Это может привести к непредвиденному сбою в рабочей среде. Этот сбой связан с учетной записью локального пользователя CLIUSR, которая используется для запуска службы кластера. CLIUSR не является членом локальной группы администраторов, и если группа «Пользователи с проверкой подлинности» удалена, служба кластера не будет иметь достаточных прав для правильной работы или запуска.

    Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM

    Параметр политики безопасности Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM контролирует, какие пользователи могут перечислять пользователей и группы в локальной базе данных диспетчера учетных записей безопасности (SAM) и Active Directory. Этот параметр сначала поддерживался Windows 10 версии 1607 и Windows Server 2016 (RTM) и его можно настроить в более ранних клиентских и серверных операционных системах Windows.

    В этой статье описываются значения по умолчанию для этого параметра политики безопасности в разных версиях Windows. По умолчанию, компьютеры, в которых изначально установлена Windows 10 версии 1607 и Windows Server 2016, имеют больше ограничений, чем более ранние версии Windows. Эта ограничительная характеристика означает, что при наличии набора компьютеров, например рядовых серверов, работающих как Windows Server 2016, так и Windows Server 2012 R2, серверы, на которых выполняются Windows Server 2016, могут по умолчанию не перечислить учетные записи, на которых выполняются серверы. Windows Server 2012 R2 успешно.

    В этой статье также рассматриваются связанные события, а также включение режима аудита перед ограничением субъектов безопасности, которым разрешено удаленно перечислять пользователей и группы, чтобы ваша среда оставалась безопасной, не влияя на совместимость приложений.

    Реализация этой политики может повлиять на создание автономной адресной книги на серверах под управлением Microsoft Exchange 2016 или Microsoft Exchange 2013.

    Справочники

    Протокол SAMRPC позволяет пользователю с низким уровнем привилегий запрашивать данные у компьютера в сети. Например, пользователь может с помощью SAMRPC перечислять пользователей, в том числе привилегированные учетные записи, такие как локальные администраторы или администраторы домена, либо перечислять группы и участие в группах из локального SAM и Active Directory. Эта информация может предоставить важный контекст и послужить отправной точкой для злоумышленника, намеревающегося атаковать домен или сетевую среду.

    Чтобы снизить этот риск, можно настроить параметр политики безопасности Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM таким образом, чтобы диспетчер учетных записей безопасности выполнял проверку доступа на предмет удаленных вызовов. На основании проверки доступа система разрешает или запрещает подключения удаленного RPC к SAM и Active Directory для пользователей и групп, которые вы определите.

    По умолчанию параметр политики безопасности «Сетевой доступ: ограничение клиентов, которым разрешено совершать удаленные вызовы SAM «, не определен. Если его установить, вы сможете изменить строку в формате языка определения дескрипторов безопасности (SDDL) по умолчанию, чтобы явно разрешить или запретить пользователям и группам осуществлять удаленные вызовы SAM. Если параметр политики остается пустым после определения политики, политика не применяется.

    Дескриптор безопасности по умолчанию на компьютерах, на которых изначально установлены Windows 10 версии 1607 и Windows Server 2016, разрешает удаленный доступ к SAM только локальной (встроенной) группе «Администраторы» в системе, не являющейся контроллером домена, тогда как на контроллерах домена он предоставляет общий доступ. Дескриптор безопасности по умолчанию можно изменить, с тем чтобы разрешить или запретить доступ другим пользователям и группам, в том числе встроенной группе «Администраторы».

    Дескриптор безопасности по умолчанию на компьютерах под управлением более ранних версий Windows не ограничивает удаленные вызовы SAM, но администратор может изменить дескриптор безопасности, чтобы применить ограничения. Это менее ограниченное значение по умолчанию позволяет проверить влияние включения ограничений на существующие приложения.

    Имена политики и реестра

    Описание
    Имя политики Доступ к сети: ограничение на совершение удаленных вызовов SAM для клиентов
    Расположение Конфигурация компьютера|Параметры Windows|Параметры безопасности|Локальные политики|Параметры безопасности
    Возможные значения — Не определено
    — Определено, наряду с дескриптором безопасности для пользователей и групп, которым разрешено или запрещено использовать SAMRPC для получения удаленного доступа к локальному SAM или Active Directory.
    Расположение реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RestrictRemoteSam
    Тип реестра REG_SZ
    Значение реестра Строка, которая будет содержать SDDL дескриптора безопасности, подлежащего развертыванию.

    Параметр групповой политики доступен только на компьютерах под управлением Windows Server 2016 или Windows 10 версии 1607 и более новых версий. Эти компьютеры являются единственным вариантом настройки этого параметра с помощью пользовательского интерфейса.

    На компьютерах под управлением более ранних версий Windows необходимо изменить непосредственно параметр реестра или использовать предпочтения групповой политики. Чтобы не выполнять настройку вручную, можно настроить сам объект групповой политики на компьютере под управлением Windows Server 2016 или Windows 10 версии 1607 или более новой версии, и применить его ко всем компьютерам в области его действия, поскольку после установки соответствующей базы знаний один и тот же ключ реестра существует на каждом компьютере.

    Эта политика применяется аналогично другим политикам «Доступ к сети» по тому принципу, что в пути реестра указан один элемент политики. В данном случае нет нотации локальной политики и корпоративной политики; есть только один параметр политики, и в учет принимается тот, который записывается последним.

    Например, предположим, что локальный администратор настраивает этот параметр как часть локальной политики с помощью оснастки «Локальная политика безопасности» (Secpol.msc), которая изменяет тот же самый путь реестра. Если администратор предприятия настроит этот параметр как часть объекта групповой политики, то этот корпоративный объект перезапишет тот же самый путь реестра.

    Значения по умолчанию

    Начиная с Windows 10 версии 1607 и Windows Server 2016, компьютеры имеют более жестко запрограммированные и более строгие значения по умолчанию, чем это было в более ранних версиях Windows. Различные значения по умолчанию помогают найти баланс, когда последние версии Windows по умолчанию более безопасны, а более старые версии не претерпевают никаких нарушений поведения. Прежде чем применить данный параметр политики безопасности в рабочей среде, администраторы могу проверять, приведет ли применение такого же ограничения в более ранних версиях Windows к возникновению проблем с совместимостью в существующих приложениях.

    Таким образом, исправление в каждой статье базы знаний обеспечивает необходимый код и функции, однако после установки исправления вам необходимо настроить ограничение — по умолчанию в более ранних версиях Windows после установки исправления не применяются никакие ограничения.

    Средства управления политикой

    В этом разделе поясняется, как настраивать режим «только аудит», как анализировать связанные события, которые записываются в журнал при включенном параметре политики безопасности Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM, а также как настраивать регулирование событий во избежание переполнения журнала событий.

    Режим «только аудит»

    Режим только аудита настраивает протокол SAMRPC для выполнения проверка доступа к текущему дескрипторе безопасности, но не завершит вызов, если проверка доступа завершается ошибкой. Вызов будет разрешен, но SAMRPC зарегистрирует в журнал событие с описанием того, что произошло, если эта функция включена. В этом режиме администраторы могут протестировать свои приложения перед включением политики в рабочей среде. Режим только аудита не настроен по умолчанию. Чтобы настроить его, задайте указанный ниже параметр реестра.

    Реестр Подробности
    Путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    Параметр RestrictRemoteSamAuditOnlyMode
    Тип данных REG_DWORD
    Значение 1
    Примечания Этот параметр нельзя добавить или удалить с помощью предопределенных групповая политика параметров. При необходимости администраторы могут создать пользовательскую политику, чтобы указать значение реестра. SAM динамически реагирует на изменения в его реестре, не выполняя при этом перезагрузку.

    Связанные события

    Существуют соответствующие события, которые свидетельствуют о применении ограничений к удаленным вызовам SAM, указывают, какие учетные записи пытались считать из базы данных SAM и т.д. Рекомендуется выполнять описанную ниже процедуру в целях определения приложений, на которые могли повлиять ограничительные удаленные вызовы SAM:

    1. Выгрузите журналы событий в общую папку.
    2. Щелкните правой кнопкой мыши системный журнал, выберите Фильтровать текущий журнал и укажите 16962-16969 в поле Идентификаторы событий.
    3. Просмотрите идентификаторы событий от 16962 до 16969, как указано в следующей таблице, с источником событий Directory-Service-SAM.
    4. Определите, в каких контекстах безопасности выполняется перечисление пользователей или групп в базе данных SAM.
    5. Назначьте приоритеты вызывающих объектов; определите, будут ли им разрешены вызовы, а затем включите вызывающие объекты в строку SDDL.

    Сравните контекст безопасности, пытающийся удаленно перечислить учетные записи, с дескриптором безопасности по умолчанию. Затем измените дескриптор безопасности таким образом, чтобы были добавлены учетные записи, требующие удаленного доступа.

    Регулирование событий

    Занятый сервер может переполнить журналы событий событиями, связанными с проверкой доступа для удаленного перечисления. Чтобы избежать этого, события, которым отказано в доступе, по умолчанию записываются в журнал каждые 15 минут. Длительность этого периода регулируется следующим значением реестра.

    Путь реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
    Параметр RestrictRemoteSamEventThrottlingWindow
    Тип данных DWORD
    Значение секунды
    Требуется перезагрузка? Нет
    Примечания Значение по умолчанию — 900 секунд (15 минут).
    Регулирование использует подавленный счетчик событий, который начинается с 0 и увеличивается во время окна регулирования.
    Например, за последние 15 минут было подавлено X событий.
    Счетчик перезапускается после записи события 16969.

    Необходимость перезапуска

    Перезапуски не требуются для включения, отключения или изменения параметра политики «Сетевой доступ: ограничение клиентов, которым разрешено выполнять удаленные вызовы к sam» , включая режим только аудита. Изменения вступает в силу без перезапуска устройства, когда они сохраняются локально или распространяются через групповая политика.

    Вопросы безопасности

    В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

    Уязвимость

    Протокол SAMRPC имеет уровень безопасности по умолчанию, в результате чего злоумышленники с минимальными правами могут запрашивать у машины в сети данные, имеющие критическое значение для их дальнейших планов атак и проникновения.

    В следующем примере показано, как злоумышленник может воспользоваться удаленным перечислением SAM:

    1. Злоумышленник с минимальными правами получает исходную точку доступа к сети.
    2. Затем злоумышленник опрашивает все машины в сети, чтобы определить, у каких из них имеется пользователь домена с широкими правами, которому присвоен статус локального администратора на данной машине.
    3. Если злоумышленник может найти любую другую уязвимость на этом компьютере, которая позволяет взять его на себя, он может затем приземлиться на компьютере, ожидая, пока пользователь с высоким уровнем привилегий войдет в систему, а затем украсть или олицетворить эти учетные данные.

    Противодействие

    Эту уязвимость можно уменьшить, включив параметр политики безопасности SAM Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM и настроив SDDL только для учетных записей с явно разрешенным доступом.

    Потенциальное влияние

    В случае определения политики может возникнуть сбой в работе средств администрирования, сценариев и программного обеспечения, которые ранее выполняли перечисление пользователей, групп и членств в группах. Для определения учетных записей, на которые могут повлиять данные изменения, испытайте параметр в режиме «только аудит».

    Похожие публикации:
    1. Как войти в гет контакт по номеру телефона
    2. Как посмотреть контакты сим карты на айфоне
    3. Как посмотреть номер аккаунта вк
    4. Как узнать apple id на заблокированном ipad

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *