Блокирамо мрежни приступ локалним рачунима

Употреба локалних налога (укључујући локалног администратора) за приступ мрежи у окружењима Ацтиве Дирецтори је непожељна из више разлога. Многи рачунари често користе исто име и лозинку локалног администратора, што може угрозити многе системе када је компјутер угрожен (претња нападом Пренеси хасх) Поред тога, тешко је персонификовати и централизовати приступ путем локалних рачуна преко мреже, јер сличне чињенице се не бележе код АД контролера домена.

Да би умањили ризике, администратори прибегавају преименовању имена стандардног локалног налога Виндовс администратора. Употреба система који периодично мења лозинку локалног администратора у домен јединствен за све рачунаре (на пример, МС Лоцал Пассворд Пассворд Солутион) може значајно да повећа сигурност локалних административних налога. Али ово решење неће моћи да реши проблем ограничавања приступа мрежи под локалним налозима, јер рачунари могу имати више локалних налога.

Помоћу смерница можете ограничити приступ мрежи за локалне налоге. Одбаци приступ до ово компјутер од тхе тхе мрежа. Али проблем је у томе што ћете у овој политици морати изричито навести сва имена налога којима је потребно ускратити приступ.

Виндовс 8.1 и Виндовс Сервер 2012 Р2 представили су две нове безбедносне групе са новим СИД-овима. То значи да је сада доступна прилика да се не наводе све могуће СИД опције за локалне налоге, већ да се користи заједнички СИД.

С-1-5-113НТ АУТХОРИТИ \ Локални налогСав локални рачун
С-1-5-114НТ АУТХОРИТИ \ Локални налог и члан групе АдминистраторсСви локални администраторски налози

Ове се групе додају у приступни ток корисника када се пријављује под локални налог.

На серверу који покреће Виндовс Сервер 2012 Р2, проверите да ли је локалном администраторском налогу додељена два нова НТ АУТХОРИТИ \ Лоцал аццоунт (СИД С-1-5-113) и НТ АУТХОРИТИ \ Лоцал аццоунт анд мембер оф Администраторс гроуп (СИД С-1- 5-114):

Вхоами / све

Можете да додате ову функцију у Виндовс 7, Виндовс 8, Виндовс Сервер 2008 Р2 и Виндовс Сервер 2012 инсталирањем ажурирања КБ 2871997 (ажурирање за јун 2014).

Можете да проверите да ли ове групе постоје у систему помоћу СИД-а на следећи начин:

$ објСИД = Систем нових система.Сецурити.Принципал.СецуритиИдентифиер ("С-1-5-113")
$ објАццоунт = $ објСИД.Транслате ([Систем.Сецурити.Принципал.НТАццоунт])
$ објАццоунт.Валуе

Ако скрипта враћа НТ Аутхорити \ Лоцал аццоунт, тада је доступна та локална група (са овим СИД-ом).


Да бисте ограничили приступ мрежи путем локалних налога са овим СИД-овима у токену, можете користити следећа правила која се налазе у одељку Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Локална правила -> Додјела права корисника.

  • Забраните приступ овом рачунару са мреже - Забрањен приступ рачунару са мреже
  • Одбаци записник на кроз Даљински Десктоп Услуге - Забраните пријављивање путем услуге с удаљене радне површине

Додајте у податке о смерницама Локални налог и Локални налог и члан групе Администратори и ажурирајте политику помоћу гпупдате / форце.

Након примене смерница, приступ овом рачуналу је онемогућен приступ мрежи путем локалних налога. Дакле, када покушате да успоставите РДП сесију под налогом .\администратор појавиће се порука о грешци.

Администратор система је ограничио врсте пријава (мрежне или интерактивне) које можете користити. За помоћ се обратите администратору система или техничкој подршци.Важно је. Такођер је вриједно напоменути да ће се приликом примјене ових правила на рачунар који није члан домене Ацтиве Дирецтори, таквом рачунару моћи приступити само с локалне конзоле..

Тако можете да ограничите приступ мрежи путем локалних налога без обзира на њихова имена и повећате ниво сигурности корпоративног окружења.