- Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей
- Справочные материалы
- Возможные значения
- Рекомендации
- Местоположение
- Значения по умолчанию
- Управление политикой
- Необходимость перезапуска
- Групповая политика
- Вопросы безопасности
- Уязвимость
- Противодействие
- Возможное влияние
- Связанные темы
Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей
Описывает рекомендации, расположение, значения, управление политиками и рекомендации по обеспечению безопасности для параметра политики безопасности Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей .
Справочные материалы
Этот параметр политики определяет, как проходят проверку подлинности сетевых входов, использующих локальные учетные записи. Если для этого параметра политики задано значение «Классическая», сетевые входы, использующие учетные данные локальной учетной записи, проходят проверку подлинности с помощью этих учетных данных. Если для этого параметра политики задано значение Только гостевой, сетевые входы, использующие локальные учетные записи, автоматически сопоставляются с гостевой учетной записью. Классическая модель обеспечивает точный контроль над доступом к ресурсам и позволяет предоставлять разные типы доступа разным пользователям для одного и того же ресурса. И наоборот, модель только для гостей одинаково относится ко всем пользователям, и все они получают одинаковый уровень доступа к заданному ресурсу, который может быть либо только для чтения, либо для изменения.
Примечание: Этот параметр политики не влияет на сетевые входы, использующие учетные записи домена. Этот параметр политики также не влияет на интерактивные входы, которые выполняются удаленно с помощью таких служб, как Telnet или службы удаленных рабочих столов. Если устройство не присоединено к домену, этот параметр политики также настраивает вкладки Общий доступ и безопасность в Windows Обозреватель в соответствии с используемой моделью общего доступа и безопасности.
Если этот параметр политики имеет значение Только гостевой — локальные пользователи проходят проверку подлинности как гость, любой пользователь, который может получить доступ к вашему устройству по сети, делает это с правами гостевого пользователя. Эта привилегия означает, что они, вероятно, не смогут выполнять запись в общие папки. Хотя это ограничение повышает безопасность, это делает невозможным для авторизованных пользователей доступ к общим ресурсам в этих системах. Если для параметра задано значение Классическое— локальные пользователи проходят проверку подлинности как сами, локальные учетные записи должны быть защищены паролем; В противном случае любой пользователь может использовать эти учетные записи пользователей для доступа к общим системным ресурсам.
Возможные значения
- Классическая модель — локальные пользователи проходят проверку подлинности как себя
- Только гость — локальные пользователи проходят проверку подлинности как гость
- Не определено
Рекомендации
- Для сетевых серверов задайте для этой политики значение Классическая — локальные пользователи проходят проверку подлинности от имени себя.
- В системах конечных пользователей задайте для этой политики значение Только гость— локальные пользователи проходят проверку подлинности как гость.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Классический (локальные пользователи проходят проверку подлинности как себя) |
| Действующие параметры по умолчанию контроллера домена | Классический (локальные пользователи проходят проверку подлинности как себя) |
| Действующие параметры по умолчанию для рядового сервера | Классический (локальные пользователи проходят проверку подлинности как себя) |
| Действующие параметры по умолчанию для клиентского компьютера | Классический (локальные пользователи проходят проверку подлинности как себя) |
Управление политикой
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой.
Необходимость перезапуска
Нет. Изменения этой политики вступает в силу без перезапуска устройства, когда они сохраняются локально или распространяются через групповая политика.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповая политика (GPMC) для распространения через объекты групповая политика (GPO). Если эта политика не содержится в распределенном объекте групповой политики, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
В модели только для гостей любой пользователь, который может пройти проверку подлинности на вашем устройстве по сети, делает это с правами гостя, что, вероятно, означает, что у него нет доступа на запись к общим ресурсам на этом устройстве. Хотя это ограничение повышает безопасность, авторизованным пользователям будет сложнее получить доступ к общим ресурсам на этих компьютерах, так как списки управления доступом на этих ресурсах должны содержать записи управления доступом (ACE) для гостевой учетной записи. В классической модели локальные учетные записи должны быть защищены паролем. В противном случае, если гостевой доступ включен, любой пользователь может использовать эти учетные записи пользователей для доступа к общим системным ресурсам.
Противодействие
Для сетевых серверов настройте для параметра Сетевой доступ: модель общего доступа и безопасности для локальных учетных записейзначение Классическая — локальные пользователи проходят проверку подлинности от себя. На компьютерах конечных пользователей настройте этот параметр политики только гость — локальные пользователи проходят проверку подлинности как гостевые.
Возможное влияние
Нет. Это состояние не влияет на конфигурацию по умолчанию.