Доступ к компьютеру из сети
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Доступ к компьютеру из сети.
Справочные материалы
Параметр Доступ к компьютеру из сети определяет, какие пользователи могут подключаться к устройству из сети. Эта возможность требуется нескольким сетевым протоколам, включая протоколы SMB, NetBIOS, CIFS и COM+.
Учетные записи пользователей, устройств и служб приобретают или теряют право пользователя Доступ к компьютеру из сети в результате явного или неявного добавления или удаления из группы безопасности, которой предоставлено это право. Например, учетная запись пользователя или устройства может быть явным образом добавлена в настраиваемую группу безопасности или встроенную группу безопасности, или же Windows может неявным образом добавить учетную запись в вычисляемую группу безопасности, такую как "Пользователи домена", "Прошедшие проверку" или "Контроллеры домена предприятия".
По умолчанию учетные записи пользователей и учетные записи компьютеров получают право пользователя Доступ к компьютеру из сети, когда вычисляемые группы, такие как "Прошедшие проверку" или "Контроллеры домена предприятия" (для контроллеров домена) определяются в объекте групповой политики (GPO) контроллера домена по умолчанию.
Константа: SeNetworkLogonRight
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
На настольных устройствах или рядовых серверах это право следует предоставлять только пользователям и администраторам.
На контроллерах домена это право предоставляется только прошедшим проверку подлинности пользователям, контроллерам домена предприятия и администраторам.
Этот параметр содержит группу Все для обеспечения обратной совместимости. Выполнив проверку правильности переноса всех пользователей и групп после обновления Windows, необходимо удалить группу Все и вместо нее использовать группу Прошедшие проверку.
Расположение
\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
"Все", "Администраторы", "Прошедшие проверку", "Контроллеры домена предприятия", "Пред-Windows 2000 доступ" |
Параметры автономного сервера по умолчанию |
"Все", "Администраторы", "Пользователи", "Операторы архива" |
Действующие параметры контроллера домена по умолчанию |
"Все", "Администраторы", "Прошедшие проверку", "Контроллеры домена предприятия", "Пред-Windows 2000 доступ" |
Действующие параметры рядового сервера по умолчанию |
"Все", "Администраторы", "Пользователи", "Операторы архива" |
Действующие параметры клиентского компьютера по умолчанию |
"Все", "Администраторы", "Пользователи", "Операторы архива" |
Управление политикой
При изменении этого права пользователя следующие действия могут привести к возникновению проблем доступа к сети для пользователей и служб:
Удаление группы безопасности "Контроллеры домена предприятия".
Удаление группы "Прошедшие проверку" или явно заданной группы, предоставляющей учетным записям пользователей, компьютеров и служб права на подключение к компьютерам по сети.
Удаление всех учетных записей пользователей и компьютеров
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта.
Параметры политики домена.
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователи, которые могут подключаться к сети со своего устройства, могут обращаться к ресурсам на конечных устройствах, разрешения на доступ к которым они имеют. Например, право пользователя Доступ к компьютеру из сети необходимо пользователям для подключения к общим папкам и принтерам. Если это право пользователя назначено группе Все, любой член группы может читать файлы в этих общих папках. Такая ситуация маловероятна, поскольку группы, созданные по умолчанию программой установки Windows Server 2008 R2 или Windows 7 и более поздних версий, не содержат группу Все. Однако если устройство обновляется и исходное устройство содержит группу Все в составе своих определенных пользователей и групп, эта группа переносится в ходе процесса обновления и будет присутствовать на устройстве.
Меры противодействия
Предоставьте право пользователя Доступ к компьютеру из сети только тем пользователям и группы, которым требуется доступ к компьютеру. Например, если этот параметр политики настроен для групп Администраторы и Пользователи, пользователи, входящие в домен, могут получать доступ к общим ресурсам с серверов в домене, если члены группы Пользователи домена входят в локальную группу Пользователи.
Примечание
Если для защиты сетевого взаимодействия в организации используется IPsec, убедитесь, что группе, которая содержит учетную запись устройства, предоставлено это право. Это право является обязательным для успешной проверки подлинности компьютера. Для выполнения этого требования следует назначить это право группам Прошедшие проверку или Контроллеры домена.
Возможные последствия
При удалении права пользователя Доступ к компьютеру из сети на контроллерах домена для всех пользователей никто не сможет войти в домен или использовать сетевые ресурсы. При удалении этого права пользователя на рядовых серверах пользователи не смогут подключиться к эти серверам по сети. Если установлены дополнительные компоненты, например ASP.NET или службы IIS, может потребоваться назначить это право пользователя дополнительным учетным записям, необходимым этим компонентам. Важно убедиться, что авторизованные пользователи имеют это право на устройствах, необходимых им для получения доступа к сети.