Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Интерактивный вход в систему: требовать проверки подлинности на контроллере домена для разблокировки рабочей станции.
Справка
Для активации заблокированного устройства требуется ввести учетные данные. Для учетных записей домена параметр политики Интерактивный вход в систему: требовать проверки подлинности на контроллере домена для разблокировки рабочей станции определяет, следует ли связаться с контроллером домена, чтобы разблокировать устройство. Для включения этого параметра политики контроллер домена должен проверить подлинность учетной записи домена, которая используется для разблокировки устройства. Если отключить этот параметр политики, пользователь сможет разблокировать устройство без проверки учетных данных на контроллере домена. Но если параметру Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) задано значение больше ноля, для разблокировки системы будут использоваться кэшированные учетные данные.
Устройство кэширует (в локальную память) учетные данные всех пользователей, прошедших проверку подлинности. Устройство использует эти учетные данные для проверки подлинности всех пользователей, пытающихся разблокировать консоль.
При применении кэшированных учетных данных любые изменения, которые были недавно внесены в учетную запись (например, назначение прав, блокировка или отключение учетной записи), не учитываются и не применяются после этого процесса проверки подлинности. Это означает не только то, что права пользователей не обновляются, но и (не менее важно) то, что отключенные учетные записи по-прежнему могут разблокировать консоль системы.
Рекомендуется установить для параметра Интерактивный вход в систему: требовать проверки подлинности на контроллере домена для разблокировки рабочей станции значение "Включено", а для параметра Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) — значение 0. Если консоль устройства заблокирована пользователем или автоматически заставкой, консоль можно разблокировать, только если пользователь пройдет повторную проверку подлинности на контроллере домена. Если ни один контроллер домена не доступен, пользователи не смогут разблокировать свои устройства.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Установите для параметра Интерактивный вход в систему: требовать проверки на контроллере домена для разблокировки рабочей станции значение "Включено", а для параметра Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) — значение 0. Если консоль устройства заблокирована пользователем или автоматически заставкой, консоль можно разблокировать, только если пользователь пройдет повторную проверку подлинности на контроллере домена. Если ни один контроллер домена не доступен, пользователи не смогут разблокировать свои устройства.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В этом разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Нет
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
По умолчанию устройство кэширует в локальную память учетные данные всех пользователей, прошедших проверку подлинности. Устройство использует эти учетные данные для проверки подлинности всех пользователей, пытающихся разблокировать консоль. При применении кэшированных учетных данных любые изменения, которые были недавно внесены в учетную запись (например, назначение прав, блокировка или отключение учетной записи), не учитываются и не применяются после проверки подлинности учетной записи. Разрешения пользователей не обновляются, а отключенные учетные записи по-прежнему могут разблокировать консоль устройства.
Меры противодействия
Установите для параметра Интерактивный вход в систему: требовать проверки на контроллере домена для разблокировки рабочей станции значение "Включено", а для параметра Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) — значение 0.
Возможные последствия
Если консоль устройства заблокирована пользователем или автоматически заставкой, консоль можно разблокировать, только если пользователь пройдет повторную проверку подлинности на контроллере домена. Если ни один контроллер домена не доступен, пользователи не смогут разблокировать свои рабочие станции. Если задать параметру Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) значение 0, пользователи, контроллеры домена которых недоступны (например, мобильные или удаленные пользователи), не смогут войти в систему.