Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей.
Справка
Этот параметр безопасности определяет, как проверяется подлинность локальных учетных данных при входе в сеть. Если данный параметр имеет значение "Обычная", то при проверке подлинности локальной учетной записи используются предъявляемые при входе в сеть учетные данные. Если параметр имеет значение "Гостевая", то при входе в сеть с использованием локальной учетной записи ей автоматически сопоставляется гостевая учетная запись. Классическая модель позволяет с высокой степенью точности контролировать доступ к ресурсам. С ее помощью можно дифференцировать типы доступа к одному и тому же ресурсу для различных пользователей. При использовании гостевой модели все пользователи рассматриваются как равноправные и обладают одинаковыми разрешениями на доступ к каждому конкретному ресурсу — либо "Только чтение", либо "Изменение".
Примечание
Данный параметр политики не влияет на вход в сеть с помощью учетных записей домена. Действие параметра также не распространяется на интерактивный вход в сеть, выполняемый в удаленном режиме с использованием таких служб, как Telnet или службы удаленных рабочих столов.
Если устройство не присоединено к домену, этот параметр также определяет внешний вид вкладок Совместный доступ и Безопасность проводника Windows: они настраиваются в соответствии с выбранной моделью доступа и безопасности.
Если значение этого параметра политики — Гостевая — локальные пользователи удостоверяются как гости, любой пользователь, имеющий доступ к вашему устройству, осуществляет такой доступ с гостевыми правами. Это означает, что пользователи, вероятно, не смогут выполнять запись в общих папках. Несмотря на то, что это повышает безопасность, авторизованные пользователи в результате такого выбора теряют возможность получить доступ к общим ресурсам таких систем. Когда выбрано значение Обычная — локальные пользователи удостоверяются как они сами, локальные учетные записи должны быть защищены паролем; в противном случае использовать эти учетные записи для получения доступа к общим системным ресурсам сможет кто угодно.
Возможные значения
Обычная — локальные пользователи удостоверяются как они сами
Гостевая — локальные пользователи удостоверяются как гости
Не определено
Рекомендации
Для сетевых серверов установите для этой политики значение Обычная — локальные пользователи удостоверяются как они сами.
На системах конечных пользователей установите для этой политики значение Гостевая — локальные пользователи удостоверяются как гости.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Обычная (локальные пользователи удостоверяются как они сами) |
Действующие параметры контроллера домена по умолчанию |
Обычная (локальные пользователи удостоверяются как они сами) |
Действующие параметры рядового сервера по умолчанию |
Обычная (локальные пользователи удостоверяются как они сами) |
Действующие параметры клиентского компьютера по умолчанию |
Обычная (локальные пользователи удостоверяются как они сами) |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если используется гостевая модель, любой пользователь, который может пройти проверку подлинности на вашем устройстве по сети, осуществляет доступ с правами гостя, что может означать отсутствие у него прав на запись для общих ресурсов на этом устройстве. Хотя это ограничение повышает безопасность, оно усложняет получение доступа к общим ресурсам компьютера для авторизованных пользователей, так как списки управления доступом для таких ресурсов должны включать элементы управления доступом (ACE) для учетной записи гостя. При использовании обычной модели локальные учетные записи должны быть защищены паролем. В противном случае, если включен гостевой доступ, использовать эти учетные записи для получения доступа к общим системным ресурсам сможет кто угодно.
Меры противодействия
Для сетевых серверов установите для параметра Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей значение Обычная — локальные пользователи удостоверяются как они сами. На компьютерах конечных пользователей установите для этого параметра политики значение Гостевая — локальные пользователи удостоверяются как гости.
Возможные последствия
Нет. Это конфигурация по умолчанию.