Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевая безопасность: принудительный вывод из сеанса по истечении допустимого времени входа.
Справка
Этот параметр безопасности указывает, нужно ли отключать пользователей, подключенных к локальному устройству дольше времени входа, допустимого для учетной записи пользователя. Этот параметр действует на компонент протокола SMB.
Этот параметр политики не применяется к учетным записям администратора, но работает как политика учетных записей. Для учетных записей домена может использоваться только одна политика учетных записей. Политику учетных записей необходимо указать в политике домена, используемой по умолчанию, и применить к контроллерам домена, входящим в домен. Контроллер домена всегда принимает политику учетных записей из объекта групповой политики (GPO) политики домена, используемого по умолчанию, даже к организационному подразделению, которое содержит контроллер домена, применена другая политика учетных записей. По умолчанию рабочие станции и серверы, которые присоединены к домену (например, рядовые устройства), также получают ту же политику учетных записей для своих локальных учетных записей. Однако политики локальных учетных записей для рядовых устройств могут отличаться от политики учетных записей домена определением политики учетных записей для подразделений, которые содержат рядовые устройства. Параметры Kerberos не применяются к рядовым устройствам.
Возможные значения
Включено
Если этот параметр включен, политика принудительно разрывает клиентские сеансы связи с сервером SMB по истечении допустимого времени пребывания пользователя в системе.
Отключено
Если этот параметр отключен, политика разрешает продолжить установленный клиентский сеанс по истечении допустимого времени пребывания пользователя в системе.
Не определено
Рекомендации
- Включите параметр Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы. По истечении разрешенного допустимого времени пребывания пользователя в системе сеансы SMB на рядовых серверах будут разорваны, и пользователь не сможет войти в систему, пока не наступит следующее запланированное время доступа.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Отключено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если отключить этот параметр политики, пользователи смогут оставаться подключенными к компьютеру по истечении допустимого времени пребывания пользователя в системе.
Меры противодействия
Включите параметр Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы. Этот параметр политики не применяется к учетным записям администратора.
Возможные последствия
По истечении допустимого времени входа пользователя сеансы SMB разрываются. Пользователь не может войти в систему, пока не наступит следующее запланированное время доступа.