Запретить локальный вход
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Запретить локальный вход.
Справка
Этот параметр политики определяет, каким пользователям будет отказано во входе в систему с помощью консоли устройства.
Константа: SeDenyInteractiveLogonRight
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
Правило Запретить локальный вход следует назначить локальной учетной записи гостя, чтобы ограничить доступ к системе для потенциально неавторизованных пользователей.
Поэкспериментируйте с изменением этого параметра политики в сочетании с параметром Локальный вход в систему, если к учетной записи пользователя применяются обе политики.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Если применить этот параметр политики к группе "Все", никто не сможет войти в систему локально.
Групповая политика
Этот параметр заменяет параметр политики Локальный вход в систему, если к учетной записи пользователя применяются обе политики.
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Любую учетную запись, которой предоставлена возможность входить в систему локально, можно использовать для входа в систему с помощью консоли устройства. Если предоставление этого права не ограничено только законными пользователями, которым оно требуется для входа в консоль устройства, неавторизованные пользователи могут скачать и запустить вредоносные программы, которые повышают их права пользователя.
Меры противодействия
Назначьте право Запретить локальный вход локальной учетной записи "Гость". После установки дополнительных компонентов, таких как ASP.NET, это право пользователя, возможно, потребуется назначить дополнительным учетным записям, которые требуются для этих компонентов.
Возможные последствия
Если назначить право Запретить локальный вход другим учетным записям, вы можете ограничить возможности пользователей, которым назначены определенные роли в вашей среде. Однако это право следует напрямую назначить учетной записи ASPNET на устройствах, которые выступают в роли веб-сервера. Необходимо убедиться в отсутствии негативного влияния на делегированные действия.