Учетные записи: состояние учетной записи "Администратор"
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Учетные записи: состояние учетной записи "Администратор".
Справочные материалы
Этот параметр определяет, включена или отключена учетная запись локального администратора.
Если при попытке включить учетную запись администратора после ее отключения пароль текущего администратора не соответствует требованиям к паролю, включить учетную запись не удастся. В этом случае пароль учетной записи администратора должен быть сброшен другим членом группы "Администраторы".
Если этот параметр политики отключается и на компьютере выполняется одно из следующих условий, учетная запись администратора не отключается.
Не существует другой учетной записи локального администратора.
Учетная запись администратора уже используется
Все другие учетные записи локального администратора:
отключены;
указаны в назначении прав пользователя Запретить локальный вход.
Если пароль текущего администратора не соответствует требованиям к паролю, вы не сможете включить учетную запись администратора повторно после ее отключения. В этом случае пароль учетной записи администратора должен быть установлен другим членом группы "Администраторы".
Возможные значения
Включено
отключены;
Не определено
По умолчанию этот параметр имеет значение Не определено на контроллерах домена и Включено на отдельных серверах.
Рекомендации
- Отключение учетной записи администратора при некоторых обстоятельствах может затруднить обслуживание. Например, если в доменной среде происходит отказ безопасного канала, формирующего подключение, и нет никакой другой учетной записи локального администратора, необходимо перезагрузить компьютер в безопасном режиме, чтобы устранить проблему, вызвавшую нарушение соединения.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
Отключение учетной записи администратора при некоторых обстоятельствах может затруднить обслуживание. Стоит рассмотреть возможность отключения встроенной учетной записи администратора в организации по следующим причинам.
Для некоторых организаций периодическое изменение паролей для локальных учетных записей может стать серьезной проблемой.
По умолчанию учетная запись администратора не может быть заблокирована — она не зависит от количества неудачных попыток входа. Из-за этого она становится основной целью атак методом подбора пароля и перебора паролей.
Эта учетная запись имеет известный идентификатор безопасности (SID). Некоторые программы сторонних производителей позволяют выполнять проверку подлинности по сети с указанием SID, а не имени учетной записи. Это значит, что даже после переименования учетной записи администратора злоумышленник может запускать атаки методом перебора с использованием SID.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы использования безопасного режима
При запуске устройства в безопасном режиме отключенная учетная запись администратора включается только в том случае, если компьютер не входит в состав домена и нет других активных локальных учетных записей администратора. Если компьютер входит в состав домена, отключенную учетную запись администратора включить нельзя.
Если учетная запись администратора отключена, вы по-прежнему сможете получать доступ к компьютеру в безопасном режиме, используя текущие учетные данные администратора. Например, если происходит сбой при использовании безопасного канала с входящим в состав домена компьютером и другие учетные записи локального администратора отсутствуют, необходимо перезагрузить устройство в безопасном режиме, чтобы устранить проблему.
Как получить доступ к отключенной учетной записи администратора
Для доступа к отключенной учетной записи администратора можно использовать следующие методы.
Если отключена единственная учетная запись локального администратора, запустите устройство в безопасном режиме (локально или по сети) и войдите, используя учетные данные учетной записи администратора на данном компьютере.
Если на компьютере существуют другие учетные записи локального администратора наряду со встроенной учетной записью, запустите компьютер в безопасном режиме (локально или по сети) и войдите, используя данные учетной записи администратора на устройстве. Альтернативным методом является вход в Windows с помощью другой учетной записи локального администратора, созданной ранее.
Если на нескольких входящих в состав домена серверах имеется отключенная учетная запись локального администратора, доступная в безопасном режиме, можно запустить средство PsExec в удаленном режиме, выполнив следующую команду: net user administrator /active: no.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Встроенную учетную запись администратора нельзя заблокировать — она не зависит от количества неудачных попыток входа. Поэтому она становится основной целью атак методом подбора пароля. Кроме того, эта учетная запись имеет известный идентификатор безопасности (SID); также существуют средства сторонних разработчиков, позволяющие выполнять проверку подлинности с помощью идентификатора безопасности, а не имени учетной записи. Поэтому даже если вы переименуете учетную запись администратора, злоумышленник может запустить атаку методом подбора, используя идентификатор безопасности для входа в систему. Для всех остальных учетных записей, входящих в группу "Администратор", предусмотрена такая мера защиты, как блокировка учетной записи при превышении настроенного максимального числа неудачных попыток входа.
Меры противодействия
Отключите параметр Учетные записи: состояние учетной записи "Администратор", чтобы встроенную учетную запись администратора нельзя было использовать при обычном запуске системы.
Если соблюдать регулярное расписание для периодических смен паролей локальных учетных записей очень трудно, можно отключить встроенную учетную запись администратора, а не рассчитывать на регулярную смену пароля для защиты ее от атак.
Возможные последствия
Отключение учетной записи администратора при некоторых обстоятельствах может затруднить обслуживание. Например, если в доменной среде по какой-либо причине происходит отказ безопасного канала между компьютером-членом и контроллером домена и другая учетная запись локального администратора отсутствует, необходимо перезагрузить компьютер в безопасном режиме, чтобы устранить проблему, которая вызвала сбой безопасного канала.
Если пароль текущего администратора не соответствует требованиям к паролю, включить учетную запись администратора после ее отключения будет невозможно. При возникновении такой ситуации пароль учетной записи администратора должен быть сброшен другим членом группы "Администраторы".