Blokiramo mrežni pristup lokalnim računima

Korištenje lokalnih računa (uključujući lokalnog administratora) za pristup mreži u okruženjima Active Directory je nepoželjno iz više razloga. Često mnoga računala koriste isto ime i lozinku lokalnog administratora, što može ugroziti mnoge sustave kada je jedno računalo ugroženo (prijetnja napadom Pass-u ključa). Osim toga, teško je personificirati i centralizirati pristup putem lokalnih računa putem mreže, jer slične činjenice se ne bilježe na AD kontrolerima domena.

Da bi umanjili rizike, administratori pribjegavaju preimenovanju imena standardnog lokalnog Windows administracijskog računa. Upotreba sustava koji periodično mijenja lozinku lokalnog administratora u domenu jedinstvenu za sva računala (na primjer, MS Local Password Password Solution) može značajno povećati sigurnost računa lokalnih administratora. Ali ovo rješenje neće moći riješiti problem ograničavanja pristupa mreži putem lokalnih računa, jer računala mogu imati više lokalnih računa.

Pomoću pravila možete ograničiti pristup mreži za lokalne račune. poreći pristup u ovo računalo od mreža. Ali problem je u tome što ćete u ovom pravilniku morati izričito navesti sva imena računa kojima je potrebno onemogućiti pristup.

Windows 8.1 i Windows Server 2012 R2 predstavili su dvije nove sigurnosne skupine s novim SID-ovima. To znači da je sada dostupna mogućnost ne popisa svih mogućih SID opcija za lokalne račune, već korištenja zajedničkog SID-a.

S-1-5-113NT AUTHORITY \ Lokalni računSvi lokalni račun
S-1-5-114NT AUTHORITY \ Lokalni račun i član grupe AdministratorsSvi lokalni administracijski računi

Te se skupine dodaju u pristupni tok korisnika kada se prijavi pod lokalni račun.

Na poslužitelju na kojem je pokrenut Windows Server 2012 R2 provjerite je li lokalni administratorski račun dodijeljen dva nova NT AUTHORITY \ Local account (SID S-1-5-113) i NT AUTHORITY \ Local account and member of Administrators group (SID S-1- 5-114):

Whoami / sve

Možete dodati ovu funkcionalnost u Windows 7, Windows 8, Windows Server 2008 R2 i Windows Server 2012 instaliranjem ažuriranja KB 2871997 (ažuriranje za lipanj 2014).

Možete provjeriti postoje li ove grupe u sustavu pomoću njihovog SID-a na sljedeći način:

$ objSID = Novi objektni sustav.Sigurnost.Principal.SecurityIdentifier ("S-1-5-113")
$ objAccount = $ objSID.Translate ([System.Security.Principal.NTAccount])
$ objAccount.Value

Ako skripta vrati NT ovlaštenje \ lokalni račun, tada je dostupna ta lokalna grupa (s ovim SID-om).


Da biste ograničili pristup mreži putem lokalnih računa s ovim SID-ovima u tokenu, možete koristiti sljedeća pravila koja se nalaze u odjeljku Konfiguracija računala -> Postavke sustava Windows -> Sigurnosne postavke -> Lokalna pravila -> Dodjela korisničkih prava.

  • Zabraniti pristup ovom računalu s mreže - Zabranjen pristup računalu s mreže
  • poreći dnevnik na preko daljinski Desktop usluge - Zabrani prijavu putem usluge s udaljene radne površine

Dodajte u podatke pravila Lokalni račun i Lokalni račun i član grupe Administratori i ažurirajte pravilo pomoću gpupdate / force.

Nakon primjene pravila, pristup ovom računalu je onemogućen pristup mreži putem lokalnih računa. Dakle, kada pokušate uspostaviti RDP sesiju pod računom .\administrator pojavit će se poruka o pogrešci.

Administrator sustava ograničio je vrste prijava (mrežne ili interaktivne) koje možete koristiti. Za pomoć se obratite administratoru sustava ili tehničkoj podršci.Važno je. Također je vrijedno napomenuti da će se primjenom ovih pravila na računalo koje nije član Active Directory domene pristupiti takvom računalu samo s lokalne konzole..

Tako možete ograničiti pristup mreži putem lokalnih računa bez obzira na njihova imena, te povećati razinu sigurnosti korporacijskog okruženja.