Блокируем сетевой доступ локальным учетным записям

Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash).  Кроме того доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные факты на контроллерах домена AD не регистрируются.

Чтобы снизить риски, администраторы прибегают к переименованию имени стандартной локальной учетной записи Windows Administrator (Администратор). Существенно повысить безопасность учетных записей локальных администраторов позволяет использование системы, обеспечивающей периодическую смену пароля локального администратора на уникальный на всех компьютерах домен(к примеру, MS Local Administrator Password Solution). Но этим решением не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.

Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить доступ.

В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности с новыми SID. Это значит, что теперь доступна возможность не перечислять все возможные варианты SID локальных учёток, а использовать общий SID.

S-1-5-113NT AUTHORITY\Local accountВсе локальные учетная запись
S-1-5-114NT AUTHORITY\Local account and member of Administrators groupВсе локальные учетные записи с правами администратора

Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.

На сервере с Windows Server 2012 R2 убедимся, что локальной учетной записи administrator присвоены две новые группы NT AUTHORITY\Local account (SID S-1-5-113) и  NT AUTHORITY\Local account and member of Administrators group (SID  S-1-5-114):

Whoami /all

whoami /all NT-AUTHORITY Local account SID S-1-5-113Этот функционал можно добавить и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).

Проверить, имеются ли данные группы в системе можно следующим образом:

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value

Если скрипт возвращает NT Authority\Local account, значит данная локальная группа (с этим SID) имеется.

PowerShell get SecurityIdentifier
Чтобы ограничить сетевой доступ под локальным учетным записям, с этими  SID-ами в токене, можно воспользоваться следующими политиками, которые находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

  • Deny access to this computer from the network – Отказ в доступе к компьютеру из сети
  • Deny log on through Remote Desktop Services – Запретить вход в систему через службу с удаленного рабочего стола

Добавляем в данные политики Local account и Local account and member of Administrators group и обновляем политику с помощью gpupdate /force.

Deny access to this computer from the network После применения политики на данный компьютер запрещен сетевой доступ под локальными учетными записями. Так, при попытке установить RDP сессию под учетной записью .\administrator появится сообщение  об ошибке.

The system administrator has restricted the types of logon (network or interactive) that you may use.

The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.
Важно. Так же стоит отменить, что при применении данных политик к компьютеру, не входящему в домен Active Directory, зайти на такой компьютер можно будет только с локальной консоли.

Таким образом, можно ограничить доступ по сети под локальными учетными записями независимо от их имен, увеличить уровень защищенности корпоративной среды.


Предыдущая статья Следующая статья


Комментариев: 7 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)