Блокируем сетевой доступ локальным учетным записям | Windows для системных администраторов

Блокируем сетевой доступ локальным учетным записям

Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash).  Кроме того доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные факты на контроллерах домена AD не регистрируются.

Чтобы снизить риски, администраторы прибегают к переименованию имени стандартной локальной учетной записи Windows Administrator (Администратор). Существенно повысить безопасность учетных записей локальных администраторов позволяет использование системы, обеспечивающей периодическую смену пароля локального администратора на уникальный на всех компьютерах домен(к примеру, MS Local Administrator Password Solution). Но этим решением не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.

Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить доступ.

В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности с новыми SID. Это значит, что теперь доступна возможность не перечислять все возможные варианты SID локальных учёток, а использовать общий SID.

S-1-5-113 NT AUTHORITY\Local account Все локальные учетная запись
S-1-5-114 NT AUTHORITY\Local account and member of Administrators group Все локальные учетные записи с правами администратора

Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.

На сервере с Windows Server 2012 R2 убедимся, что локальной учетной записи administrator присвоены две новые группы NT AUTHORITY\Local account (SID S-1-5-113) и  NT AUTHORITY\Local account and member of Administrators group (SID  S-1-5-114):

Whoami /all

whoami /all NT-AUTHORITY Local account SID S-1-5-113Этот функционал можно добавить и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).

Проверить, имеются ли данные группы в системе можно следующим образом:

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value

Если скрипт возвращает NT Authority\Local account, значит данная локальная группа (с этим SID) имеется.

PowerShell get SecurityIdentifier
Чтобы ограничить сетевой доступ под локальным учетным записям, с этими  SID-ами в токене, можно воспользоваться следующими политиками, которые находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

  • Deny access to this computer from the network – Отказ в доступе к компьютеру из сети
  • Deny log on through Remote Desktop Services – Запретить вход в систему через службу с удаленного рабочего стола

Добавляем в данные политики Local account и Local account and member of Administrators group и обновляем политику с помощью gpupdate /force.

Deny access to this computer from the network После применения политики на данный компьютер запрещен сетевой доступ под локальными учетными записями. Так, при попытке установить RDP сессию под учетной записью .\administrator появится сообщение  об ошибке.

The system administrator has restricted the types of logon (network or interactive) that you may use.

The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.
Важно. Так же стоит отменить, что при применении данных политик к компьютеру, не входящему в домен Active Directory, зайти на такой компьютер можно будет только с локальной консоли.

Таким образом, можно ограничить доступ по сети под локальными учетными записями независимо от их имен, увеличить уровень защищенности корпоративной среды.

Еще записи по теме: Windows Server 2012 R2
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 5

Оставить комментарий
  1. Андрей | 09.04.2016

    Спасибо за прекрасную статью !!!
    Но у меня неожиданно возникла проблема с распространением данных настроек через GPO на контроллере домена под управлением русской версии Server 2008 R2.
    Группа безопасности S-1-5-114 называется в русской версии Локальная учетная запись и член группы «Администраторы» (с кавычками в названии). При добавлении этой группы появляется сообщение «Имя пользователя и группы не может содержать ни одного из следующих знаков…», далее перечисляются знаки в том числе и кавычки. Что делать-то ?

    Ответить
    • itpro | 12.04.2016

      Вот за это я предпочитаю ставить английские версии серверного ПО…
      Пробовали руками добавить группу в GPO? В окне добавления выберите:
      1. местоположение (имя_сервера)
      2. Кнопка дополнительно
      3. Найти сейчас
      4. В списке групп и учеток выбрать «Локальная учетная запись и член группы «Администраторы»»
      5. Ок

      Ответить
  2. Андрей | 14.04.2016

    Пробовал — не получается также. Через GPO никак не получилось.
    Работает только вариант настройки через оснастку gpedit.msc, ее кавычки при добавлении группы не смущают. Но это означает ручной труд на каждой машине.

    Ответить
    • itpro | 14.04.2016

      Попробуйте в доменную GPO добавить непосредственно SID-ы групп: S-1-5-113, S-1-5-114

      Ответить
  3. Андрей | 17.04.2016

    Нашел каталог с политикой в \\sysvol\имя домена\Policies
    Внес руками следующие настройки
    [Privilege Rights]
    SeDenyNetworkLogonRight = *S-1-5-113,*S-1-5-114

    На компьютере под этой политикой запустил rsop.msc, увидел, что ошибки при применении политики.
    Смотрю лог C:\Windows\security\logs\winlogon.log и что там вижу: !!!!!!!!!!!!!!!!

    —-Настройка прав пользователя…
    Настройка Локальная учетная запись и член группы Администраторы.
    Ошибка 1332: Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.
    Не удалось найти Локальная учетная запись и член группы Администраторы.
    Настройка S-1-5-113.
    Настройка S-1-5-21-2306648808-2876377639-3490863382-514.
    Ошибка при настройке прав пользователя.

    Волшебным образом на клиенте ищется группа с названием Локальная учетная запись и член группы Администраторы без кавычек в названии. Естественно ее нет, т.к. запуск powershell — скрипта
    $objSID = New-Object System.Security.Principal.SecurityIdentifier («S-1-5-114″)
    $objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
    $objAccount.Value

    возвращает значение с кавычками
    NT AUTHORITY\Локальная учетная запись и член группы «Администраторы»

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00097 sec