Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей Network access: Sharing and security model for local accounts

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для сетевого доступа: модель общего доступа и безопасности для параметра политики безопасности локальных учетных записей. Describes the best practices, location, values, policy management and security considerations for the Network access: Sharing and security model for local accounts security policy setting.

Справочные материалы Reference

Этот параметр политики определяет проверку подлинности сетевых учетных записей, которые используют локальные учетные записи. This policy setting determines how network logons that use local accounts are authenticated. Если для этого параметра политики установлено классическое, сетевые учетные данные, которые используют учетные данные локальной учетной записи, будут использовать эти учетные данные. If you configure this policy setting to Classic, network logons that use local account credentials authenticate with those credentials. Если этот параметр политики настроен только для гостевого, сетевые учетные записи, которые используют локальные учетные записи, автоматически соотируются с гостевой учетной записью. If you configure this policy setting to Guest only, network logons that use local accounts are automatically mapped to the Guest account. Классическая модель обеспечивает точный контроль над доступом к ресурсам и позволяет предоставлять разные типы доступа разным пользователям для одного и того же ресурса. The Classic model provides precise control over access to resources, and it enables you to grant different types of access to different users for the same resource. И наоборот, гостевая модель одинаково обрабатывает всех пользователей, и все они получают одинаковый уровень доступа к определенному ресурсу, который может быть либо только для чтения, либо для изменения. Conversely, the Guest only model treats all users equally, and they all receive the same level of access to a given resource, which can be either Read Only or Modify.

Примечание. Этот параметр политики не влияет на сетевые учетные записи, которые используют учетные записи домена. Note: This policy setting does not affect network logons that use domain accounts. Кроме того, этот параметр политики не влияет на интерактивные входящего в нее устройства, которые выполняются удаленно через такие службы, как Telnet или службы удаленных рабочих стола. Nor does this policy setting affect interactive logons that are performed remotely through services such as Telnet or Remote Desktop Services. Если устройство не присоединяется к домену, этот **** параметр **** политики также настраивает вкладки «Общий доступ» и «Безопасность» в проводнике Windows в соответствие с используемой моделью общего доступа и безопасности. When the device is not joined to a domain, this policy setting also tailors the Sharing and Security tabs in Windows Explorer to correspond to the sharing and security model that is being used.

Если этот параметр политики имеет значение «Только гость» — локальные пользователи могут проверить подлинность как гостевых, то любой пользователь, который может получить доступ к вашему устройству по сети, делает это с правами гостевого пользователя. When the value of this policy setting is Guest only — local users authenticate as Guest, any user who can access your device over the network does so with Guest user rights. Это означает, что они, вероятно, не смогут записывать в общие папки. This means that they will probably be unable to write to shared folders. Хотя это повышает безопасность, авторизованные пользователи не могут получить доступ к общим ресурсам в этих системах. Although this does increase security, it makes it impossible for authorized users to access shared resources on those systems. Если значением является «Классическая» — локальные пользователи должны пройти проверку подлинности как сами, локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь может использовать эти учетные записи для доступа к общим системным ресурсам. When the value is Classic — local users authenticate as themselves, local accounts must be password-protected; otherwise, anyone can use those user accounts to access shared system resources.

Возможные значения Possible values

• Классическая проверка подлинности локальных пользователей Classic — Local users authenticate as themselves
• Только гостевой — локальные пользователи могут проверить подлинность в качестве гостя Guest only — Local users authenticate as Guest
• Не определено Not defined

Рекомендации Best practices

1. Для сетевых серверов установите для этой политики классическое — локальные пользователи могут самостоятельно проверить подлинность. For network servers, set this policy to Classic — local users authenticate as themselves.
2. В системах конечных пользователей установите для этой политики только гостевую проверку подлинности локальных пользователей как гостевых. On end-user systems, set this policy to Guest only — local users authenticate as Guest.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Классическая проверка подлинности (локальные пользователи сами по себе) Classic (local users authenticate as themselves)
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Классическая проверка подлинности (локальные пользователи сами по себе) Classic (local users authenticate as themselves)
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Классическая проверка подлинности (локальные пользователи сами по себе) Classic (local users authenticate as themselves)
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Классическая проверка подлинности (локальные пользователи сами по себе) Classic (local users authenticate as themselves)

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Групповая политика Group Policy

Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения через объекты групповой политики (GGPOs). This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). Если эта политика не содержится в распределенном GPO, эту политику можно настроить на локальном компьютере с помощью оснастки «Локализованная политика безопасности». If this policy is not contained in a distributed GPO, this policy can be configured on the local computer by using the Local Security Policy snap-in.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

При модели «Только гость» любой пользователь, который может проверить подлинность на устройстве по сети, делает это с помощью гостевых привилегий, что, вероятно, означает, что у него нет доступа на записи к общим ресурсам на этом устройстве. With the Guest only model, any user who can authenticate to your device over the network does so with Guest privileges, which probably means that they do not have Write access to shared resources on that device. Несмотря на то что это ограничение повышает безопасность, авторизованным пользователям сложнее получать доступ к общим ресурсам на этих компьютерах, так как ALS на этих ресурсах должны включать записи управления доступом (AES) для гостевой учетной записи. Although this restriction does increase security, it makes it more difficult for authorized users to access shared resources on those computers because ACLs on those resources must include access control entries (ACEs) for the Guest account. При классической модели локальные учетные записи должны быть защищены паролем. With the Classic model, local accounts should be password protected. В противном случае, если гостевой доступ включен, любой пользователь может использовать эти учетные записи пользователей для доступа к общим системным ресурсам. Otherwise, if Guest access is enabled, anyone can use those user accounts to access shared system resources.

Противодействие Countermeasure

Для сетевых серверов настройте сетевой доступ: общий доступ и модель безопасности для локальных учетных записей, задав для них классическое — локальные пользователи могут самостоятельно проверить подлинность. For network servers, configure the Network access: Sharing and security model for local accounts setting to Classic – local users authenticate as themselves. На компьютерах конечных пользователей настройте для этого параметра политики «Только гость» — локальные пользователи могут проверить подлинность как гостевых. On end-user computers, configure this policy setting to Guest only – local users authenticate as guest.

Возможное влияние Potential impact

Нет. None. Это конфигурация по умолчанию. This is the default configuration.

Настраиваем локальную политику безопасности в Windows 7

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».

Далее откройте раздел «Система и безопасности».

Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

Затем щелкните «OK».

Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.

В данном каталоге располагается три папки.

В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

Читайте также: Родительский контроль в Windows 7
Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.

Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.

После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».

После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK», а иначе изменения не вступят в силу.

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

Затем щелкните «OK».

Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7
Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».

Далее щелкните по папке «Конфигурация Windows».

Теперь щелкните по элементу «Параметры безопасности».

Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.

Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.