Access this computer from the network

Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash). Кроме того доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные факты на контроллерах домена AD не регистрируются.

Чтобы снизить риски, администраторы прибегают к переименованию имени стандартной локальной учетной записи Windows Administrator (Администратор). Существенно повысить безопасность учетных записей локальных администраторов позволяет использование системы, обеспечивающей периодическую смену пароля локального администратора на уникальный на всех компьютерах домен(к примеру, MS Local Administrator Password Solution). Но этим решением не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.

Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить доступ.

В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности с новыми SID. Это значит, что теперь доступна возможность не перечислять все возможные варианты SID локальных учёток, а использовать общий SID.

S-1-5-113 NT AUTHORITYLocal account Все локальные учетная запись
S-1-5-114 NT AUTHORITYLocal account and member of Administrators group Все локальные учетные записи с правами администратора

Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.

На сервере с Windows Server 2012 R2 убедимся, что локальной учетной записи administrator присвоены две новые группы NT AUTHORITYLocal account (SID S-1-5-113) и NT AUTHORITYLocal account and member of Administrators group (SID S-1-5-114):

Этот функционал можно добавить и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).

Проверить, имеются ли данные группы в системе можно по их SID следующим образом:

$objS )
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value
Если скрипт возвращает NT AuthorityLocal account, значит данная локальная группа (с этим SID) имеется.


Чтобы ограничить сетевой доступ под локальным учетным записям, с этими SID-ами в токене, можно воспользоваться следующими политиками, которые находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

  • Deny access to this computer from the network – Отказ в доступе к компьютеру из сети
  • DenylogonthroughRemoteDesktopServices – Запретить вход в систему через службу с удаленного рабочего стола
Читайте также:  Vksaver не появляется кнопка save

Добавляем в данные политики Local account и Local account and member of Administrators group и обновляем политику с помощью gpupdate /force.

После применения политики на данный компьютер запрещен сетевой доступ под локальными учетными записями. Так, при попытке установить RDP сессию под учетной записью .administrator появится сообщение об ошибке.

Таким образом, можно ограничить доступ по сети под локальными учетными записями независимо от их имен, увеличить уровень защищенности корпоративной среды.

Applies to

Describes the best practices, location, values, policy management, and security considerations for the Access this computer from the network security policy setting.

Reference

The Access this computer from the network policy setting determines which users can connect to the device from the network. This capability is required by a number of network protocols, including Server Message Block (SMB)-based protocols, NetBIOS, Common Internet File System (CIFS), and Component Object Model Plus (COM+).

Users, devices, and service accounts gain or lose the Access this computer from network user right by being explicitly or implicitly added or removed from a security group that has been granted this user right. For example, a user account or a machine account may be explicitly added to a custom security group or a built-in security group, or it may be implicitly added by Windows to a computed security group such as Domain Users, Authenticated Users, or Enterprise Domain Controllers. By default, user accounts and machine accounts are granted the Access this computer from network user right when computed groups such as Authenticated Users, and for domain controllers, the Enterprise Domain Controllers group, are defined in the default domain controllers Group Policy Object (GPO).

Possible values

  • User-defined list of accounts
  • Not defined

Best practices

  • On desktop devices or member servers, grant this right only to users and administrators.
  • On domain controllers, grant this right only to authenticated users, enterprise domain controllers, and administrators.
  • This setting includes the Everyone group to ensure backward compatibility. Upon Windows upgrade, after you have verified that all users and groups are correctly migrated, you should remove the Everyone group and use the Authenticated Users group instead.
Читайте также:  Как правильно написать емейл для регистрации

Location

Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment

Default values

The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Default values are also listed on the policy’s property page.

Server type of GPO Default value
Default domain policy Not defined
Default domain controller policy Everyone, Administrators, Authenticated Users, Enterprise Domain Controllers, Pre-WindowsВ 2000 Compatible Access
Stand-alone server default settings Everyone, Administrators, Users, Backup Operators
Domain controller effective default settings Everyone, Administrators, Authenticated Users, Enterprise Domain Controllers, Pre-WindowsВ 2000 Compatible Access
Member server effective default settings Everyone, Administrators, Users, Backup Operators
Client computer effective default settings Everyone, Administrators, Users, Backup Operators

Policy management

When modifying this user right, the following actions might cause users and services to experience network access issues:

  • Removing the Enterprise Domain Controllers security group
  • Removing the Authenticated Users group or an explicit group that allows users, computers, and service accounts the user right to connect to computers over the network
  • Removing all user and machine accounts

A restart of the device is not required for this policy setting to be effective.

Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Group Policy

Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Local policy settings
  2. Site policy settings
  3. Domain policy settings
  4. OU policy settings

When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Security considerations

This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Vulnerability

Users who can connect from their device to the network can access resources on target devices for which they have permission. For example, the Access this computer from the network user right is required for users to connect to shared printers and folders. If this user right is assigned to the Everyone group, anyone in the group can read the files in those shared folders. This situation is unlikely because the groups created by a default installation of at least Windows ServerВ 2008В R2 or WindowsВ 7 do not include the Everyone group. However, if a device is upgraded and the original device includes the Everyone group as part of its defined users and groups, that group is transitioned as part of the upgrade process and is present on the device.

Читайте также:  Pdf reader какой лучше

Countermeasure

Restrict the Access this computer from the network user right to only those users and groups who require access to the computer. For example, if you configure this policy setting to the Administrators and Users groups, users who log on to the domain can access resources that are shared from servers in the domain if members of the Domain Users group are included in the local Users group.

Note If you are using IPsec to help secure network communications in your organization, ensure that a group that includes machine accounts is given this right. This right is required for successful computer authentication. Assigning this right to Authenticated Users or Domain Computers meets this requirement.

Do you have any idea how can I add a user in Local policies? I need same effect like this

gpedit.msc -> Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment / "Access this computer from the network"

I would like to do that by adding a registry key or by running a command from cmd. If you have any hint or internet resource to share, I would be happy.

2 Answers 2

Here’s one I prepared earlier. We use the (lengthy, sorry) wrapper class below to grant "Logon as a service right". The call for this is as follows:

You would just need to replace "SeServiceLogonRight" with your own. A quick Google tells me this should be "SeNetworkLogonRight". If you want this in a console app, then you can quickly compile one. Set your Main method like so:

Then call as YourConsoleApp.exe logon right . Here’s the wrapper:

I suspect you’ll need to use pinvoke and wrap around the appropriate Lsa functions, http://msdn.microsoft.com/en-us/library/windows/desktop/ms721786(v=vs.85).aspx http://www.pinvoke.net/default.aspx/advapi32.lsaaddaccountrights

Not the answer you’re looking for? Browse other questions tagged c# .net wpf registry or ask your own question.

Related

Hot Network Questions

To subscribe to this RSS feed, copy and paste this URL into your RSS reader.

site design / logo © 2019 Stack Exchange Inc; user contributions licensed under cc by-sa 4.0 with attribution required. rev 2019.11.15.35459