Защита системы доступна только для сетевых систем Windows 10, что делать
Обновлено: 04.07.2024
Описывает рекомендации, расположение, значения, управление политиками и вопросы безопасности для доступа к сети: не разрешать хранение паролей и учетных данных для параметра политики безопасности сетевой аутентификации.
Ссылка
Этот параметр безопасности определяет, будет ли диспетчер учетных данных сохранять пароли и учетные данные для последующего использования при проверке подлинности домена.
Возможные значения
Диспетчер учетных данных не хранит пароли и учетные данные на устройстве
Credential Manager сохранит пароли и учетные данные на этом компьютере для последующего использования для проверки подлинности домена.
Рекомендации
Рекомендуется отключить возможность операционной системы Windows кэшировать учетные данные на любом устройстве, где учетные данные не требуются. Оцените свои серверы и рабочие станции, чтобы определить требования. Кэшированные учетные данные предназначены в первую очередь для использования на ноутбуках, которым требуются учетные данные домена при отключении от домена.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств политики.
| Тип сервера или объект групповой политики (GPO) | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Отключено |
| Политика контроллера домена по умолчанию | Отключено |
| Отключено | |
| Действующие настройки контроллера домена по умолчанию | Не определено |
| Действующие настройки рядового сервера по умолчанию | Не определено |
| Действующие настройки GPO по умолчанию на клиентских компьютерах | Не определено |
Управление политикой
В этом разделе описываются функции и инструменты, которые помогут вам управлять этой политикой.
Требование перезапустить
Требуется перезагрузка устройства, прежде чем эта политика вступит в силу, когда изменения в этой политике сохраняются локально или распространяются через групповую политику.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения через объекты групповой политики (GPO). Если эта политика не содержится в распределенном объекте групповой политики, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.
Уязвимость
Кэшированные пароли могут быть доступны пользователю при входе в систему на устройстве. Хотя эта информация может показаться очевидной, проблема может возникнуть, если пользователь по незнанию запустит вредоносное программное обеспечение, которое считывает пароли и пересылает их другому неавторизованному пользователю.
Примечание. Шансы на успех этого и других эксплойтов, связанных с вредоносным программным обеспечением, значительно снижаются для организаций, которые эффективно внедряют и управляют корпоративным антивирусным решением в сочетании с разумными политиками ограничения использования программного обеспечения.
Независимо от того, какой алгоритм шифрования используется для шифрования верификатора пароля, верификатор пароля может быть перезаписан, чтобы злоумышленник мог аутентифицироваться как пользователь, которому принадлежит верификатор. Поэтому пароль администратора может быть перезаписан. Эта процедура требует физического доступа к устройству. Существуют утилиты, которые могут помочь перезаписать кэшированный верификатор. С помощью одной из этих утилит злоумышленник может пройти аутентификацию, используя перезаписанное значение.
Перезапись пароля администратора не помогает злоумышленнику получить доступ к данным, зашифрованным с помощью этого пароля. Кроме того, перезапись пароля не помогает злоумышленнику получить доступ к любым данным шифрованной файловой системы (EFS), которые принадлежат другим пользователям на этом устройстве. Перезапись пароля не поможет злоумышленнику заменить верификатор, поскольку базовый ключевой материал неверен. Поэтому данные, зашифрованные с помощью шифрованной файловой системы или API защиты данных (DPAPI), не будут расшифрованы.
Контрмеры
Включить доступ к сети: запретить хранение паролей и учетных данных для настройки сетевой аутентификации.
Чтобы ограничить количество кэшированных учетных данных домена, хранящихся на компьютере, задайте запись реестра cachedlogonscount. По умолчанию операционная система кэширует верификатор для десяти последних действительных входов в систему каждого уникального пользователя. Это значение может быть установлено на любое значение от 0 до 50.По умолчанию все версии операционной системы Windows запоминают 10 кэшированных входов в систему, кроме Windows Server 2008 и более поздних версий, для которых установлено значение 25.
Если вы пытаетесь войти в домен с клиентского устройства под управлением Windows, а контроллер домена недоступен, вы не получаете сообщение об ошибке. Поэтому вы можете не заметить, что вошли в систему с кэшированными учетными данными домена. Вы можете настроить уведомление о входе в систему с использованием кэшированных учетных данных домена с помощью записи реестра ReportDC.
Потенциальное влияние
Пользователи вынуждены вводить пароли всякий раз, когда они входят в свою учетную запись Microsoft или другие сетевые ресурсы, недоступные для их учетной записи домена. Этот параметр политики не должен влиять на пользователей, которые обращаются к сетевым ресурсам, которые настроены на разрешение доступа с помощью своей учетной записи домена на основе Active Directory.
Описывает рекомендации, расположение, значения, управление политиками и вопросы безопасности для доступа к сети: модель общего доступа и безопасности для параметра политики безопасности локальных учетных записей.
Ссылка
Этот параметр политики определяет, как аутентифицируются входы в сеть с использованием локальных учетных записей. Если для этого параметра политики задано значение Classic, при входе в сеть с использованием учетных данных локальной учетной записи выполняется проверка подлинности с этими учетными данными. Если вы настраиваете этот параметр политики только для гостя, вход в сеть с использованием локальных учетных записей автоматически сопоставляется с учетной записью гостя. Классическая модель обеспечивает точный контроль над доступом к ресурсам и позволяет предоставлять разные типы доступа разным пользователям к одному и тому же ресурсу. И наоборот, модель "только для гостей" одинаково относится ко всем пользователям, и все они получают одинаковый уровень доступа к данному ресурсу, который может быть либо только для чтения, либо для изменения.
Примечание. Этот параметр политики не влияет на вход в сеть с использованием учетных записей домена. Этот параметр политики также не влияет на интерактивный вход в систему, выполняемый удаленно с помощью таких служб, как Telnet или службы удаленных рабочих столов. Если устройство не присоединено к домену, этот параметр политики также настраивает вкладки «Общий доступ» и «Безопасность» в проводнике Windows в соответствии с используемой моделью общего доступа и безопасности.
Если для этого параметра политики задано значение "Только гость", локальные пользователи проходят аутентификацию как гость, и любой пользователь, который может получить доступ к вашему устройству по сети, делает это с правами гостя. Это означает, что они, вероятно, не смогут писать в общие папки. Хотя это повышает безопасность, авторизованные пользователи не могут получить доступ к общим ресурсам в этих системах. При значении Classic локальные пользователи аутентифицируются как они сами, локальные учетные записи должны быть защищены паролем; в противном случае любой может использовать эти учетные записи пользователей для доступа к общим системным ресурсам.
Возможные значения
- Классический вариант: локальные пользователи аутентифицируются как они сами.
- Только для гостей: локальные пользователи проходят аутентификацию как гости.
- Не определено
Рекомендации
- Для сетевых серверов установите для этой политики значение Classic — локальные пользователи аутентифицируются как они сами.
- В системах конечных пользователей установите для этой политики значение "Только для гостей" — локальные пользователи будут аутентифицироваться как гости.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию< /td> | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Стандартный -Настройки сервера Alone по умолчанию | Классический (локальные пользователи аутентифицируются как они сами) |
| Действующие настройки контроллера домена по умолчанию | Классический (локальные как они сами) |
| Эффективные настройки по умолчанию для рядового сервера | Классический (локальные пользователи аутентифицируются как они сами) |
| Эффективные настройки клиентского компьютера по умолчанию | Классический (локальные пользователи аутентифицируются как они сами) |
Управление политикой
В этом разделе описываются функции и инструменты, которые помогут вам управлять этой политикой.
Требование перезапустить
Нет. Изменения этой политики вступают в силу без перезагрузки устройства, если они сохраняются локально или распространяются через групповую политику.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения через объекты групповой политики (GPO). Если эта политика не содержится в распределенном объекте групповой политики, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.
Уязвимость
В модели "только гость" любой пользователь, который может пройти аутентификацию на вашем устройстве по сети, делает это с правами гостя, что, вероятно, означает, что у него нет доступа на запись к общим ресурсам на этом устройстве. Хотя это ограничение действительно повышает безопасность, оно затрудняет доступ авторизованных пользователей к общим ресурсам на этих компьютерах, поскольку ACL для этих ресурсов должны включать записи управления доступом (ACE) для гостевой учетной записи. В классической модели локальные учетные записи должны быть защищены паролем. В противном случае, если гостевой доступ включен, любой может использовать эти учетные записи пользователей для доступа к общим системным ресурсам.
Контрмеры
Для сетевых серверов настройте для параметра «Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей» значение «Классический» — локальные пользователи аутентифицируются как они сами. На компьютерах конечных пользователей настройте для этого параметра политики значение «Только гость» — локальные пользователи проходят аутентификацию как гости.
Одно из старейших средств восстановления Windows, Восстановление системы, по умолчанию отключено в большинстве установок Windows 10. Вот как снова включить эту по-прежнему полезную функцию.
Эд Ботт – отмеченный наградами писатель, специализирующийся на технологиях, с более чем двадцатилетним опытом работы в основных СМИ и онлайн-изданиях.
Обновление Windows 10 за апрель 2018 г.: вот что вас ожидает
Используйте это диалоговое окно, чтобы включить параметр для создания моментальных снимков восстановления системы.
Нажмите, чтобы увеличить
система-восстановление-на.jpg
Функция восстановления системы была частью Windows на протяжении десятилетий. В Windows 10 это по-прежнему полезно для быстрого восстановления, когда новое приложение или драйвер устройства вызывают нестабильность.
Восстановление системы работает путем создания моментальных снимков, называемых точками восстановления, в которых хранятся резервные копии конфигурации вашей системы, включая параметры реестра, файлы драйверов и сторонние программы. Лучше всего, если вы восстанавливаете конфигурацию системы сразу (или, по крайней мере, очень скоро) после внесения изменений в системные настройки.
Прежде всего из соображений экономии места на диске Windows 10 отключает функцию защиты системы и удаляет существующие точки восстановления в ходе установки. Если вы хотите использовать эту функцию, вы должны сначала включить ее снова. Вот как.
Сначала в поле поиска введите systempropertiesprotection и нажмите Enter. Откроется диалоговое окно «Свойства системы» с видимой вкладкой «Защита системы».
В списке дисков, доступных для защиты, найдите системный диск (C:) и проверьте его состояние. Если этот параметр отключен, кнопка «Восстановление системы» и кнопка «Создать» отображаются серым цветом и недоступны.
Нажмите «Настроить», а затем выберите параметр «Включить защиту системы». В этом диалоговом окне вы также можете настроить параметры использования дискового пространства и удалить все существующие точки восстановления. Нажмите «Применить», а затем «ОК», чтобы закрыть диалоговое окно.
Windows автоматически сохраняет некоторые точки восстановления (например, при каждом накопительном обновлении, установленном через Центр обновления Windows), но никогда не помешает сделать снимок конфигурации системы вручную перед установкой нового приложения, загруженного драйвера или низкоуровневой системы. утилита.
На вкладке "Защита системы" нажмите "Создать", чтобы вручную создать точку восстановления. Обязательно дайте ему описательное имя (например, «Перед установкой нового драйвера принтера»).
Если вы обнаружите проблемы после внесения изменений в систему, сначала удалите приложение или драйвер, выбрав «Настройки» > «Приложения» > «Приложения и функции». Затем запустите восстановление системы (Rstrui.exe), чтобы восстановить предыдущую конфигурацию системы.
ПРЕДЫДУЩИЙ И СВЯЗАННЫЙ КОНТЕНТ
Вопросы об установке и активации Windows 10? Вот что вам нужно знать, прежде чем приступить к делу.
Совет по Windows 10: используйте скрытый вариант восстановления, чтобы избежать удаления приложения
В Windows 10 есть две панели, на которых вы можете управлять приложениями и программами для рабочего стола. Если вы копнете достаточно глубоко, вы найдете полезные кнопки восстановления и сброса, которые помогут вам быстро исправить неправильно работающее приложение.
Совет для Windows 10: полностью отключите Cortana
В Windows 10 Anniversary Update, версия 1607, Microsoft удалила переключатель включения-выключения Cortana. Но он все еще там, если вы знаете, где искать. Используйте эту настройку, чтобы сделать поиск в Windows строго локальным.
Совет для Windows 10: полностью отключите OneDrive
В Windows 10 встроен OneDrive. что у OneDrive есть собственный узел в проводнике, и нет очевидного способа его удалить. Но варианты отключения OneDrive есть, если вы знаете, где искать. Вот полные инструкции.
Совет по Windows 10: восстановите установку Windows 10
Выполнение чистой установки или сброса означает, что вам придется переустанавливать приложения и настольные программы и начинать заново с настройками и настройками. Если вы подозреваете, что Windows повреждена, есть менее радикальное решение: запустите программу установки, чтобы восстановить Windows. Вот как это сделать.
В этом разделе для ИТ-специалистов описывается управление доступом в Windows, то есть процесс авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. Ключевыми понятиями, из которых состоит управление доступом, являются разрешения, владение объектами, наследование разрешений, права пользователей и аудит объектов.
Описание функции
Компьютеры с поддерживаемой версией Windows могут контролировать использование системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. После аутентификации пользователя операционная система Windows использует встроенные технологии авторизации и контроля доступа для реализации второго этапа защиты ресурсов: определения наличия у аутентифицированного пользователя правильных разрешений на доступ к ресурсу.
Общие ресурсы доступны пользователям и группам, не являющимся владельцем ресурса, и их необходимо защищать от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначаются права и разрешения, которые информируют операционную систему о том, что может делать каждый пользователь и группа. У каждого ресурса есть владелец, который предоставляет разрешения субъектам безопасности. Во время проверки управления доступом эти разрешения проверяются, чтобы определить, какие участники безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.
Субъекты безопасности выполняют действия (включая чтение, запись, изменение или полный доступ) над объектами. К объектам относятся файлы, папки, принтеры, ключи реестра и объекты доменных служб Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACL) для назначения разрешений. Это позволяет менеджерам ресурсов применять контроль доступа следующими способами:
Запретить доступ неавторизованным пользователям и группам
Установите четко определенные ограничения на доступ, предоставляемый авторизованным пользователям и группам
Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавляемые в существующие группы, получают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, вложенные папки и файлы), он называется контейнером. В иерархии объектов отношение между контейнером и его содержимым выражается обращением к контейнеру как к родителю. Объект в контейнере называется дочерним, и дочерний объект наследует параметры управления доступом родителя. Владельцы объектов часто определяют разрешения для объектов-контейнеров, а не для отдельных дочерних объектов, чтобы упростить управление контролем доступа.
Читайте также: