Как отключить компьютер от локальной сети


Как скрыть компьютер в локальной сети

&nbsp windows

Если у вас несколько компьютеров в локальной сети (например, все они подключены к одному роутеру), а сетевое обнаружение включено, то в проводнике, в разделе «Сеть» вы увидите эти компьютеры и их имена. Это может быть полезно, если задача — предоставить общий доступ к папкам, дискам и файлам в сети, но иногда требуется, чтобы компьютер не отображался в списке доступных в сети.

В этой инструкции подробно о том, как скрыть компьютер в сети в Windows 10, 8.1 и Windows 7 двумя способами, об отличии методов и дополнительная информация, которая может быть полезной.

Изменение сетевого профиля

Самый простой и быстрый метод — изменить профиль сети с «Частная» на «Общедоступная». Компьютер, на котором включен профиль «Общедоступная сеть», не виден в сети. Однако учитывайте, что после изменения профиля, ваш компьютер некоторое время может продолжить показываться на удаленном компьютере в разделе «Сеть» (достаточно подождать или перезагрузить его).

Изменить профиль сети в Параметрах Windows 10 (Как изменить общедоступную сеть на частную и наоборот в Windows 10), а также в Центре управления сетями и общим доступом в предыдущих версиях системы (нажав по ссылке на текущий профиль под именем активной сети).

Минус этого, равно как и следующего способа — ваш компьютер не просто перестает показываться в сети, но и теряет возможность подключаться к ресурсам локальной сети, таким как общие папки. Если это не является проблемой — можно использовать. К тому же, с точки зрения безопасности профиль «Общедоступная сеть» может быть предпочтительнее чем «Частная».

Как скрыть компьютер в сети путем отключения сетевого обнаружения

Вы можете не менять профиль сети, а отключить сетевое обнаружение для текущего профиля. Чтобы сделать это, достаточно выполнить следующие шаги:

  1. Зайдите в Центр управления сетями и общим доступом (Как зайти в Центр управления сетями и общим доступом Windows 10).
  2. Откройте пункт «Изменить дополнительные параметры общего доступа».
  3. Откройте свойства текущего профиля и отключите сетевое обнаружение для него.

После применения настроек, чтобы компьютер гарантированно не отображался в разделе «Сеть», желательно перезагрузить текущий и удаленный компьютеры.

Отключение отображения компьютера в локальной сети с помощью командной строки

И ещё один метод, преимущество которого в том, что при его использовании, доступ к сетевым ресурсам сохраняется:

  1. Запустите командную строку от имени администратора.
  2. Введите команду
    net config server /HIDDEN:YES
    и нажмите Enter.
  3. Обязательно перезагрузите компьютер.

Как и в предыдущем случае, до перезагрузки удаленного компьютера, на нем может продолжить отображаться тот ПК или ноутбук, на котором были выполнены указанные действия. Для того, чтобы в дальнейшем вновь показать компьютер в сети используйте ту же команду, но с другим параметром: net config server /HIDDEN:NO

А вдруг и это будет интересно:

Как отключать компьютер по локальной сети?

Ответ мастера:

Локальную сеть можно отключить на компьютере несколькими способами. Это очень легкая операция, и справиться с таким заданием может каждый человек даже без определенных знаний.

Для работы вам понадобится: локальная сеть.

Если при включенном компьютере штекер кабеля модема подключен, выполните полностью отключение по локальной сети. Нажмите на правую кнопку мыши, выберите значок в панели программ для работы в фоновом режиме. В меню надо выбрать действие «Отключить». Похожий эффект будет и от нажатия левой кнопкой мыши по данной пиктограмме. В открывшемся окне необходимо выбрать соответствующее действие, а затем подождать некоторое время, чтобы компьютер смог завершить работу в локальной сети.

Открыв папку сетевые подключения, которые находятся в панели управления для компьютера, необходимо нажать левой кнопкой на подключение к локальной сети и для подтверждения ваших действий нажать на кнопку «Отключить». Использование этого способа очень похоже на первый, оно довольно актуально в той ситуации, если у вас по какой либо причине не настроено отображение нужного ярлыка на панели задач.

Если надо отключить компьютер по локальной сети, чтобы поменялся ваш IP-адрес, нужно разъединить все подключения одним из возможных вышеописанных способов.

Достаньте аккуратно штекер кабеля, выньте его из модема и подождите пару минут. Потом снова подключите его на свое место. Этот способ работает только в том случае, если у вас используется динамический адрес.

Для дальнейшей работы нужно открыть в сети интернет папку со всеми сетевыми подключениями через кнопку «Пуск» или при использовании панели управления. Надо нажать на значок локальной сети, и после этого появится окошко включения. Вся процедура не требует от вас какого-либо вмешательства. Через некоторое время у вас на компьютере будет по-новому установлен DNS и IP адреса. Только после этого можно подключиться к интернету.

Используйте самый обычный способ для отключения локальной сети. Вытащите провод LAN из модема, подождите несколько минут, пока все подключения обнулятся в вашей системе.

Следует обратить внимание, что при попытке отключения от локальной сети не работают и сетевые подключения.

Закажи настройку интернета по локальной сети в нашей компании

Выключаем компьютер удаленно

Наверх
  • Рейтинги
  • Обзоры
    • Смартфоны и планшеты
    • Компьютеры и ноутбуки
    • Комплектующие
    • Периферия
    • Фото и видео
    • Аксессуары
    • ТВ и аудио
    • Техника для дома
    • Программы и приложения
  • Новости
  • Советы

Как отключить от локальной сети?

К локальной сети можно не только подключаться, но и отключаться. Такая необходимость может возникнуть в разных ситуациях. Часто локальная сеть мешает подключению основного интернета. Чтобы исправить данную ситуацию, нужно попробовать отключить локальную сеть. Сделать это можно несколькими способами.
Вам понадобится
  • Персональный компьютер, программа Devcon
Инструкция
  • Зайдите в «Пуск», а потом в «Панель управления». Выберите пункт «Администрирование». Нажмите «Управление компьютером» и «Диспетчер устройств », а далее «Сетевые платы». Здесь уже в свойствах выберите такую графу «Это устройство не используется». Отключиться от локальной сети можно следующим образом. Зайдите на компьютере в «Пуск». Выберите раздел под названием «Панель управления». Среди всех значков, щелкните по вкладке «Сетевое подключение». Перед вами откроется окно, где вы увидите значок «Подключение по локальной сети». Если там написано «Подключено», можно отключать. Для совершения этого действия, по значку нажмите правой кнопкой мыши. Откроется окно, где выберите параметр «Отключить».
  • Если возникала необходимость в том, чтобы отключить компьютер от локальной сети, можно сделать следующее. Нажав на «Пуск» мышкой и выберите следующие разделы: «Панель управления», дальше «Сеть и Интернет», потом «Центр сети и общего доступа», ну и «Управление сетевыми подключениями». Щелкните правой кнопкой мыши на ту сеть, которую надо отключить. Потом можете выполнить одно из следующих действий. Если подключение беспроводное, тогда нажмите на вкладку «Отключение».
  • Можете попробовать воспользоваться программой «Dial-a-fix». Скачайте её в интернете и установите на ваш компьютер. Откройте и приступайте к работе. Найдите такую опцию «SSL/HTTPS/Cryptography». В ней поставьте галочку, а потом нажмите на вкладку «Go». Если ничего не помогает, или не получается выполнить какое-либо действие, просто вытащите кабель подключения к интернету.
  • Все можно сделать и через командную строку. Скачайте такую утилиту, как «Devcon». Зайдите во вкладку «Диспетчер устройств» через «Пуск». Там посмотрите «Сведения сетевой карты». Напрмиер, там может быть написано «PCIVEN_10EC&DEV_8168&SUBSYS_E0001458&REV_014&CF4E44&0&00E5». Скопируйте или запомните эту информацию только до значка &, то есть «PCIVEN_10EC». Откройте командную строку и вставьте там, например, «devcon.exe disable PCIVEN_10EC»( в вашем случае смотрите сами, что вставлять). Локальная сеть будет отключена.
  • Совет добавлен 25 октября 2011 Совет 2: Как отключать компьютер по локальной сети Отключение компьютера от локальной сети происходите несколькими методами. На самом деле это минутная операция, справиться с которой может даже человек без определенных навыков.
    Инструкция
  • Если при включенном компьютере штекер интернет кабеля находится в разъеме модема, выполните отключение по локальной сети путем нажатия правой кнопки мыши на соответствующем значке в панели программ, работающих в фоновом режиме. В открывшемся меню просто выберите действие «Отключить». Также аналогичный эффект будет от двойного нажатия левой кнопкой мыши по данной пиктограмме, при этом в открывшимся окне выберите соответствующее действие и подождите некоторое время, необходимое компьютеру для завершения работы в локальной сети.
  • Откройте папку сетевых подключений, которая находится в панели управления компьютером. Дважды щелкните левой кнопкой мыши на подключении по локальной сети, в открывшемся окне нажмите на кнопку «Отключить». Этот способ аналогичен первому, он актуален в том случае, когда у вас не настроено отображение соответствующего ярлыка на панели задач.
  • Если вам нужно отключить компьютер от локальной сети, чтобы при этом поменялся IP-адрес, разъедините все активные подключения одним из вышеописанных методов. Аккуратно достаньте штекер интернет-кабеля из модема и подождите несколько минут. Затем снова подключите его (работает только в том случае, если у вас динамический тип адреса).
  • Для выполнения дальнейшей работы в сети интернет откройте папку с сетевыми подключениями через меню «Пуск» или на панели управления. Нажмите дважды на значок локальной сети, после этого должно появиться небольшое окошко включения. Процедура не требует вашего вмешательства. Подождите некоторое время, пока вашему компьютеру будет присвоен DNS и IP адреса. После этого можете выполнить подключение к интернету.
  • Воспользуйтесь самым обычным способом отключения по локальной сети – просто вытащите провод из соответствующего разъема LAN-модема, подождите некоторое время, пока подключение сбросится в системе.
  • Обратите внимание В некоторых случаях при отключении от локальной сети прекращают свою работу и обычные сетевые подключения. Как отключать компьютер по локальной сети - версия для печати Оцените статью!

    Как полностью закрыть сетевой доступ к компьютеру или ноутбуку, оставив активным соединение интернет

    Как закрыть доступ ко всему содержимому компьютера или ноутбука, работающего под управлением Windows 10,  в локальной сети не отключаясь от сети интернета.

    Чаще всего, данный вопрос актуален для тех, кто работает на «чужом» компьютере или для тех, кто забыл, каким образом проводил открытие доступа к своим файлам и папкам. Потому как по умолчанию, Windows 10, не предоставляет доступ к файлам и папкам системы, подключаясь к локальной сети. То есть — изначально, эти опции всегда выключены.
    Но, раз уж мы имеем устройство, сетевой доступ к которому нужно отключить, не отключаясь от самой сети, давайте сделаем это..

    Чтобы закрыть доступ к компьютеру, для других компьютеров-участников локальной сети:

    • Открываем проводник

      .
    • Кликаем левой кнопкой мыши по строке «Этот компьютер» в левой части экрана, для отображения содержимого

      .
    • Нажимаем ПРАВОЙ кнопкой мыши НА ЛЮБУЮ директорию, для отображения возможных действий.
      (для примера, мы будем использовать локальный диск компьютера, хотя, в те же настройки можно попасть, выполняя приведенные ниже инструкции над любой директорией вашего компьютера)

      .
    • И, кликаем по строке «Свойства» в появившемся контекстном меню.


      .

    • В открывшемся окне, нас интересует вкладка «Доступ» — кликаем по ней.

    • Теперь, нажимаем на строку «Центр управления сетями и общим доступом» (именно этот блок нас и интересует, после его редактирования, будут внесены глобальные, в рамках Windows 10, изменения, которые закроют сетевой доступ к нашему компьютеру полностью)

    • Откроется окно настроек сетевых подключений, в котором, нужно щелкнуть ЛЕВОЙ кнопкой мыши на «стрелки» напротив записей «Частная» и «Гостевая или общедоступная(текущий профиль)».
      Сделать это нужно поочередно, для открытия и редактирования содержимого каждого из блоков.


      .

    • И установить флажки напротив строк «Отключить сетевое обнаружение» в каждом из блоков

      .

      .
    • После чего, нажимаем кнопку «Сохранить изменения» внизу экрана


      .

    • Остается только закрыть все открытые ранее окна и готово!
      Теперь, ваш компьютер не будет виден другим участникам сети, но останется подключен к интернету по средствам той же сети.

    Как отключить компьютер от сети. Операцинные системы. informatik-m.ru

    как отключить компьютер от сети

    Как отключать компьютер по локальной сети?

    Ответ мастера:

    Локальную сеть можно отключить на компьютере несколькими способами. Это очень легкая операция, и справиться с таким заданием может каждый человек даже без определенных знаний.

    Для работы вам понадобится: локальная сеть.

    Если при включенном компьютере штекер кабеля модема подключен, выполните полностью отключение по локальной сети. Нажмите на правую кнопку мыши, выберите значок в панели программ для работы в фоновом режиме. В меню надо выбрать действие «Отключить». Похожий эффект будет и от нажатия левой кнопкой мыши по данной пиктограмме. В открывшемся окне необходимо выбрать соответствующее действие, а затем подождать некоторое время, чтобы компьютер смог завершить работу в локальной сети.

    Открыв папку сетевые подключения, которые находятся в панели управления для компьютера, необходимо нажать левой кнопкой на подключение к локальной сети и для подтверждения ваших действий нажать на кнопку «Отключить». Использование этого способа очень похоже на первый, оно довольно актуально в той ситуации, если у вас по какой либо причине не настроено отображение нужного ярлыка на панели задач.

    Если надо отключить компьютер по локальной сети, чтобы поменялся ваш IP-адрес, нужно разъединить все подключения одним из возможных вышеописанных способов.

    Достаньте аккуратно штекер кабеля, выньте его из модема и подождите пару минут. Потом снова подключите его на свое место. Этот способ работает только в том случае, если у вас используется динамический адрес.

    Для дальнейшей работы нужно открыть в сети интернет папку со всеми сетевыми подключениями через кнопку «Пуск» или при использовании панели управления. Надо нажать на значок локальной сети, и после этого появится окошко включения. Вся процедура не требует от вас какого-либо вмешательства. Через некоторое время у вас на компьютере будет по-новому установлен DNS и IP адреса. Только после этого можно подключиться к интернету.

    Используйте самый обычный способ для отключения локальной сети. Вытащите провод LAN из модема, подождите несколько минут, пока все подключения обнулятся в вашей системе.

    Следует обратить внимание, что при попытке отключения от локальной сети не работают и сетевые подключения.

    Отключение компьютера от сети или сетевого диска

    Применимо к Windows Vista

    Откройте компонент «Сетевые подключения», нажав кнопку Пуск и выбрав пункты Панель управления. Сеть и Интернет. Центр сети и общего доступа и Управление сетевыми подключениями.

    Щелкните правой кнопкой сеть, от которой нужно отключиться, и выполните одно из следующих действий.

    Для беспроводных подключений, подключений удаленного доступа, подключений виртуальной частной сети (VPN) или входящих подключений щелкните Отключение .

    Чтобы отключиться от локальной сети (LAN), щелкните Отключить.  Введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.

    При отключении от локальной сети сетевой адаптер также будет отключен до тех пор, пока подключение не будет восстановлено.

    Правильное выключение компьютера

    Включаем компьютер мы специальной кнопкой на самом компьютере.

    А вот выключать его нужно по-другому.

    Откроется прямоугольное окошко.

    Если на Вашем компьютере операционная система Windows XP, то внизу этого окошка будет кнопка Выключение (или Выключить компьютер ). Нажмите на нее.

    В центре экрана появится небольшое прямоугольное окно. Нас интересует кнопка Выключение . Именно на нее и нужно щелкнуть левой кнопкой мышки.

    После того как Вы нажмете на эту кнопку, подождите несколько секунд-минуту. Экран погаснет и компьютер замолчит — это будет означать, что он выключен.

    Если же Ваш компьютер (ноутбук) работает на операционной системе Windows Vista, то при нажатии на кнопку Пуск откроется немного другое окошко, внизу которого есть маленькая кнопка со стрелкой.

    Для правильного выключения компьютера нужно нажать на эту кнопку. Появится дополнительное окошко, в котором нужно нажать пункт Завершение работы .

    А если же Ваш компьютер на Windows 7, то для его выключения нажмите на кнопку Пуск и в открывшемся окошке нажмите на Завершение работы .

    Больше ничего нажимать не надо. Единственное, что можно сделать, это отключить питание — вытащить шнур из розетки или нажать кнопку на удлинителе. Но это совсем не обязательно, компьютер все равно выключен.

    Источники: http://remont-comp-pomosh.ru/otvet_mastera/vopros-otvet/kak_otkljuchat_kompjuter_po_lokalnoj_seti.html, http://windows.microsoft.com/ru-ru/windows-vista/disconnect-your-computer-from-a-network-or-network-drive, http://www.neumeka.ru/vyklyuchenie_kompyutera.html

    Комментариев пока нет!

    Как отключить компьютер под управлением Windows от сети

    1. Компьютеры
    2. ПК
    3. Как отключить компьютер под управлением Windows от сети

    Автор: Дэн Гукин

    Если вы пробовали все другие инструменты и методы устранения неполадок сети, последний, а иногда и необходимый шаг, который вы можете сделать, - это просто отключить компьютер от сети. Вы можете сделать это физически или разорвать соединение с помощью программного обеспечения в Windows 7, Vista и XP.

    Вот как отключить соединение Ethernet в Windows 7 и Windows Vista:

    1. Откройте окно Центра управления сетями и общим доступом.

    2. Перейдите к окну, в котором можно просмотреть состояние подключения к локальной сети.

      • В Windows 7 в правой части окна выберите ссылку Подключение по локальной сети.

      • В Windows Vista в правой части окна щелкните ссылку «Просмотр состояния».

    3. Нажмите кнопку «Отключить» в диалоговом окне «Состояние» подключения.

    4. Введите пароль администратора или нажмите кнопку «Продолжить».

    5. Закройте окно Центра управления сетями и общим доступом.

    Выполните следующие действия в Windows XP, чтобы отключить сетевое соединение:

    1. Откройте значок «Сетевые подключения» на панели управления.

    2. Дважды щелкните, чтобы открыть значок, представляющий Ethernet-соединение ПК.

    3. Нажмите кнопку Отключить.

    Отключение мгновенное. В Windows 7 и Windows Vista вы видите красный крестик, обозначающий линию между вашим компьютером и сетью или Интернетом. В Windows XP значок подключения затенен с текстом Отключено .

    Чтобы повторно подключиться к сети в Windows 7 и Windows Vista, щелкните красный значок X между вашим компьютером и значком Интернета (или сети) в окне Центра управления сетями и общим доступом. Следуйте указаниям средства устранения неполадок, чтобы включить сетевой адаптер, который повторно подключает вас к сети.

    Для повторного подключения в Windows XP дважды щелкните значок отключенного подключения в окне «Сетевые подключения».

    .

    Исправить проблемы с подключением к Wi-Fi в Windows

    Запуск сетевых команд

    Попробуйте выполнить следующие сетевые команды, чтобы вручную сбросить стек TCP / IP, освободить и обновить IP-адрес, а также очистить и сбросить кэш распознавателя клиента DNS:

    1. В поле поиска на панели задач введите Командная строка .Появится кнопка командной строки . Справа от него выберите Запуск от имени администратора > Да .

    2. В командной строке выполните следующие команды в указанном порядке, а затем проверьте, решает ли это проблему с подключением:

      • Введите netsh winsock reset и выберите Enter.

      • Введите netsh int ip reset и выберите Введите .

      • Введите ipconfig / release и выберите Введите .

      • Введите ipconfig / refresh и выберите Введите .

      • Введите ipconfig / flushdns и выберите Введите .

    Удалите драйвер сетевого адаптера и перезапустите

    Если предыдущие шаги не помогли, попробуйте удалить драйвер сетевого адаптера, а затем перезагрузите компьютер.Windows автоматически установит последнюю версию драйвера. Рассмотрите этот подход, если ваше сетевое соединение перестало работать должным образом после недавнего обновления.

    Перед удалением убедитесь, что у вас есть драйверы в качестве резервной копии. Посетите веб-сайт производителя ПК и загрузите оттуда последнюю версию драйвера сетевого адаптера. Если ваш компьютер не может подключиться к Интернету, вам необходимо загрузить драйвер на другой компьютер и сохранить его на USB-накопитель, чтобы вы могли установить драйвер на свой компьютер.Вам необходимо знать производителя ПК, а также название или номер модели.

    1. В поле поиска на панели задач введите Диспетчер устройств , а затем выберите Диспетчер устройств из списка результатов.

    2. Разверните Сетевые адаптеры и найдите сетевой адаптер для своего устройства.

    3. Выберите сетевой адаптер, а затем выберите Удалить устройство > установите флажок Удалить драйвер для этого устройства > Удалить .

    4. После удаления драйвера нажмите кнопку Start > Power > Restart .

      После перезагрузки компьютера Windows автоматически найдет и установит драйвер сетевого адаптера. Проверьте, решает ли это проблему с подключением. Если Windows не устанавливает драйвер автоматически, попробуйте установить сохраненный вами резервный драйвер перед удалением.

    Проверьте, совместим ли ваш сетевой адаптер с последней версией Windows Update

    Если вы потеряли сетевое соединение сразу после обновления или обновления Windows 10, возможно, текущий драйвер для вашего сетевого адаптера был разработан для предыдущей версии Windows. Для проверки попробуйте временно удалить последнее обновление Windows:

    .
    1. Нажмите кнопку Start , затем выберите Settings > Update & Security > Windows Update > Просмотреть историю обновлений > Удалить обновления .

    2. Выберите самое последнее обновление, затем выберите Удалить .

    Если удаление последнего обновления восстанавливает сетевое соединение, проверьте, доступен ли обновленный драйвер:

    1. В поле поиска на панели задач введите Диспетчер устройств , а затем выберите Диспетчер устройств из списка результатов.

    2. Разверните Сетевые адаптеры и найдите сетевой адаптер для своего устройства.

    3. Выберите сетевой адаптер, выберите Обновить драйвер > Автоматический поиск обновленного программного обеспечения драйвера , а затем следуйте инструкциям.

    4. После установки обновленного драйвера нажмите кнопку Start > Power > Restart , если вас попросят перезагрузить компьютер, и посмотрите, решит ли это проблему с подключением.

    Если Windows не может найти новый драйвер для вашего сетевого адаптера, посетите веб-сайт производителя ПК и загрузите оттуда последнюю версию драйвера сетевого адаптера. Вам необходимо знать производителя ПК, а также название или номер модели.

    Выполните одно из следующих действий:

    • Если вам не удалось загрузить и установить более новую версию драйвера сетевого адаптера, скройте обновление, которое приводит к потере сетевого подключения.Чтобы узнать, как скрыть обновления, см. Скрытие обновлений Windows или драйверов.

    • Если вы смогли успешно установить обновленные драйверы для сетевого адаптера, переустановите последние обновления. Для этого нажмите кнопку Start , затем выберите Settings > Update & Security > Windows Update > Проверить наличие обновлений.

    Использовать сброс сети

    Использование сброса сети должно быть последним шагом, который вы попробуете. Попробуйте использовать его, если описанные выше действия не помогли вам подключиться.

    Это может помочь решить проблемы с подключением, которые могут возникнуть после обновления предыдущей версии Windows до Windows 10.Это также может помочь решить проблему, когда вы можете подключиться к Интернету, но не можете подключиться к общим сетевым дискам. Сброс сети удаляет все установленные вами сетевые адаптеры и их настройки. После перезагрузки компьютера все сетевые адаптеры переустанавливаются, и для них устанавливаются значения по умолчанию.

    Примечание: Для использования сброса сети на вашем ПК должна быть установлена ​​Windows 10 версии 1607 или более поздней. Чтобы узнать, какая версия Windows 10 установлена ​​на вашем устройстве, нажмите кнопку Start , затем выберите Settings > System > About .

    1. Нажмите кнопку Start , затем выберите Settings > Network & Internet > Status > Network reset .
      Откройте настройки статуса сети и Интернета

    2. На экране Сброс сети выберите Сбросить сейчас > Да для подтверждения.

      Подождите, пока компьютер перезагрузится, и посмотрите, решит ли это проблему.

    Примечания:

    • После сброса настроек сети вам может потребоваться переустановить и настроить другое сетевое программное обеспечение, которое вы, возможно, используете, например клиентское программное обеспечение VPN или виртуальные коммутаторы от Hyper ‑ V (если вы используете это или другое программное обеспечение для виртуализации сети).

    • Сброс сети может установить для каждого из ваших известных сетевых подключений профиль общедоступной сети. В общедоступном сетевом профиле ваш компьютер не может быть обнаружен другими компьютерами и устройствами в сети, что может помочь сделать ваш компьютер более защищенным. Однако, если ваш компьютер входит в домашнюю группу или используется для общего доступа к файлам или принтерам, вам потребуется снова сделать свой компьютер доступным для обнаружения, настроив его на использование профиля частной сети.Для этого нажмите кнопку Start , затем выберите Settings > Network & Internet > Wi-Fi . На экране Wi-Fi выберите Управление известными сетями > сетевое соединение, которое вы хотите изменить> Свойства . В сетевом профиле выберите Private .

    .

    Доступ к этому компьютеру из сети - параметр политики безопасности (Windows 10) - безопасность Windows

    • 4 минуты на чтение

    В этой статье

    Относится к

    Описывает передовой опыт, расположение, значения, управление политиками и соображения безопасности для Доступ к этому компьютеру из сети. Параметр политики безопасности.

    Ссылка

    Устройство Доступ к этому компьютеру из сети Параметр политики определяет, какие пользователи могут подключаться к устройству из сети. Эта возможность требуется для ряда сетевых протоколов, включая протоколы на основе блока сообщений сервера (SMB), NetBIOS, Common Internet File System (CIFS) и Component Object Model Plus (COM +).

    Пользователи, устройства и учетные записи служб получают или теряют право пользователя «Доступ к этому компьютеру из сети» путем явного или неявного добавления или удаления из группы безопасности, которой предоставлено это право.Например, учетная запись пользователя или компьютерная учетная запись может быть явно добавлена ​​в настраиваемую группу безопасности или встроенную группу безопасности, или она может быть неявно добавлена ​​Windows в вычисляемую группу безопасности, такую ​​как «Пользователи домена», «Прошедшие проверку» или «Корпоративная». Контроллеры домена. По умолчанию учетным записям пользователей и учетным записям компьютеров предоставляется право «Доступ к этому компьютеру из сети» , когда вычисляемые группы, такие как «Прошедшие проверку», и для контроллеров домена группа «Контроллеры домена предприятия» определены в объекте групповой политики контроллеров домена по умолчанию ( GPO).

    Константа: SeNetworkLogonRight

    Возможные значения

    • Список счетов, определяемый пользователем
    • Не определено

    Лучшие практики

    • На настольных устройствах или рядовых серверах предоставьте это право только пользователям и администраторам.
    • На контроллерах домена предоставьте это право только аутентифицированным пользователям, контроллерам домена предприятия и администраторам.
    • Этот параметр включает группу Все, для обеспечения обратной совместимости.После обновления Windows, после того как вы убедились, что все пользователи и группы правильно перенесены, вам следует удалить группу Все и использовать вместо нее группу Прошедшие проверку пользователей.

    Расположение

    Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

    Значения по умолчанию

    В следующей таблице перечислены фактические и действующие значения политики по умолчанию для самых последних поддерживаемых версий Windows.Значения по умолчанию также перечислены на странице свойств политики.

    Тип сервера GPO Значение по умолчанию
    Политика домена по умолчанию Не определено
    Политика контроллера домена по умолчанию Все, администраторы, аутентифицированные пользователи, контроллеры домена предприятия, доступ, совместимый с пред-Windows 2000
    Настройки по умолчанию для автономного сервера Все, администраторы, пользователи, операторы резервного копирования
    Действующие настройки контроллера домена по умолчанию Все, администраторы, аутентифицированные пользователи, контроллеры домена предприятия, доступ, совместимый с пред-Windows 2000
    Действующие настройки рядового сервера по умолчанию Все, администраторы, пользователи, операторы резервного копирования
    Действующие настройки клиентского компьютера по умолчанию Все, администраторы, пользователи, операторы резервного копирования

    Управление политиками

    При изменении этого права пользователя следующие действия могут вызвать проблемы с доступом к сети у пользователей и служб:

    • Удаление группы безопасности контроллеров домена предприятия
    • Удаление группы прошедших проверку пользователей или явной группы, которая дает пользователям, компьютерам и учетным записям служб право подключаться к компьютерам по сети
    • Удаление всех учетных записей пользователей и компьютеров

    Для того, чтобы этот параметр политики вступил в силу, перезапуск устройства не требуется.

    Любое изменение назначения прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи в систему.

    Групповая политика

    Параметры применяются в следующем порядке через объект групповой политики (GPO), который перезапишет параметры на локальном компьютере при следующем обновлении групповой политики:

    1. Параметры локальной политики
    2. Параметры политики сайта
    3. Параметры политики домена
    4. Параметры политики OU

    Если локальный параметр неактивен, это означает, что этот параметр в настоящее время контролируется объектом групповой политики.

    Соображения безопасности

    В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать меры противодействия и возможные негативные последствия реализации мер противодействия.

    Уязвимость

    Пользователи, которые могут подключаться со своего устройства к сети, могут получать доступ к ресурсам на целевых устройствах, для которых у них есть разрешение. Например, Доступ к этому компьютеру из сети Право пользователя требуется пользователям для подключения к общим принтерам и папкам.Если это право пользователя назначено группе Все, , любой член группы может читать файлы в этих общих папках. Такая ситуация маловероятна, поскольку группы, созданные при установке по умолчанию как минимум Windows Server 2008 R2 или Windows 7, не включают группу Все, . Однако, если устройство модернизировано и исходное устройство включает группу Все как часть определенных пользователей и групп, эта группа переходит как часть процесса обновления и присутствует на устройстве.

    Противодействие

    Ограничить Доступ к этому компьютеру из сети Право пользователя только для тех пользователей и групп, которым требуется доступ к компьютеру. Например, если вы настроите этот параметр политики для групп Администраторы и Пользователи , пользователи, которые входят в домен, могут получить доступ к ресурсам, которые являются общими. с серверов в домене, если члены группы Пользователи домена включены в локальную группу Пользователи .

    Примечание Если вы используете IPsec для защиты сетевых соединений в вашей организации, убедитесь, что это право предоставляется группе, включающей учетные записи компьютеров. Это право необходимо для успешной проверки подлинности компьютера. Назначение этого права аутентифицированным пользователям или Доменные компьютеры соответствует этому требованию.

    Возможное воздействие

    При удалении Доступ к этому компьютеру из сети Права пользователя на контроллеры домена для всех пользователей, никто не сможет войти в домен или использовать сетевые ресурсы.Если вы удалите это право пользователя на рядовых серверах, пользователи не смогут подключаться к этим серверам через сеть. Если вы установили дополнительные компоненты, такие как ASP.NET или Internet Information Services (IIS), вам может потребоваться назначить это право пользователя дополнительным учетным записям, которые требуются для этих компонентов. Важно убедиться, что авторизованным пользователям назначено это право пользователя для устройств, которые им необходимы для доступа к сети.

    Назначение прав пользователя

    .

    Сетевая безопасность Разрешить локальной системе использовать удостоверение компьютера для NTLM (Windows 10) - безопасность Windows

    • 3 минуты на чтение

    В этой статье

    Относится к

    Описывает расположение, значения, управление политиками и соображения безопасности для Сетевая безопасность: разрешить локальной системе использовать удостоверение компьютера для параметра политики безопасности NTLM .

    Ссылка

    Когда службы подключаются к устройствам с более ранними версиями операционной системы Windows, чем Windows Vista или Windows Server 2008, службы, которые работают как локальная система и используют SPNEGO (согласование), которые возвращаются к NTLM, будут проходить проверку подлинности анонимно. В Windows Server 2008 R2 и Windows 7 и более поздних версиях, если служба подключается к компьютеру под управлением Windows Server 2008 или Windows Vista, системная служба использует удостоверение компьютера.

    Когда служба подключается к идентификатору устройства, поддерживаются подпись и шифрование для обеспечения защиты данных.(Когда служба подключается анонимно, создается сгенерированный системой ключ сеанса, который не обеспечивает защиты, но позволяет приложениям подписывать и шифровать данные без ошибок. При анонимной проверке подлинности используется сеанс NULL, то есть сеанс с сервером, в котором нет выполняется аутентификация пользователя; следовательно, разрешен анонимный доступ.)

    Возможные значения

    Настройка Windows Server 2008 и Windows Vista Как минимум Windows Server 2008 R2 и Windows 7
    Включено Службы, работающие как локальная система, которые используют согласование, будут использовать идентификатор компьютера.Это значение может привести к сбою некоторых запросов проверки подлинности между операционными системами Windows и регистрации ошибки. Службы, работающие как локальная система, которые используют согласование, будут использовать идентификатор компьютера. Это поведение по умолчанию.
    Отключено Службы, работающие как локальная система, которые используют согласование при возврате к проверке подлинности NTLM, будут проходить проверку подлинности анонимно. Это поведение по умолчанию. Службы, работающие как локальная система, которые используют согласование при возврате к проверке подлинности NTLM, будут проходить проверку подлинности анонимно.
    Ни то, ни другое Службы, работающие как локальная система, которые используют согласование при возврате к проверке подлинности NTLM, будут проходить проверку подлинности анонимно. Службы, работающие как локальная система, которые используют согласование, будут использовать идентификатор компьютера. Это может привести к сбою некоторых запросов проверки подлинности между операционными системами Windows и регистрации ошибки.

    Расположение

    Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности

    Значения по умолчанию

    В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики.Значения по умолчанию также перечислены на странице свойств политики.

    Тип сервера или объект групповой политики (GPO) Значение по умолчанию
    Политика домена по умолчанию Не определено
    Политика контроллера домена по умолчанию Не определено
    Настройки по умолчанию для автономного сервера Не определено
    Действующие настройки контроллера домена по умолчанию Не применимо
    Действующие настройки рядового сервера по умолчанию Не применимо
    Действующие параметры GPO по умолчанию на клиентских компьютерах Не определено

    Управление политиками

    В этом разделе описаны функции и инструменты, которые могут помочь вам управлять этой политикой.

    Требование перезапуска

    Нет. Изменения этой политики вступают в силу без перезапуска устройства, если они сохраняются локально или распространяются через групповую политику.

    Соображения о конфликте политики

    Политика Сетевая безопасность: Разрешить откат сеанса LocalSystem NULL, если он включен, позволит использовать проверку подлинности NTLM или Kerberos при попытке проверки подлинности системной службой. Это повысит успешность взаимодействия за счет безопасности.

    Поведение анонимной аутентификации в Windows Server 2008 и Windows Vista отличается от более поздних версий Windows. Настройка и применение этого параметра политики в этих системах может не дать таких же результатов.

    Групповая политика

    Этот параметр политики можно настроить с помощью консоли управления групповой политикой (GPMC) для распространения через объекты групповой политики (GPO). Если эта политика не содержится в распределенном объекте групповой политики, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».

    Соображения безопасности

    В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать меры противодействия и возможные негативные последствия реализации мер противодействия.

    Уязвимость

    Когда служба подключается к компьютерам с более ранними версиями Windows, чем Windows Vista или Windows Server 2008, службы, которые работают как локальная система и используют SPNEGO (согласование), которые возвращаются к NTLM, будут использовать сеанс NULL.В Windows Server 2008 R2 и Windows 7 и более поздних версиях, если служба подключается к компьютеру под управлением Windows Server 2008 или Windows Vista, системная служба использует удостоверение компьютера.

    Когда служба подключается к идентификатору компьютера, поддерживаются подпись и шифрование для обеспечения защиты данных. Когда служба подключается к сеансу NULL, создается сгенерированный системой ключ сеанса, который не обеспечивает защиты, но позволяет приложениям подписывать и шифровать данные без ошибок.

    Противодействие

    Вы можете настроить сетевую безопасность : Разрешить локальной системе использовать удостоверение компьютера для параметра политики безопасности NTLM , чтобы разрешить службам локальной системы, использующим согласование, использовать удостоверение компьютера при возврате к проверке подлинности NTLM.

    Возможное воздействие

    Если вы не настроите этот параметр политики в Windows Server 2008 и Windows Vista, службы, работающие как локальная система, которые используют учетные данные по умолчанию, будут использовать сеанс NULL и вернутся к проверке подлинности NTLM для операционных систем Windows ранее, чем Windows Vista или Windows Server 2008. Начиная с Windows Server 2008 R2 и Windows 7, система позволяет службам локальной системы, использующим Negotiate, использовать удостоверение компьютера при возврате к проверке подлинности NTLM.

    Статьи по теме

    .

    локальных учетных записей (Windows 10) - Microsoft 365 Security

    • 20 минут на чтение

    В этой статье

    Относится к

    • Windows 10
    • Windows Server 2019
    • Windows Server 2016

    В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

    Об учетных записях локальных пользователей

    Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей - это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

    В этом разделе описывается следующее:

    Для получения информации об участниках безопасности см. Принципы безопасности.

    Учетные записи локальных пользователей по умолчанию

    Учетные записи локальных пользователей по умолчанию - это встроенные учетные записи, которые создаются автоматически при установке Windows.

    После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

    Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером - это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

    Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

    Учетная запись администратора

    Учетная запись локального администратора по умолчанию - это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.

    Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любое время взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

    Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

    В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования параметра Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

    Членство в группе счетов

    По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

    Учетную запись администратора нельзя удалить или удалить из группы «Администраторы», но ее можно переименовать.

    Соображения безопасности

    Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

    Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

    В целях безопасности используйте локальную (не администраторскую) учетную запись для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

    Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

    В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

    Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

    Важно Даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

    Гостевой аккаунт

    Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

    Членство в группе счетов

    По умолчанию учетная запись гостя является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы «Администраторы», может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

    Соображения безопасности

    При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

    Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

    Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

    Учетная запись HelpAssistant - это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если нет ожидающих запросов удаленного помощника.

    HelpAssistant - это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет приглашение со своего компьютера по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, предоставляющему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

    Соображения безопасности

    Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

    • SID: S-1-5- <домен> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

    • SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

    Для операционной системы Windows Server Удаленный помощник - это дополнительный компонент, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

    Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

    Атрибуты учетной записи HelpAssistant

    Атрибут Значение

    Известный SID / RID

    S-1-5- <домен> -13 (пользователь терминального сервера), S-1-5- <домен> -14 (удаленный интерактивный вход в систему)

    Тип

    Пользователь

    Контейнер по умолчанию

    CN = Пользователи, DC = <домен>, DC =

    Элементы по умолчанию

    Нет

    Стандартный член

    Гости домена

    Гости

    Защищено ADMINSDHOLDER?

    Нет

    Можно ли выйти из контейнера по умолчанию?

    Можно выдвинуть, но мы не рекомендуем это делать.

    Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

    Нет

    Счет по умолчанию

    DefaultAccount, также известная как управляемая система по умолчанию (DSMA), - это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA - это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которая может использоваться для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.

    DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

    DSMA является членом хорошо известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

    Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

    Как Windows использует DefaultAccount

    С точки зрения разрешений DefaultAccount - это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают постоянно и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

    Приложения

    MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox - это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

    Аналогично, Телефон автоматически входит в систему как учетная запись «DefApps», которая похожа на стандартную учетную запись пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

    В конвергентной пользовательской модели многопользовательские приложения и брокеры с поддержкой многопользовательского режима должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

    Как создается DefaultAccount на контроллерах домена

    Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена, на которых установлена ​​более ранняя версия Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена, на котором работает Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

    Рекомендации по управлению учетной записью по умолчанию (DSMA)

    Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой учетной записи.

    Учетные записи локальной системы по умолчанию

    СИСТЕМА

    Учетная запись SYSTEM используется операционной системой и службами, работающими в Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

    С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставляются разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

    Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

    СЕТЕВОЕ ОБСЛУЖИВАНИЕ

    Учетная запись NETWORK SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая работает в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

    МЕСТНОЕ ОБСЛУЖИВАНИЕ

    Учетная запись LOCAL SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

    Как управлять локальными учетными записями пользователей

    Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

    Вы можете использовать локальные пользователи и группы для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа - это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

    Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

    Примечание Вы используете «Пользователи и компьютеры Active Directory» для управления пользователями и группами в Active Directory.

    Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

    Ограничение и защита локальных учетных записей с правами администратора

    Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

    Самый простой подход - войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей пользователей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

    Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

    • Применять ограничения локальной учетной записи для удаленного доступа.

    • Запретить вход в сеть для всех учетных записей локальных администраторов.

    • Создайте уникальные пароли для локальных учетных записей с правами администратора.

    Каждый из этих подходов описан в следующих разделах.

    Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

    Применять ограничения локальной учетной записи для удаленного доступа

    Контроль учетных записей пользователей (UAC) - это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен на уведомление вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомления UAC.

    UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключения пользователей, выхода из системы или использования команды Run as .

    Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в сеансе пользователя администратора.

    Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

    Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

    В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

    Примечание

    Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy, используя настраиваемый ADMX в шаблонах безопасности.

    Чтобы применить ограничения локальной учетной записи для удаленного доступа

    1. Запустите консоль управления групповой политикой (GPMC).

    2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домена. где вы хотите установить объект групповой политики (GPO).

    3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

    4. В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name - это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения передачи прав локального администратора на другой компьютер.

    5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

    6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:

      1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .

      2. Дважды щелкните Контроль учетных записей: запускать всех администраторов в режиме утверждения администратором > Включено > ОК .

      3. Дважды щелкните Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .

    7. Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:

      1. Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр .

      2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .

      3. В диалоговом окне New Registry Properties на вкладке General измените значение параметра в поле Action на Replace .

      4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .

      5. Щелкните (), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

      6. В области Имя значения введите LocalAccountTokenFilterPolicy .

      7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.

      8. Убедитесь, что в поле Value data установлено значение 0 .

      9. Проверьте эту конфигурацию и> OK .

    8. Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:

      1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

      2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

      3. Выберите только что созданный объект групповой политики и> OK .

    9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.

    10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

    11. Создайте ссылки на все другие подразделения, содержащие серверы.

    Запретить вход в сеть для всех учетных записей локального администратора

    Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренных атаках.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.

    Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», и любых других учетных записей, которые являются членами локальной группы администраторов.

    В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

    Настройка

    Подробное описание

    Расположение полиса

    Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

    1

    Название политики

    Запретить доступ к этому компьютеру из сети

    Параметр политики

    Локальная учетная запись и член группы администраторов

    2

    Расположение полиса

    Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

    Название полиса

    Запретить вход через службы удаленных рабочих столов

    Параметр политики

    Локальная учетная запись и член группы администраторов

    Чтобы запретить вход в сеть для всех учетных записей локальных администраторов

    1. Запустите консоль управления групповой политикой (GPMC).

    2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домен, в котором вы хотите установить объект групповой политики (GPO).

    3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

    4. В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name - это имя нового объекта GPO, указывает, что он используется для ограничения интерактивной подписи локальных административных учетных записей. в компьютер.

    5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

    6. Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:

      1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .

      2. Дважды щелкните Запретить доступ к этому компьютеру из сети .

      3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

    7. Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:

      1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .

      2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .

      3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

    8. Свяжите GPO с первыми рабочими станциями OU следующим образом:

      1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

      2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

      3. Выберите только что созданный объект групповой политики и> OK .

    9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.

    10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

    11. Создайте ссылки на все другие подразделения, содержащие серверы.

      Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

    Создание уникальных паролей для локальных учетных записей с правами администратора

    Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для индивидуальных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

    Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

    Пароли могут быть рандомизированы по:

    • Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».

    • Настройка пароля локального администратора (LAPS) для выполнения этой задачи.

    • Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.

    См. Также

    Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.

    .

    Типы компьютерных сетей: LAN, MAN, WAN, VPN

    • Home
    • Testing

        • Back
        • Agile Testing
        • BugZilla
        • Cucumber
        • Database Testing
        • Testing
        • JIRA
        • Назад
        • JUnit
        • LoadRunner
        • Ручное тестирование
        • Мобильное тестирование
        • Mantis
        • Почтальон
        • QTP
        • Центр контроля качества
        • SAPM
        • Центр контроля качества
        • Selenium
        • SoapUI
        • Управление тестированием
        • TestLink
    • SAP

        • Назад
        • AB AP
        • APO
        • Начинающий
        • Basis
        • BODS
        • BI
        • BPC
        • CO
        • Назад
        • CRM
        • Crystal Reports
        • QM4O
        • Заработная плата
        • Назад
        • PI / PO
        • PP
        • SD
        • SAPUI5
        • Безопасность
        • Менеджер решений
        • Successfactors
        • SAP Tutorials
        4
      • Web
      • Apache
      • AngularJS
      • ASP.Net
      • C
      • C #
      • C ++
      • CodeIgniter
      • СУБД
      • JavaScript
      • Назад
      • Java
      • JSP
      • Kotlin
      • Linux
      • Linux
      • Kotlin
      • Linux
      • js
      • Perl
      • Назад
      • PHP
      • PL / SQL
      • PostgreSQL
      • Python
      • ReactJS
      • Ruby & Rails
      • Scala
      • SQL
      • 000
      • SQL
      • 000 0003 SQL 000 0003 SQL 000
      • UML
      • VB.Net
      • VBScript
      • Веб-службы
      • WPF
  • Обязательно учите!