加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_镇江站长网 (https://www.0511zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

从网络访问此计算机 - 安全策略设置

发布时间:2022-11-02 14:32:42 所属栏目:安全 来源:未知
导读: 本文内容
适用于
介绍 从网络安全策略设置访问此计算机 的最佳做法、位置、值、策略管理和安全注意事项。
警告
如果运行 Windows Server 或 Azure Stack HCI 故障转移群集,请不要从网络策

本文内容

适用于

介绍 从网络安全策略设置访问此计算机 的最佳做法、位置、值、策略管理和安全注意事项。

警告

如果运行 Windows Server 或 Azure Stack HCI 故障转移群集,请不要从网络策略设置中从 Access 此计算机 中删除经过身份验证的用户。 这样做可能会导致意外的生产中断。 这是由于用于运行群集服务的本地用户帐户 CLIUSR。 CLIUSR 不是本地管理员组的成员,如果删除了经过身份验证的用户组,则群集服务将没有足够的权限来正常运行或启动。

参考

从网络策略设置访问此计算机可确定哪些用户可以从网络连接到设备。 许多网络协议都需要此功能,包括基于服务器消息块 (SMB) 协议、NetBIOS、通用 Internet 文件系统 (CIFS) 和组件对象模型加 (COM+) 。

用户、设备和服务帐户通过从已授予此用户权限的安全组中显式或隐式添加或删除, 从而从网络 用户中获取或丢失此计算机的访问权限。 例如,用户帐户或计算机帐户可以显式添加到自定义安全组或内置安全组,也可以由 Windows 隐式添加到计算安全组,例如域用户、经过身份验证的用户或企业域控制器。默认情况下,当计算组(如经过身份验证的用户)和域控制器(企业域控制器组)在默认域控制器组策略对象 (GPO) 中定义时,用户帐户和计算机帐户会从网络用户直接访问此计算机。

常量:SeNetworkLogonRight

可能值最佳做法位置

计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

默认值

下表列出了最新受支持的 Windows 版本的实际和有效的默认策略值。 默认值也列在策略的属性页上。

GPO 的服务器类型默认值

默认域策略

未定义

默认域控制器策略

所有人、管理员、经过身份验证的用户、企业域控制器、Windows 2000 前兼容访问

独立服务器默认设置

每个人、管理员、用户、备份运算符

域控制器有效的默认设置

所有人、管理员、经过身份验证的用户、企业域控制器、Windows 2000 前兼容访问

成员服务器有效的默认设置

每个人、管理员、用户、备份运算符

客户端计算机有效默认设置

每个人、管理员、用户、备份运算符

策略管理

正确修改此用户时,以下操作可能会导致用户和服务遇到网络访问问题:

此策略设置不需重启设备才能生效。

下次帐户所有者登录时,对帐户的用户权限分配的任何更改将生效。

组策略

设置通过组策略对象 (GPO) 按以下顺序应用,后者将在 组策略下一次更新时覆盖本地计算机上的设置:

本地策略设置站点策略设置域策略设置OU 策略设置

当本地设置灰显时,它指示 GPO 当前控制该设置。

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。

漏洞

可以从设备连接到网络的用户可以访问他们有权访问的目标设备上的资源。 例如,用户需要从网络用户权限 访问此计算机 才能连接到共享打印机和文件夹。 如果将此用户权限分配给 “人人 ”组,则组中的任何人都可以读取这些共享文件夹中的文件。 这种情况不太可能发生,因为默认安装的至少 Windows Server 2008 R2 或 Windows 7 所创建的组不包括 “人人 ”组。 但是,如果设备已升级,并且原始设备包含“ Everyone ”组作为其定义的用户和组的一部分,则该组将作为升级过程的一部分进行转换,并且存在于设备上。

对策

将 此计算机从网络 用户权限限制为仅限那些需要访问计算机的用户和组。 例如,如果将此策略设置配置为 管理员 和 用户 组,则登录到域的用户可以访问从域中的服务器共享的资源(如果 域用户 组的成员包含在本地 用户 组中)。

注意 如果使用 IPsec 来帮助保护组织中的网络通信安全计算机,请确保向包含计算机帐户的组授予此权限。 成功进行计算机身份验证需要此权限。 将此权限分配给 经过身份验证的用户 或 域计算机 符合此要求。

潜在影响

如果在所有用户的域控制器上从网络用户中删除 Access 此计算机 ,则任何人都不能登录域或使用网络资源。 如果直接在成员服务器上删除此用户,则用户无法通过网络连接到这些服务器。 如果已安装可选组件(例如 ASP.NET 或 Internet Information Services (IIS) ,则可能需要将此用户分配给这些组件所需的其他帐户。 请务必验证授权用户是否为其访问网络所需的设备分配了此用户权限。

如果运行 Windows Server 或 Azure Stack HCI 故障转移群集,请不要从网络策略设置中从 Access 此计算机中删除经过身份验证的用户。 这样做可能会导致意外的生产中断。 此中断是由于用于运行群集服务的本地用户帐户 CLIUSR 造成的。 CLIUSR 不是本地管理员组的成员,如果删除了经过身份验证的用户组,则群集服务将没有足够的权限来正常运行或启动。

相关主题

用户权限分配

(编辑:应用网_镇江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2013-2022 https://www.0511zz.com/ All Rights Reserved. 应用网_镇江站长网

      ICP备案:浙ICP备12044117号 浙公网安备 33038102330467号