В этой статье показаны действия, с помощью которых можно запретить (блокировать) или разрешить использование учетных записей Майкрософт в операционной системе Windows 10.
Учетная запись Майкрософт предоставляет доступ к приложениям и играм из магазина Microsoft Store, а также позволяет просматривать настройки и другие материалы на нескольких устройствах с Windows 10.
При необходимости можно блокировать учетные записи Майкрософт.
Вы можете выбрать вариант при котором пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт.
Также можно запретить пользователям создавать новые и использовать существующие учетные записи Майкрософт, в этом случае пользователи учетных записей Майкрософт не смогут войти в систему.
Чтобы запретить (блокировать) или разрешить использование учетных записей Майкрософт в Windows 10, необходимо войти в систему с правами администратора
Как запретить (блокировать) или разрешить учетные записи Майкрософт используя локальную политику безопасности
Локальная политика безопасности доступна в Windows 10 редакций Pro, Enterprise, Education.
Нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите secpol.msc и нажмите клавишу Enter ↵.
В открывшемся окне Локальная политика безопасности, разверните следующие элементы списка:
Локальные политики ➯ Параметры безопасности
Далее, в правой части окна дважды щелкните левой кнопкой мыши по политике с названием Учетные записи: блокировать учетные записи Майкрософт
Затем в открывшемся окне, в выпадающем списке выберите параметр который необходимо применить для этой политики безопасности и нажмите кнопку OK.
Параметры для политики Учетные записи: блокировать учетные записи Майкрософт:
- Пользователи не могут добавлять учетные записи Майкрософт
- Если выбрать вариант «Пользователи не могут добавлять учетные записи Майкрософт», то пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт, а также подключать учетные записи домена к учетным записям Майкрософт.
- Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа
- Если выбрать вариант «Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа», существующие пользователи учетных записей Майкрософт не смогут войти в систему Windows. Выбор этого параметра может сделать вход в систему и управление ею недоступным для существующего администратора на данном компьютере.
- Эта политика отключена или не настроена
- Если выбрать вариант Эта политика отключена или не настроена (рекомендуется), то пользователи смогут использовать учетные записи Майкрософт в Windows.
Как запретить или разрешить учетные записи Майкрософт используя файл-реестра (reg-файл)
Данный способ позволяет запретить (блокировать) или разрешить учетные записи Майкрософт во всех редакциях Windows 10, с помощью внесения изменений в системный реестр Windows.
Прежде чем вносить какие-либо изменения в реестр, настоятельно рекомендуется создать точку восстановления системы или экспортировать тот раздел реестра, непосредственно в котором будут производиться изменения.
Все изменения производимые в редакторе реестра отображены ниже в листингах файлов реестра.
Чтобы запретить пользователям создавать новые учетные записи Майкрософт и преобразовывать локальные учетные записи в учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:
Windows Registry Editor Version 5.00.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System].
«NoConnectedUser»=dword:00000001
Чтобы запретить пользователям создавать новые и использовать существующие учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:
Windows Registry Editor Version 5.00.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System].
«NoConnectedUser»=dword:00000003
Чтобы разрешить пользователям создавать новые и использовать существующие учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:
Windows Registry Editor Version 5.00.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System].
«NoConnectedUser»=-
Содержание
- Как включить безопасный вход в Windows 10
- Как включить или отключить безопасный вход в систему
- Используем команду Netplwiz
- Используем локальные политики безопасности
- Используем системный реестр
- Как запретить (блокировать) или разрешить учетные записи Майкрософт в Windows 10
- Как запретить (блокировать) или разрешить учетные записи Майкрософт используя локальную политику безопасности
- Как запретить или разрешить учетные записи Майкрософт используя файл-реестра (reg-файл)
- Принудительные ограничения входа пользователей
- Справочники
- Рекомендации
- Местонахождение
- Значения по умолчанию
- Управление политикой
- Групповая политика
- Вопросы безопасности
- Уязвимость
- Противодействие
- Как разрешить (запретить) пользователям и группам вход в систему с помощью удаленного рабочего стола в Windows 10
- Разрешить пользователям и группам входить в систему с удаленного рабочего стола в локальной политике безопасности
- Запретить пользователям и группам входить в систему с удаленного рабочего стола в локальной политике безопасности
- Разрешить (запретить) пользователям и группам входить в систему с удаленного рабочего стола в командной строке
- Как разрешить / запретить пользователям вход на компьютеры в домене AD
- Разрешаем вход только на определенные компьютеры в свойствах пользователя AD
- Изменяем атрибут LogonWorkstations с помощью PowerShell
- Ограничиваем вход на компьютеры с помощью GPO
Как включить безопасный вход в Windows 10
Windows 10 является самой популярной операционной системой в среде киберпреступников. Это означает, что пользователям Windows нужно максимально усилить защиту своего ПК, чтобы оставаться в безопасности.
Безопасный вход является дополнительным компонентом на экране авторизации Windows 10. Он не сможет предотвратить доступ к компьютеру постороннему лицу, который знает ваши учетные данные. Безопасный вход предназначен для того, чтобы скрыть форму ввода логина, пока вы не введете определенное клавиатурное сочетание. Только после этого, вы сможете указать PIN или ввести пароль.
Как включить или отключить безопасный вход в систему
Используем команду Netplwiz
Запустите окно Выполнить, нажав Win + R и введите команду netplwiz в текстовое поле, затем нажмите ОК.
Получить доступ к панели Учетные записи пользователей, можно также введя запрос netplwiz в строке поиска в панели задач или меню Пуск и выбрав опцию Выполнить команду.
На экране откроется панель Учетные записи пользователей. Нужно перейти на вкладку Дополнительно (если не она открылась сразу). Отметьте галочку Требовать нажатия CTRL+ALT+DELETE в разделе Безопасный вход в систему для включения безопасного входа или снимите галочку, чтобы отключить его.
Нажмите кнопку Применить, а затем OK.
Используем локальные политики безопасности
Это еще один, более трудоемкий метод активации безопасного входа. Используйте данный метод, если вы не привыкли к самым простым решениям, но не хотите работать с системным реестром.
Запустите окно Выполнить, нажав Win + R и введите команду secpol.msc в текстовое поле, затем нажмите ОК.
Откроется окно Локальная политика безопасности. Нужно раскрыть категорию Локальные политики в списке и затем выбрать подпапку Параметры безопасности. Затем в правой области окна нужно найти запись Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DELETE.
Кликните дважды по записи, чтобы открыть панель Свойства. По умолчанию откроется вкладка Параметры локальной безопасности. Установите метку переключатель в соответствующее положение Включен или Отключен. Нажмите кнопку Применить, а затем ОК.
Используем системный реестр
Если вы хотите выбрать самый сложный путь, то можно добиться того же результата с помощью манипуляций с системным реестром. Главное помнить, что любые изменения системного реестра могут вызвать проблемы стабильности системы. Данный вариант подходит опытным пользователям ПК.
Запустите окно Выполнить, нажав Win + R и введите команду regedit в текстовое поле, затем нажмите ОК.
Получить доступ к редактору реестра, можно также введя запрос regedit в строке поиска в панели задач или меню Пуск и выбрав предложенное приложение.
В редакторе реестра нужно перейти по пути:
В папке CurrentVersion выберите подпапку Winlogon и найдите ключ DisableCad. Откройте его для редактирования значений.
Примечание: если ключ DisableCad не найден в Winlogon, кликните правой кнопкой мыши и выберите Создать > Параметр DWORD (32-бита). Назовите параметр DisableCad и задайте соответствующее значение.
В открывшемся окне Изменение параметра DWORD (32-бита) измените установленное значение на одно из следующих:
Нажмите кнопку ОК, чтобы завершить редактирование. Перезапустите компьютер, чтобы изменения вступили в силу.
Источник
Как запретить (блокировать) или разрешить учетные записи Майкрософт в Windows 10
В этой статье показаны действия, с помощью которых можно запретить (блокировать) или разрешить использование учетных записей Майкрософт в операционной системе Windows 10.
Учетная запись Майкрософт предоставляет доступ к приложениям и играм из магазина Microsoft Store, а также позволяет просматривать настройки и другие материалы на нескольких устройствах с Windows 10.
При необходимости можно блокировать учетные записи Майкрософт.
Вы можете выбрать вариант при котором пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт.
Также можно запретить пользователям создавать новые и использовать существующие учетные записи Майкрософт, в этом случае пользователи учетных записей Майкрософт не смогут войти в систему.
Чтобы запретить (блокировать) или разрешить использование учетных записей Майкрософт в Windows 10, необходимо войти в систему с правами администратора
Как запретить (блокировать) или разрешить учетные записи Майкрософт используя локальную политику безопасности
Локальная политика безопасности доступна в Windows 10 редакций Pro, Enterprise, Education.
Нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите secpol.msc и нажмите клавишу Enter ↵.
В открывшемся окне Локальная политика безопасности, разверните следующие элементы списка:
Локальные политики ➯ Параметры безопасности
Далее, в правой части окна дважды щелкните левой кнопкой мыши по политике с названием Учетные записи: блокировать учетные записи Майкрософт
Затем в открывшемся окне, в выпадающем списке выберите параметр который необходимо применить для этой политики безопасности и нажмите кнопку OK.
Параметры для политики Учетные записи: блокировать учетные записи Майкрософт:
Как запретить или разрешить учетные записи Майкрософт используя файл-реестра (reg-файл)
Данный способ позволяет запретить (блокировать) или разрешить учетные записи Майкрософт во всех редакциях Windows 10, с помощью внесения изменений в системный реестр Windows.
Прежде чем вносить какие-либо изменения в реестр, настоятельно рекомендуется создать точку восстановления системы или экспортировать тот раздел реестра, непосредственно в котором будут производиться изменения.
Все изменения производимые в редакторе реестра отображены ниже в листингах файлов реестра.
Чтобы запретить пользователям создавать новые учетные записи Майкрософт и преобразовывать локальные учетные записи в учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:
Windows Registry Editor Version 5.00.
Чтобы запретить пользователям создавать новые и использовать существующие учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:
Windows Registry Editor Version 5.00.
Чтобы разрешить пользователям создавать новые и использовать существующие учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:
Windows Registry Editor Version 5.00.
Источник
Принудительные ограничения входа пользователей
Область применения
Описывает лучшие практики, расположение, значения, управление политикой и **** соображения безопасности для параметра Политики безопасности принудать пользователей к ограничениям в области безопасности.
Справочники
Параметр Политики ограничений для логотипов пользователей определяет, проверяет ли Центр рассылки ключей Kerberos V5 (KDC) каждый запрос на билет сеанса в отношении политики прав пользователя учетной записи пользователя. Проверка каждого запроса на билет сеанса необязательна, так как дополнительный шаг требует времени, и это может замедлить доступ к службам.
Возможные значения для этого параметра групповой политики:
Рекомендации
Если этот параметр политики отключен, пользователям могут быть предоставлены билеты на сеансы для служб, которые они не имеют права на использование.
Рекомендуем установить ограничения для входа пользователя в «Включено».
Местонахождение
Конфигурация компьютераWindows Параметрыsecurity ПараметрыAccount PoliciesKerberos Policy
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или GPO | Значение по умолчанию |
---|---|
Default Domain Policy | Включено |
Политика контроллера домена по умолчанию | Не определено |
Параметры по умолчанию для автономного сервера | Неприменимо |
Dc Effective Default Параметры | Включено |
Действующие параметры по умолчанию для рядового сервера | Неприменимо |
Действующие параметры по умолчанию для клиентского компьютера | Неприменимо |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Перезагрузка устройства не требуется для того, чтобы этот параметр политики был эффективным.
Групповая политика
Клиентские устройства получат новый параметр во время следующего запланированного и успешного обновления групповой политики. Но для того, чтобы контроллеры домена сразу назначили эти новые параметры, требуется gpupdate.exe/force. На локальном устройстве двигатель конфигурации безопасности обновит этот параметр примерно через пять минут.
Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который перезаписывал параметры на локальном компьютере при следующем обновлении групповой политики:
Когда локальный параметр серый, он указывает, что GPO в настоящее время контролирует этот параметр.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Если отключить этот параметр политики, пользователи могут получать билеты на сеансы для служб, которые они больше не имеют права использовать, так как право было удалено после входа в систему.
Противодействие
Ввести параметр Ограничения для логоса пользователя.
Источник
Как разрешить (запретить) пользователям и группам вход в систему с помощью удаленного рабочего стола в Windows 10
Разрешить пользователям и группам входить в систему с удаленного рабочего стола в локальной политике безопасности
1.В строке поиска или в меню “Выполнить” (выполнить вызывается клавишами Win+R) напишите команду secpol.msc и нажмите Enter.
2. Зайдите в “Локальные политики” => “Назначение прав пользователя” => откройте “Разрешить вход в систему через службу удаленных рабочих столов”.
3. Нажмите на “Добавить пользователя или группу”.
4. Нажмите на “Дополнительно”.
5. Нажмите на “Типы объектов”.
6. Поставьте флажки на всех типах и нажмите на “ОК”.
7. Нажмите на “Поиск” => выберите пользователя или группу, которую вы хотите добавить, и нажмите на “ОК”.
8. Нажмите на “ОК”.
9. Нажмите еще раз на “ОК”.
Запретить пользователям и группам входить в систему с удаленного рабочего стола в локальной политике безопасности
1.В строке поиска или в меню “Выполнить” (выполнить вызывается клавишами Win+R) напишите команду secpol.msc и нажмите Enter.
2. Зайдите в “Локальные политики” => “Назначение прав пользователя” => откройте “Разрешить вход в систему через службу удаленных рабочих столов”.
3. Выберите пользователя или группу, которую вы хотите удалить, и нажмите на “Удалить”.
4. Нажмите на “ОК”.
Разрешить (запретить) пользователям и группам входить в систему с удаленного рабочего стола в командной строке
1. Скачайте и установите Windows Server 2003 Resource Kit Tools.
2.Запустите командную строку от имени администратора: один из способов – нажать на меню “Пуск” правой клавишей мыши и выбрать “Командная строка (администратор)”.
На сегодня все, если вы знаете другие способы – пишите в комментариях! Удачи Вам 🙂
Источник
Как разрешить / запретить пользователям вход на компьютеры в домене AD
По умолчанию при создании пользователя в AD он автоматически добавляется в группу Domain Users. Группа Domain Users в свою очередь по умолчанию добавляется в локальную группу Users на компьютере при добавлении его в домен AD. Это означает что любой пользователь домена может войти на любой компьютер в сети. В этой статье мы рассмотрим основные способы ограничения возможности входа пользователей на компьютеры домена.
Разрешаем вход только на определенные компьютеры в свойствах пользователя AD
В небольших доменах вы можете в свойствах каждого пользователя в AD ограничить возможность входа под его учетной на компьютеры домена. Например, вы хотите, чтобы конкретный пользователь мог входить только на свой компьютер. Для этого:
Изменяем атрибут LogonWorkstations с помощью PowerShell
Вручную ограничивать вход пользователей на компьютеры домена довольно утомительно. С помощью PowerShell можно автоматизировать это действия. Список компьютеров, на которые разрешено входить пользователю хранится в атрибуте пользователя в AD – LogonWorkstations. Например, наша задача разрешить определенному пользователю входить только на компьютеры, чьи имена содержатся в текстовом файле computers.csv
Скрипт может выглядеть так (сначала загружаем модуль AD для Powershell):
С помощью следующей команды можно вывести список компьютеров, на которые разрешено входить пользователю можно с помощью командлета Get-ADUser.
Либо можно посмотреть список компьютеров в консоли ADUC.
Чтобы добавить в список новый компьютер, воспользуйтесь такой командой:
Ограничиваем вход на компьютеры с помощью GPO
В больших доменах использовать свойство пользователя LogonWorkstations для ограничения доступ пользователей к компьютерам нецелесообразно из-за ограничений и недостаточной гибкости. Как правило, чтобы запретить пользователям входить на некоторые ПК? используют групповые политики.
Например, чтобы запретить пользователям определенной группы входить на компьютеры в некой OU, вы можете создать отдельную группу пользователей, добавить ее в политику Deny log on locally и назначить ее на OU с компьютерами, доступ к которым вы хотите ограничить.
В больших доменах можно использовать комбинацию этих политик. Например, вы хотите запретить пользователям входить на компьютеры других OU.
Для этого в каждой OU нужно создать группу безопасности, куда нужно включить всех пользователей OU.
Затем нужно включить политику Allow log on locally, добавить в нее эту группу (+ различные администраторские группы: Domain Admins, администраторы рабочих станций и прочее) и назначить политику на OU с компьютерами. Таким образом вы разрешите только пользователям конкретного OU входить на компьютеры.
При попытке входа пользователя, которому не разрешен локальный вход, появится окно с предупреждением:
Несколько важных моментов касательно данных политик:
Источник
Делить с кем-то из близких или сотрудников по работе один компьютер – не самая приятная задача. Чтобы упредить споры, каждый из имеющих право пользования компьютером в среде Windows может создать свою, с парольной защитой учётную запись. И таким образом хоть как-то оградить своё личное виртуальное пространство. Полноправные владельцы компьютеров вправе ограничивать тех, кто время от времени использует их Windows-устройства.
Причём не только методами создания учётных записей со статусом стандартного пользователя, лишённого прав администратора. Обладая правами последнего, возможности по использованию компьютера для отдельных людей, чьи неопытные или намеренные действия могут приводить к проблемам, можно урезать в большей степени.
Как в среде Windows 10 задействовать ограниченные учётные записи?
1. Запуск только одного UWP-приложения
Учётные записи со статусом стандартного пользователя можно максимально ограничить, позволив с них запуск только одного UWP-приложения. Делается это в приложении «Параметры» из учётки администратора.
Единственным доступным приложением при таком раскладе может быть любое UWP-приложение – хоть штатное, хоть установленное в Microsoft Store, но только не браузер Edge. Тем не менее если пользователю нужно дать ограниченную среду для веб-сёрфинга, в Microsoft Store можно установить сторонний UWP-браузер.
Такая ограниченная учётная запись будет работать по принципу терминала. Выйти из неё можно нажатием Ctrl+Alt+Del.
Более гибко настроить ограничения для отдельных пользователей можно с помощью функционала редакций Windows 10, начиная с Pro.
2. Режим гостя
Для встречных-поперченных людей, которым вроде как и неудобно отказать в просьбе дать на пару минут зайти в соцсеть, но и не очень хочется подпускать к своим личным данным, в панели управления Windows 7 можно было включить специальную учётную запись гостя. В «Десятке» она никуда не делась, вот только включается чуть сложнее. В режиме гостя используется в большей степени ограниченная учётная запись, чем таковая со статусом стандартного пользователя. Гостю нельзя делать всё то, что требует прав администратора – устанавливать, удалять, запускать программы, удалять системные данные, смотреть содержимое каталогов профиля других пользователей. Нельзя использовать OneDrive. Доступ к настройкам в UWP-формате ограждён невозможностью запуска приложения «Параметры».
Чтобы включить учётку гостя в Windows 10, запускаем штатную утилиту:
lusrmgr.msc
Раскрываем каталог «Пользователи», в нём двойным кликом кликаем по «Гостю». В отрывшихся свойствах убираем все установленные галочки. Применяем.
Теперь нужно кое-что подправить в локальных групповых политиках. Открываем редактор:
gpedit.msc
Раскрываем путь, указанный на скриншоте. Открываем параметр, запрещающий локальный вход.
Удаляем гостя.
И тем самым активируем его учётную запись.
3. Особенный гость
Обезличенная учётка «Гость» — универсальное решение, удобное, если часто приходится принимать у себя гостей, которым всегда нужно срочно войти на пару минут в свою соцсеть. Если круг гостей узкий, можно сделать приятно, например, любимой бабушке, создав её личную учётку гостя. В той же утилите lusrmgr.msc нужно в меню «Действие» выбрать нового пользователя, дать ему имя и убрать галочку необходимости смены пароля (чтобы учётка была незапароленной). Затем нажать «Создать».
Затем делаем двойной клик на бабушкиной учётке и в окне свойств переключаемся на вкладку «Членство в группах». Удаляем группу «Пользователи».
И добавляем группу «Гости».
Если бабушка станет реже приходить, её учётку, чтобы она не болталась на экране блокировки, можно временно отключать. Делается это в том же окошке свойств учётной записи.
***
Ещё больше урезать возможности гостя или стандартного пользователя можно с помощью локальных групповых политик. Ограничения, введённые ими в окне редактора gpedit.msc, будут работать для всех учётных записей компьютера. А чтобы ограничения не касались администратора и применялись только для отдельных пользователей, с политиками нужно работать через консоль MMC.
Запускаем её:
mmc.exe
Необходимо добавить новую оснастку.
Кликаем «Редактор объектов групповой политики». Нажимаем «Добавить», затем — «Обзор».
Выбираем нужного пользователя.
Готово.
Закрываем форму добавления оснасток. Оснастку gpedit.msc, созданную для выбранного пользователя только что, сохраняем в удобном месте.
С этого места и будем впредь запускать эту оснастку. И ограничивать в ней права юзеров. Например, тройкой предложенных ниже способов.
4. Запрет панели управления
Режим гостя, как упоминалось, защищён от вмешательства в настройки, находящиеся в приложении «Параметры». А вот панель управления в части настроек, не требующих прав администратора, гостю доступна. Это легко можно исправить и запретить её запуск.
В созданной оснастке раскрываем путь, показанный на скриншоте. Открываем параметр, запрещающий работу с панелью управления.
Включаем его.
В учётке со статусом стандартного пользователя этот параметр ещё и отключит приложение «Параметры».
5. Запуск только UWP-приложений
Чтобы дать человеку возможность работать только с UWP-приложениями и закрыть ему доступ к десктопным EXE-программам, можно воспользоваться параметром выполнения только указанных приложений.
Будучи включённым, этот параметр позволит поимённо указать только разрешённые для запуска EXE-программы. Нужно указать хотя бы одну такую программу, например, штатный блокнот.
6. Запуск только отдельных программ
Используя параметр выполнения только указанных приложений, можно расширить перечень разрешённых пользователю EXE-программ.
А можно сделать иначе и разрешить использовать все EXE-программы, кроме некоторых.
При попытке запуска запрещённых программ гость увидит такое вот сообщение.
Загрузка…
Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash). Кроме того, доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные события не регистрируются на контроллерах домена AD.
Для снижения рисков, администраторы могут изменить имя стандартной локальной учетной записи администратора Windows (Administrator). Для регулярной смены пароля локального администратора на всех компьютерах в домене можно использовать MS LAPS (Local Administrator Password Solution). Но этими решениями не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.
Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить сетевой доступ к компьютеру.
В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности (Well-known group) с известными SID. Одна включает в себя всех локальных пользователей, а вторая всех локальных администраторов.
S-1-5-113 | NT AUTHORITYLocal account | Все локальные учетная запись |
S-1-5-114 | NT AUTHORITYLocal account and member of Administrators group | Все локальные учетные записи с правами администратора |
Теперь для ограничения доступа локальным учетным записям не нужно перечислять все возможные варианты SID локальных учёток, а использовать их общий SID.
Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.
Чтобы убедится, что в Windows 10/Windows Server 2016 локальной учетной записи присвоены две новый группы
NT AUTHORITYLocal account (SID S-1-5-113)
и
NT AUTHORITYLocal account and member of Administrators group (SID S-1-5-114)
, выполните команду:
whoami /all
Эти встроенные группы безопасности можно исопльзовать и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).
Проверить, имеются ли данные группы безопасности в вашей Windows можно по их SID так:
$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value
Если скрипт возвращает NT AuthorityLocal account, значит данная локальная группа (с этим SID) имеется.
Чтобы запретить сетевой доступ под локальным учетным записями, с этими SID-ами в токене, можно воспользоваться политиками из раздела GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
Запрет на вход через RDP для локальных пользователей и администратора
Политика Deny log on through Remote Desktop Services (Запретить вход в систему через службу с удаленного рабочего стола) позволяет указать пользователей и группы, которым явно запрещен удаленный вход на компьютер через RDP. Вы можете запретить RDP доступ к компьютеру для локальных или доменных учетных записей.
По умолчанию RDP доступ в Windows разрешён администраторам и членам локальной группы Remote Desktop Users.
Если вы хотите запретить RDP подключения только локальных пользователей (в том числе локальных администраторов), откройте локальной редактор GPO gpedit.msc (если вы хотите применить эти настройка на компьютерах в домене AD, используйте редактор доменных политик –
gpmc.msc
). Перейдите в указанную выше секцию GPO и отредактируйте политику Deny log on through Remote Desktop Services.
Добавьте в политику встроенные локальные группу безопасности Local account and member of Administrators group и Local account. Обновите настройки локальных политик с помощью команды: gpupdate /force.
Запрещающая политика имеет приоритет над политикой Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов). Если пользователь или группа будет добавлен в обоих политиках, RDP доступ для него будет запрещен.
Теперь, если вы попытаетесь подключиться к компьютеру по RDP, появится ошибка:
To sign in remotely, you need the right to sign in through Remote Desktop Services. By default, members of the Remote Desktop Users group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from the Remote Desktop Users group, you need to be granted this right manually.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.
Запрет сетевого доступа к компьютеру по сети
Вы можете запретить сетевой доступ к компьютеру под локальными учетными данными с помощью политики Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети).
Добавьте в политику Deny access to this computer from the network локальные группы Local account и Local account and member of Administrators group. Также стоит всегда запрещать анонимный доступ и доступ под гостевым аккаунтом.
Для доменной среды рекомендуется с помощью этой политики полностью запретить доступ к рабочим станциям и рядовым серверам домена под учетными записями из групп Domain Admins и Enterprise Administrators. Эти аккаунты должны использоваться только для доступа к контроллерам доменам. Тем самым вы уменьшите риски перехвата хэша административных аккаунтов и эскалации привилегий.
После применения политики вы не сможете удаленно подключиться к этому компьютеру по сети под любой локальной учетной записью. При попытке подключиться к сетевой папке или подключить сетевой диск с этого компьютера под локальной учетной записью, появится ошибка:
Microsoft Windows Network: Logon failure: the user has not been granted the requested logon type at this computers.
При попытке установить RDP сессию под учетной записью локального администратора (.administrator) появится сообщение об ошибке.
The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.
Важно. Если вы примените эту политику к компьютеру, который находится в рабочей группе (не присоединен к домену Active Directory), вы сможете войти на такой компьютер только локально.
Запретить локальный вход в Windows
С помощью политики Deny log on locally (Запретить локальных вход) вы можете запретить и интерактивный вход на компьютер/сервер под локальными учетными записями. Перейдите в секцию GPO User Rights Assignment, отредактируйте политику Deny log on locally. Добавьте в нее нужную локальную группу безопасности.
Будьте особо внимательны с запрещающими политиками. При некорректной настройке, вы можете потерять доступ к компьютерам. В крайнем случае сбросить настройки локальной GPO можно так.
Теперь, если пользователь или администратор попытается авторизоваться на компьютере под локальной учетной записью, появится сообщение.
The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.
Этот метод входа запрещено использовать. Для получения дополнительных сведений обратитесь к администратору своей сети.
Таким образом, вы можете ограничить доступ под локальными учетными записями на компьютеры и сервера домена, увеличить защищенность корпоративной сети.
Самый лучший способ сделать так, чтобы никто из домочадцев не испытывал интерес к вашему личному компьютеру – купить каждому из них по своему компьютеру. Но, увы, не каждая семья может себе позволить такую роскошь. Ведь если покупать не ноутбук, а десктоп, нужно ещё и позаботиться об обустройстве компьютерного места в доме. Если своё виртуальное пространство всё же приходится делить с близкими, чтобы не накалять обстановку, тогда как хотя бы защитить его? Как минимум от ненамеренных действий детей или взрослых людей, но полных новичков. Ниже рассмотрим 5 способов такой защиты, реализуемых в среде Windows 10. Итак…
При установке любой версии Windows всегда создаётся учётная запись администратора, а внутри неё уже можно формировать сколь угодно учётных записей типа «Стандартный пользователь». Именно посредством таких и нужно делить компьютер с неопытными домочадцами. В Windows 10 создать другим пользователям отдельную среду для работы с компьютером можно в приложении «Параметры», в разделе «Учётные записи».
Тогда как с учётной записи администратора с Windows можно делать практически всё – устанавливать и запускать какой угодно софт, вносить в систему свои настройки, удалять любые, даже некоторые системные файлы, с учётной записи стандартного пользователя эти действия будут блокироваться. Стандартный пользователь сможет работать с Интернетом и программами, запуск которых неограничен получением разрешения на запрос UAC.
Подробнее о создании учётных записей в среде Windows 10 читайте здесь.
Такой подход не решит всех проблем, которые порождает совместное использование технологий в доме, но как минимум снизит риск заражения компьютера вирусами. И в части случаев предотвратит сбой работы Windows. По всем вопросам запуска программ, требующих прав администратора, стандартному пользователю придётся обращаться к вам. И вы сможете контролировать действия того, кому доверили своё устройство.
Права стандартного пользователя в актуальной версии Windows 10 (обновлённой до Creators Update) можно ещё больше ограничить, запретив установку в систему десктопного ПО. В учётной записи администратора открываем приложение «Параметры» и проходим в раздел «Приложения». В первой вкладке раздела нам нужна функция «Установка приложений». В её выпадающем перечне выбираем опцию, разрешающую установку на компьютер только универсальных приложений из магазина Windows Store.
Для администратора это ограничение действовать не будет. А вот стандартный пользователь теперь не сможет установить в Windows ни одну десктопную программу. Как только он запустит инсталлятор, увидит такое вот сообщение.
В плане исследования новинок ему придётся довольствоваться только выбором контента из Windows Store. Ну или искать портативные программы, не требующие разрешения UAC.
Свести совсем уж к минимуму возможности стандартного пользователя можно, ограничив его работу только с одним универсальным приложением. Редакция Windows 10 Pro предусматривает доступ к одному из приложений только из числа универсальных. А вот в редакциях системы Enterprise и Education в качестве единственного окна доступа учётной записи можно назначать браузер или десктопную программу. Такое ограничение настраивается в разделе управления учётными записями внутри приложения «Параметры».
В настройках ограниченного доступа необходимо указать учётную запись стандартного пользователя и единственное доступное ему приложение.
Выход из учётной записи, работающей в режиме ограничения, осуществляется клавишами Ctrl+Alt+Del.
Примечание: друзья, в предыдущих версиях Windows существовал ещё один тип учётной записи — «Гость». Microsoft её специально предусмотрела для случаев временной работы встречных-поперечных пользователей, которым владелец компьютера вынужден давать его на время попользоваться, чтобы не прослыть скупердяем. В версии системы 10 этот тип учётной записи упразднён, но при желании её всё же можно организовать. Как это делается, читайте в этой статье.
Более гибкие настройки ограничения использования Интернета может предложить ПО типа «Родительский контроль», в том числе и штатный функционал Windows 10, который будет рассмотрен ниже. Пока же такое ПО в системе не настроено, от случая к случаю ограничивать стандартных пользователей в работе с Интернетом можно за счёт отключения сетевой карты или Wi-Fi адаптера и правки файла hosts. Включение/отключение сетевых устройств и замена редакции файла hosts требуют наличия прав администратора. Следовательно, стандартному пользователю без пароля администраторской учётной записи эти ограничения никак не удастся обойти.
Чтобы полностью отключить Интернет на компьютере, на значке сети в системном трее вызываем контекстное меню и отправляемся раздел сетевых настроек системы.
Переключаемся на раздел «Изменение параметров адаптера» и с помощью контекстного меню отключаем активность сетевой карты или Wi-Fi.
Включаем, соответственно, обратным способом.
Чтобы ограничить доступ только к отдельным интернет-сайтам, жмём клавиши Win+R, вводим:
%systemroot%system32driversetc
После нажатия «Ок» в системном проводнике обнаружим путь хранения файла hosts. Открываем его с помощью любого редактора TXT-файлов, например, штатного блокнота.
В самом низу файла вносим записи блокировки сайтов по типу:
127.0.0.1 домен_сайта
Домен указывается через пробел после цифровых значений, как показано на скриншоте. После чего сохраняем файл как текстовый в любом месте компьютера.
Включаем в проводнике отображение расширений файлов и переименовываем (клавиша F2) — убираем из имени «hosts.txt» расширение, то есть часть имени «.txt». Жмём Enter.
Теперь отправляемся по пути нахождения исходного файла hosts, удаляем его (или перемещаем куда-нибудь для хранения в качестве резервной копии), а на его место переносим только что отредактированный файл hosts с заблокированными сайтами. Для возврата настроек системы в исходное состояние либо возвращаем на место первую редакцию файла hosts, либо таким же образом правим текст существующей редакции и удаляем значения блокировки сайтов.
Каждое ПО, реализуемое в среде Windows функцию родительского контроля, имеет свои особенности. Возможности такой функции в составе Windows 10 позволяют гибко устанавливать и снимать ограничения для детских учётных записей, причём ещё и удалённо по Интернету — из веб-интерфейса учётной записи Microsoft. Правда, без Интернета управлять этой функцией нельзя. Применение к учётной записи родительского контроля позволит гибко ограничивать пользователя в действиях:
- Разрешать или запрещать доступ к определённому перечню сайтов;
- Запрещать покупку приложений из Windows Store;
- Разрешать доступ к компьютеру по графику;
- Блокировать запуск отдельного ПО (причём как универсальных приложений, так и десктопных программ);
- Отслеживать действия пользователя и т.п.
Для использования штатной функции родительского контроля и у родителя, и у ребёнка должны быть зарегистрированы учётные записи Microsoft. И, соответственно, с помощью последней должен быть выполнен вход в систему. В разделе управления семейными учётными записями добавляем нового члена семьи.
Указываем, что это ребёнок, вводим адрес электронной почты, к которой подвязана его учётная запись Microsoft.
Затем заходим в почтовый ящик ребёнка и по ссылке в письме от Microsoft подтверждаем его присоединение к семье. После этого в разделе «Семья» веб-интерфейса учётной записи Microsoft взрослого откроется доступ к настройкам родительского контроля ребёнка.
На этом сайте публиковалось множество инструкций на тему установки различных ограничений в Windows 10, 8.1 и Windows 7 — запрет запуска программ и выхода в Интернет, открытия отдельных сайтов, отключение некоторых встроенных системных утилит (см. Системные утилиты Windows, о которых многие не знают), ограничение времени работы за компьютером как средствами родительского контроля, так и другими встроенными инструментами.
Эта статья — подборка всех материалов на тему установки запретов и блокировок в Windows для различных целей. По мере появления новых руководств на эту же тему, она будет пополняться.
Ограничения использования компьютера, входа в систему и аналогичные
Сначала о способах установить ограничения, связанные со входом в Windows, временем работы и использования компьютера или ноутбука.
Несмотря на то, что некоторые статьи написаны для Windows 10, в предыдущих версиях ОС это тоже может работать):
Запреты запуска программ и системных утилит
Если вам нужно запретить использование определенных программ и утилит в Windows, вы можете сделать это, используя следующие методы (в случае, если ограничения устанавливаются для ребенка, можно использовать родительский контроль из предыдущего раздела):
- Как запретить запуск программы в Windows 10, 8.1 и Windows 7 — использование редактора реестра или редактора локальной групповой политики для ограничения запуска выбранных программ на компьютере.
- Блокировка запуска программ, приложений и системных утилит в бесплатной программе AskAdmin
- Запрет запуска программ и приложений не из магазина Windows 10 — способ разрешить запуск только встроенных программ ОС и приложений из Windows Srtore.
- Режим киоска Windows 10 — разрешение запуска только одной единственной выбранной программы для выбранного пользователя Windows
- Как отключить диспетчер задач Windows
Установка ограничений, связанных с доступом в Интернет
Существуют способы установить те или иные ограничения, связанные с доступом к сети и Интернету, которые вы можете использовать при необходимости:
- Как заблокировать доступ к сайту — ограничение открытия определенных сайтов с помощью встроенных средств Windows.
- Как заблокировать программе доступ в Интернет — встроенные средства и сторонние утилиты, позволяющие легко запретить выбранной программе получать и отправлять данные в Интернет.
Доступ к накопителям и другое
- Как включить шифрование системного диска BitLocker в Windows
- Как запретить подключение и использование USB флешки, диска, MTP и PTP устройств
Кажется, это всё, что на настоящий момент было написано на тему ограничений в Windows, но что-то я мог упустить: если вас интересует какой-то запрет, не приведенный в списке выше, используйте поиск по сайту, есть большая вероятность, что требуемая инструкция найдется. А можете просто задать вопрос в комментариях — я постараюсь подсказать решение.
В своей работе мне довольно часто приходится создавать учетные записи, предназначенные для каких либо технических задач (запуск скриптов, отправка почтовых уведомлений и т.п.). Поскольку эти учетные записи не предназначены для обычной работы, то, в целях безопасности, они не должны иметь возможность входа на сервер.
Запретить вход в систему для определенных учетных записей можно с помощью групповых политик. Для этого откроем оснастку управления групповыми политиками и создадим новый GPO.
Затем откроем созданный GPO для редактирования и перейдем в раздел Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment. Здесь нас интересуют два параметра:
Deny log on locally — запрет на локальный (интерактивный) вход в систему;
Deny log on through Remote Desktop Services — запрет на вход по RDP.
Для активации политики необходимо включить (define) ее и указать пользователей или группы, для которых необходимо запретить вход. Использовать группы более удобно, чем добавлять пользователей по одному, поэтому я создал группу DenyInteractiveLogon, которую и добавлю в данные политики.
В результате должна получиться такая картина.
Политика готова, надо проверить ее действие. Для этого в оснастке ADUC находим группу DenyInteractiveLogon, добавляем в нее специально созданную сервисную учетку service_user
и безуспешно пытаемся войти на компьютер под этим пользователем. При любой попытке входа (локально или по RDP) выдается сообщение об ошибке.
В заключение пара важных моментов, о которых надо помнить при использовании запретов:
• Политика предназначена для компьютеров, поэтому назначать ее надо на подразделения, в которых находятся компьютеры, а не пользователи. В принципе можно особо не заморачиваться и назначить политику на весь домен, все равно запрет будет действовать только на указанные в политике группы;
• Данная политика довольно опасна в неумелых руках. К примеру, если указать в ней группу Domain Users, то никто из доменных пользователей не сможет войти на свой компьютер, а если добавить группу Everyone, то запрет подействует на все без исключения учетные записи. Поэтому, выбирая объекты для запрета будьте внимательны, чтобы не запретить вход обычным пользователям;
• По возможности для технических целей старайтесь использовать управляемые учетные записи служб (managed service accounts), они более безопасны в использовании.
На чтение 4 мин. Просмотров 881 Опубликовано 30.04.2021
Хотя идея, что несколько пользователей используют одно устройство или один компьютер, становится все реже с каждым днем, все еще бывают случаи, когда вам приходится совместно использовать ПК. В такой ситуации полезно иметь несколько учетных записей пользователей на одном ПК. В Windows 10 можно запретить определенным учетным записям пользователей или членам группы входить в операционную систему локально.
В современных версиях Windows у вас обычно есть несколько системных учетных записей для различных служб и внутренних задач Windows. , плюс скрытая учетная запись администратора и ваша личная учетная запись. Если вам нужно поделиться своим компьютером с членами семьи или другими людьми, рекомендуется создать отдельную учетную запись для каждого человека. Это повышает безопасность и конфиденциальность ОС и позволяет сохранить конфиденциальность ваших конфиденциальных данных и персонализировать настройки по вашему вкусу.
По умолчанию обычные учетные записи пользователей, созданные в Windows 10, настроены для локального входа. При запуске Windows 10 отображается экран входа в систему и предлагается ввести пароль. Если у вас есть несколько учетных записей пользователей в вашей ОС, вы сможете щелкнуть изображение пользователя нужной учетной записи, а затем ввести пароль учетной записи.
Примечание. Определенные учетные записи пользователей могут быть скрыты с экрана входа в систему. В Windows 10 можно настроить запрос имени пользователя и пароля.
Можно полностью запретить пользователям или группе локальный вход в систему. Существует политика безопасности, которая определяет, каким пользователям запрещается входить в систему непосредственно с консоли устройства. Вот как это сделать.
Предупреждение: если вы примените этот параметр политики к группе «Все», никто не сможет войти в систему локально.
Если вы используете Windows 10 Pro, Enterprise или Education, вы можете использовать приложение Local Security Policy, чтобы запретить пользователю или группе локальный вход в систему. Все выпуски Windows 10 могут использовать альтернативный метод, упомянутый ниже.
Содержание
- Чтобы запретить вход в систему пользователю или группе для локального входа в Windows 10,
- Инструмент ntrights
- Запретить локальный вход с ntrights
Чтобы запретить вход в систему пользователю или группе для локального входа в Windows 10,
- Нажмите вместе клавиши Win + R на клавиатуре и введите:
secpol.msc
Нажмите Enter.
- Откроется локальная политика безопасности. Перейдите в Локальные политики пользователя -> Назначение прав пользователя .
- Справа дважды щелкните политику Запретить вход локально , чтобы изменить ее.
- В следующем диалоговом окне нажмите Добавить пользователя или группу .
- Нажмите кнопку Дополнительно .
- Теперь нажмите кнопку Типы объектов .
- Убедитесь, что у вас отмечены элементы Пользователи и Группы , и нажмите кнопку ОК ..
- Нажмите кнопку Найти сейчас .
- В списке выберите учетную запись пользователя или группу, чтобы запретить локальный вход для нее. Вы можете выбрать более одной записи одновременно, удерживая клавиши Shift или Ctrl и щелкая элементы в списке.
- Нажмите кнопку ОК , чтобы добавить выбранные элементы в поле «Имена объектов».
- Нажмите кнопку ОК , чтобы добавить выбранные элементы в список политик.
- Чтобы удалить любую добавленную запись, используйте кнопку Удалить в диалоговом окне политики.
Все готово.
Если ваша версия Windows не включает secpol.msc , вы можете использовать инструмент ntrights.exe из Windows 2003 Resource Kit. Многие инструменты из набора ресурсов, выпущенные для предыдущих версий Windows, будут успешно работать в Windows 10. Одним из них является ntrights.exe.
Инструмент ntrights
Инструмент ntrights позволяет вам для редактирования привилегий учетной записи пользователя из командной строки. Это консольный инструмент со следующим синтаксисом.
- Предоставьте право:
ntrights + r Right -u UserOrGroup [-m Computer] [-e Запись]
- Отмена права:
ntrights -r Right -u UserOrGroup [-m Computer] [-e Entry]
Инструмент поддерживает множество привилегий, которые могут быть назначены или отозваны для учетной записи пользователя или группы. Права доступа чувствительны к регистру . Чтобы узнать больше о поддерживаемых привилегиях, введите ntrights/?
.
, прочтите этот пост: Что такое приложение ntrights и как его использовать. Вы можете поместить файл ntrights.exe в папку C: Windows System32, чтобы быстро вызвать его.
Запретить локальный вход с ntrights
- Откройте командную строку с повышенными привилегиями.
- Введите следующую команду, чтобы запретить локальный вход в систему:
ntrights -u SomeUserName + r SeDenyInteractiveLogonRight
Замените часть SomeUserName фактическим именем пользователя или именем группы. Указанный пользователь не сможет локально подписаться в Windows 10.
- Чтобы отменить изменить и разрешить пользователю входить локально, выполните
ntrights -u SomeUserName -r SeDenyInteractiveLogonRight