摘要:
安全策略设置、网络访问共享和本地帐户安全模型方面的最佳做法、安全注意事项等。... 本文内容
适用范围
介绍网络访问的最佳做法、位置、值、策略管理和安全注意事项 :本地帐户安全策略设置的共享和安全模型 。
参考
此策略设置确定如何对使用本地帐户的网络登录进行身份验证。 如果将此策略设置配置为“经典”,则使用本地帐户凭据的网络登录会使用这些凭据进行身份验证。 如果将此策略设置配置为“仅来宾”,则使用本地帐户的网络登录会自动映射到来宾帐户。 经典模型提供对资源访问权限的精确控制,使你能够针对同一资源向不同用户授予不同类型的访问权限。 相反,“仅来宾”模型平等对待所有用户,并且他们都会获得对给定资源(可以是只读资源)的相同级别访问权限。
注意: 此策略设置不会影响使用域帐户的网络登录。 此策略设置也不会影响通过 Telnet 或远程桌面服务等服务远程执行的交互式登录。当设备未加入域时,此策略设置还会定制 Windows 资源管理器中的“共享和安全”选项卡,以对应于正在使用的共享和安全模型。
如果此策略设置的值为 “仅来宾 - 本地用户”,则可以通过网络访问你的设备的任何用户都以来宾用户权限进行身份验证。 此权限意味着他们可能无法写入共享文件夹。 尽管此限制确实提高了安全性,但授权用户无法访问这些系统上的共享资源。 如果值为 Classic - 本地用户本身进行身份验证,则本地帐户必须受密码保护;否则,任何人都可以使用这些用户帐户来访问共享的系统资源。
可能值最佳做法对于网络服务器,将此策略设置为 “经典 - 本地用户”作为自身进行身份验证。在最终用户系统上,将此策略设置为 “仅来宾 - 本地用户身份验证为来宾”。位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。
服务器类型或 GPO默认值
默认域策略
未定义
默认域控制器策略
未定义
独立服务器默认设置
经典 (本地用户以自身身份进行身份验证)
DC 有效默认设置
经典 (本地用户以自身身份进行身份验证)
成员服务器有效默认设置
经典 (本地用户以自身身份进行身份验证)
客户端计算机有效默认设置
经典 (本地用户以自身身份进行身份验证)
策略管理
本部分介绍了可用于帮助管理此策略的功能和工具。
重启要求
无。 当在本地保存或通过组策略分发对此策略进行的更改时,这些更改无需重启设备即可立即生效。
组策略
可以通过使用要通过组策略对象 (GPO) 分发的组策略管理控制台 (GPMC) 来配置此策略设置。 如果分布式 GPO 中未包含此策略,则可以使用本地安全策略管理单元在本地计算机上配置此策略。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
使用“仅来宾”模型时,任何可以通过网络向设备进行身份验证的用户都使用来宾权限执行此操作,这可能意味着他们对该设备上的共享资源没有写入访问权限。 尽管此限制确实提高了安全性,但授权用户更难访问这些计算机上的共享资源,因为这些资源的 ACL 必须包含访问控制条目 (ACE) 来宾帐户。 使用经典模型时,本地帐户应受密码保护。 否则,如果启用了来宾访问,任何人都可以使用这些用户帐户来访问共享的系统资源。
对策
对于网络服务器,请配置“网络访问:本地帐户的共享和安全模型”设置为“经典 – 本地用户以自己身份进行身份验证”。 在最终用户计算机上,将此策略设置配置为 “仅来宾 – 本地用户以来宾身份进行身份验证”。
潜在影响
无。 此无影响状态是默认配置。
相关主题
