какой настройкой определяется возможность пользователя интерактивно входить на рабочую станцию
Как дать полномочия на интерактивный вход в систему под учеткой юзера
Запуск программ под учеткой юзера
Собственно такой вопрос, есть много учеток юзеров, есть одна админская учетка. Есть программа.
Интерактивный вход систему запрещен локальной политикой
Проблема такая машина была не в домене ввели в домен потом обратно вывели и теперь локально не могу.
Есть ли способ узнать под какой учеткой вошел пользователь в систему
Подскажите пожалуйста есть ли способ узнать под какой учеткой вошел пользователь в систему при.
постоянная установка MS Office при входе в систему не под Админской учеткой.
Доброе время суток, уважаемые форумчане. У меня есть такая проблема. При входе в ОС Windows XP под.
Автоматический вход в систему под определенным пользователем
Доброго времени суток. Такой вопрос: возможно ли на Win Serv 2008 R2 сделать так, чтобы при.
Вход в систему под пользователем по умолчанию и автозагрузка
Добрый день! Имеется компьютер с вистой, на котором крутится простая задачка, даже страница сайта.
Как авторизоваться под доменной учеткой в Windows Server 2008?
Добрый день коллеги! Появилась не обходимость в офисе превести половину машин на на бесплатное ПО.
Как узнать, кто работал в заданное время и под какой учеткой
Помогите пжлста советом. Ситуация такая, файл был скачан с такой-то машины в таком-то кабинете и.
Запрещаем вход в систему для технических аккаунтов
В своей работе мне довольно часто приходится создавать учетные записи, предназначенные для каких либо технических задач (запуск скриптов, отправка почтовых уведомлений и т.п.). Поскольку эти учетные записи не предназначены для обычной работы, то, в целях безопасности, они не должны иметь возможность входа на сервер.
Запретить вход в систему для определенных учетных записей можно с помощью групповых политик. Для этого откроем оснастку управления групповыми политиками и создадим новый GPO.
Затем откроем созданный GPO для редактирования и перейдем в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment. Здесь нас интересуют два параметра:
Deny log on locally — запрет на локальный (интерактивный) вход в систему;
Deny log on through Remote Desktop Services — запрет на вход по RDP.
Для активации политики необходимо включить (define) ее и указать пользователей или группы, для которых необходимо запретить вход. Использовать группы более удобно, чем добавлять пользователей по одному, поэтому я создал группу DenyInteractiveLogon, которую и добавлю в данные политики.
В результате должна получиться такая картина.
Политика готова, надо проверить ее действие. Для этого в оснастке ADUC находим группу DenyInteractiveLogon, добавляем в нее специально созданную сервисную учетку service_user
и безуспешно пытаемся войти на компьютер под этим пользователем. При любой попытке входа (локально или по RDP) выдается сообщение об ошибке.
В заключение пара важных моментов, о которых надо помнить при использовании запретов:
• Политика предназначена для компьютеров, поэтому назначать ее надо на подразделения, в которых находятся компьютеры, а не пользователи. В принципе можно особо не заморачиваться и назначить политику на весь домен, все равно запрет будет действовать только на указанные в политике группы;
• Данная политика довольно опасна в неумелых руках. К примеру, если указать в ней группу Domain Users, то никто из доменных пользователей не сможет войти на свой компьютер, а если добавить группу Everyone, то запрет подействует на все без исключения учетные записи. Поэтому, выбирая объекты для запрета будьте внимательны, чтобы не запретить вход обычным пользователям;
• По возможности для технических целей старайтесь использовать управляемые учетные записи служб (managed service accounts), они более безопасны в использовании.
Блог Event Log Explorer
В описаниях некоторых событий журнала безопасности, связанных с сессиями входа в системы (например, 4624 и 4625) присутствует параметр Тип входа (Logon type), но его описание слишком короткое:
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В статье https://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx (Audit Logon Events) приводится более детальное описание этого параметра. Эта статья на сайте Microsoft описывает аудит событий входа для старых систем, до Windows Vista. Но константы Типа входа актуальны и для более новых операционных систем Windows.
Так что сейчас мы рассмотри описания от Microsoft и прокомментируем их.
Тип входа 2: Интерактивный. Пользователь непосредственно вошел на этот компьютер.
Событие с типом входа = 2 записывается в журнал безопасности когда пользователь вошел или попытался войти в систему непосредственно локально, используя клавиатуру и введя имя пользователя и пароль в окне входа в систему. Событие с типом входа = 2 возникает при использовании как локальной так и доменной учетной записи.
Если пользователь входит с доменной учетной записью, событие с типом входа = 2 появится если пользователь будет действительно аутентифицирован в домене (контроллером домена)
В случае, если контроллер домена недоступен, но пользователь предоставил валидный пароль, закэшированный в локальном компьютере, Windows поставит тип входа = 11.
Тип входа 3: Сетевой. Пользователь по сети подключился к этому компьютеру и авторизовался на нем.
Тип входа 4: Пакетный.
Этот тип входа используется при выполнении пакетных заданий без непосредственного участия пользователя. Например, когда запускается задание планировщика. Когда используется планировщик Windows и приходит время запустить задание, Windows может создать новую пользовательскую сессию, чтобы выполнить задание от имени пользователя. При этом регистрируются события (4648, 4624/4625).
Если запланированное задание сконфигурировано так, что не должно запускаться без интерактивного сеанса пользователя, то новая сессия не создается и события не регистрируются.
Тип входа 5: Служба. Service Control Manager запустил службу (service).
Такое событие возникает когда Windows запускает службу от имени пользователя. Windows создает новую сессию для запуска такой службы. Так происходит только, если служба использует обычную учетную запись. Если используется специальная учетная запись, например, “Local System”, “NT AUTHORITY\LocalService” или “NT AUTHORITY\NetworkService”, то Windows не создает новых сессий. Когда сервис остановится, новая сессия будет закрыта и будет зарегистрировано событие выхода (4634). Имейте ввиду, что описание события не содержит информации о запускаемом сервисе или процессе. Когда регистрируется событие Аудит отказа (4625) с типом входа = 5, это обычно означает что пароль учетной записи для запуска сервиса был изменен пользователем и следует обновить пераметры учетной записи для запуска службы в настройках того приложения, чья служба запускается.
Тип входа 7: разблокирование. Рабочая станция разблокирована.
Событие с типом входа = 7 происходит когда пользователь разблокировывает (или пытается это сделать) ранее заблокированный компьютер. Имейте ввиду, что когда пользователь разблокировывает компьютер, Windows создает новую сессию (или даже 2 сессии в зависимости от полномочий пользователя) и сразу же их завершает, после прохождения аутентификации (событие 4634).
При переключении между учетными записями уже осуществившими вход в систему с помощью функции быстрого переключения учетной записи (Fast User Switching), Windows создает событие 4624 с типом входа = 2 (интерактивный).
Когда регистрируется событие отказа 4625 с типом входа = 7, это обычно означает что вы ошиблись при вводе пароля или кто-то пытался подобрать пароль, чтобы разблокировать компьютер.
Тип входа 8: NetworkCleartext. Пользователь вошел на данный компьютер через сеть. Пароль пользователя передан в пакет проверки подлинности в его нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.
Это событие возникает, если пароль пользователя был получен по сети открытым текстом. Такое событие может произойти когда пользователь входит в IIS (Internet Information Services) с базовым методом аутентификации.
Передача паролей в формате открытого текста опасна потому что пароли могут быть перехвачены и раскрыты. Если нет возможности использовать более надежную аутентификацию, то стоит хотя бы защитить сетевое соединение (используя зашифрованные протоколы типа SSL/TLS, создав защищенную виртуальную частную сеть и т.д.).
Тип входа 9: NewCredentials. Посетитель клонировал свой текущий маркер и указал новые учетные записи для исходящих соединений. Новый сеанс входа в систему имеет ту же самую локальную тождественность, но использует отличающиеся учетные записи для сетевых соединений.
Тип входа 10: RemoteInteractive. Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.
Этот тип входа похож на 2 (интерактивный), но пользователь подключаетс к компьютеру с удаленного компьютера через RDP, используя Удаленный рабочий стол (Remote Desktop), сервисы терминального доступа (Terminal Services) или Удаленный помощник (Remote Assistance).
Тип входа 11: CachedInteractive. Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.
Когда пользователь входит в домен, Windows кэширует учетные данные пользователя локально, так что он позже может войти даже если контроллер домена будет недоступен. По умолчанию, Windows кэширует 10-25 последних использованных доменных учетных записей (это зависит от версии Windows). Когда пользователь пытается войти с доменной учетной записью, а контроллер домена не доступен, Windows проверяет учетные данные по сохраненным хэшам и регистрирует события 4624 или 4625 с типом входа = 11.
Безопасность при работе в сети
Вход в систему
Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой.
Типы процессов входа в систему
При использовании Windows 2000 в качестве операционной системы сервера, Windows XP Professional использует четыре типа процессов входа.
При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе.
Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer.myorganization.com.
Интерактивный вход
Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит «за кулисами». В процессе входа задействованы следующие компоненты.
Запуск от имени
Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.
Запуск от имени позволяет запускать:
Для запуска Run As проделайте следующие шаги.
Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС.
Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера.
Относится к:
Описывает лучшие практики, расположение, значения, управление политикой и соображения безопасности для интерактивного логотипа: требуется проверка подлинности контроллера домена для разблокировки параметра политики безопасности рабочих станций.
Справочники
Для разблокировки заблокированного устройства требуется информация о логотипе. Для учетных записей домена интерактивный логотип: проверка подлинности контроллера домена для разблокировки параметра политики рабочих станций определяет, необходимо ли обращаться к контроллеру домена для разблокировки устройства. Включение этого параметра политики требует от контроллера домена проверки подлинности учетной записи домена, используемой для разблокировки устройства. Отключение этого параметра политики позволяет пользователю разблокировать устройство без проверки сведений о логотипе с контроллером домена. Однако если значение Interactive logon: Количество предыдущих логонов в кэш (в случае, если контроллер домена не доступен) задает значение больше нуля, кэшные учетные данные пользователя будут использоваться для разблокировки системы.
Устройство кэшируется (локально в памяти) учетные данные всех пользователей, которые были аутентификацией. Устройство использует эти кэшные учетные данные для проверки подлинности всех, кто пытается разблокировать консоль.
При кэширования учетных данных после этого процесса проверки подлинности не учитываются и не применяются любые изменения, недавно внесенные в учетную запись (например, назначения прав пользователей, блокировка учетной записи или отключенная учетная запись). Это означает не только то, что права пользователей не обновляются, но и еще важнее, что отключенные учетные записи по-прежнему могут разблокировать консоль системы.
Рекомендуется установить интерактивный логотип: требуется проверка подлинности контроллера домена для разблокировки рабочей станции для включения и набора логотипа Interactive: число предыдущих логонов в кэш (в случае, если контроллер домена не доступен) до 0. Если консоль устройства заблокирована пользователем или автоматически отключает время сохранения экрана, консоль может быть разблокирована только в том случае, если пользователь сможет повторно проверить подлинность контроллера домена. Если контроллер домена не доступен, пользователи не могут разблокировать свои устройства.
Возможные значения
Рекомендации
Местонахождение
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Отключено |
| Dc Effective Default Параметры | Отключено |
| Действующие параметры по умолчанию для рядового сервера | Отключено |
| Действующие параметры по умолчанию для клиентского компьютера | Отключено |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.
Соображения конфликта политики
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповой политикой (GPMC), которая будет распространяться через объекты групповой политики (GPOs). Если эта политика не содержится в распределенной GPO, эту политику можно настроить на локальном компьютере с помощью привязки к локальной политике безопасности.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
По умолчанию устройство локализовывало в памяти учетные данные всех пользователей, которые имеют проверку подлинности. Устройство использует эти кэшные учетные данные для проверки подлинности всех, кто пытается разблокировать консоль. При применении кэшированных учетных данных любые изменения, недавно внесенные в учетную запись, такие как назначения прав пользователей, блокировка учетной записи или отключенная учетная запись, не рассматриваются и не применяются после проверки подлинности учетной записи. Пользовательские привилегии не обновляются, а отключенные учетные записи по-прежнему могут разблокировать консоль устройства
Противодействие
Настройка интерактивного логотипа: требуется проверка подлинности контроллера домена, чтобы разблокировать параметр рабочей станции для включения и настройки интерактивного логотипа: количество предыдущих логонов в кэш (в случае, если контроллер домена не доступен) параметр 0.
Возможное влияние
Если консоль на устройстве заблокирована пользователем или автоматически отключает время сохранения экрана, консоль может быть разблокирована только в том случае, если пользователь может повторно проверить подлинность контроллера домена. Если контроллер домена не доступен, пользователи не могут разблокировать рабочие станции. Если настроить интерактивный логотип: количество предыдущих логонов в кэш (в случае, если контроллер домена недоступен) до 0, пользователи, чьи контроллеры домена недоступны (например, мобильные или удаленные пользователи), не могут войти в систему.