Acessar este computador na configuração de política de segurança - rede
Aplicável a
- Windows 10, Azure Stack HCI, Windows Server 2022, Windows Server 2019, Windows Server 2016
Descreve as melhores práticas, localização, valores, gerenciamento de políticas e considerações de segurança para o Access neste computador na configuração de política de segurança de rede.
Aviso
Se estiver executando o Windows Server ou o Clustering de Failover do Azure Stack HCI, não remova Usuários Autenticados do Access deste computador da configuração de política de rede. Isso pode induzir uma interrupção inesperada de produção. Isso ocorre devido à conta de usuário local CCOMPARTILHAMENTOR que é usada para executar o serviço de cluster. O CCOMPARTILHAMENTOR não é membro do grupo Local de Administradores e, se o grupo Usuários Autenticados for removido, o serviço de cluster não terá direitos suficientes para funcionar ou iniciar corretamente.
Referência
O access this computer da configuração de política de rede determina quais usuários podem se conectar ao dispositivo da rede. Essa funcionalidade é exigida por muitos protocolos de rede, incluindo protocolos baseados em SMB (Server Message Block), NetBIOS, CIFS (Common Internet File System) e COMPONENT Object Model Plus (COM+).
Usuários, dispositivos e contas de serviço obtêm ou **** perdem o direito de acessar este computador do usuário de rede, sendo adicionados ou removidos explicitamente ou implicitamente de um grupo de segurança que recebeu esse direito de usuário. Por exemplo, uma conta de usuário ou uma conta de computador pode ser adicionada explicitamente a um grupo de segurança personalizado ou a um grupo de segurança interno, ou pode ser implicitamente adicionada pelo Windows a um grupo de segurança computado, como Usuários de Domínio, Usuários Autenticados ou Controladores de Domínio Empresarial. Por padrão, as contas de usuário e as contas de computador **** recebem o access this computer do usuário de rede diretamente quando grupos computados, como Usuários Autenticados, e para controladores de domínio, o grupo Controladores de Domínio Empresarial, são definidos nos controladores de domínio padrão Política de Grupo Object (GPO).
Constante: SeNetworkLogonRight
Valores possíveis
- Lista de contas definida pelo usuário
- Não definido
Práticas recomendadas
- Em dispositivos desktop ou servidores membros, conceda esse direito somente a usuários e administradores.
- Em controladores de domínio, conceda esse direito somente a usuários autenticados, controladores de domínio empresarial e administradores.
- Em clusters de failover, verifique se esse direito foi concedido a usuários autenticados.
- Essa configuração inclui o grupo Todos para garantir a compatibilidade com versões anteriores. Após a atualização do Windows, depois de verificar se todos os usuários e grupos foram migrados corretamente, você deve remover o grupo **** Todos e usar o grupo **** Usuários Autenticados.
Location
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
A tabela a seguir lista os valores de política padrão reais e efetivos para as versões com suporte mais recentes do Windows. Os valores padrão também são listados na página de propriedades da política.
| Tipo de servidor de GPO | Valor padrão |
|---|---|
| Política de domínio padrão | Não definido |
| Política de controlador de domínio padrão | Todos, administradores, usuários autenticados, controladores de domínio empresarial, acesso compatível pré-Windows 2000 |
| Configurações padrão do servidor autônomo | Todos, administradores, usuários, operadores de backup |
| Configurações padrão efetivas do controlador de domínio | Todos, administradores, usuários autenticados, controladores de domínio empresarial, acesso compatível pré-Windows 2000 |
| Configurações padrão efetivas do servidor membro | Todos, administradores, usuários, operadores de backup |
| Configurações padrão efetivas do computador cliente | Todos, administradores, usuários, operadores de backup |
Gerenciamento de políticas
Quando você modifica esse direito de usuário, as seguintes ações podem fazer com que os usuários e serviços experimentem problemas de acesso à rede:
- Removendo o grupo de segurança controladores de domínio empresarial
- Removendo o grupo Usuários Autenticados ou um grupo explícito que permite aos usuários, computadores e contas de serviço o direito do usuário de se conectar a computadores pela rede
- Removendo todas as contas de usuário e computador
Uma reinicialização do dispositivo não é necessária para que essa configuração de política seja eficaz.
Qualquer alteração na atribuição de direitos de usuário para uma conta entra em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
As configurações são aplicadas na seguinte ordem por meio de um GPO (objeto Política de Grupo), que substituirá as configurações no computador local na próxima Política de Grupo atualização:
- Configurações de política local
- Configurações de política de site
- Configurações de política de domínio
- Configurações de política de UO
Quando uma configuração local está esmaeada, indica que um GPO atualmente controla essa configuração.
Considerações de segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.
Vulnerabilidade
Os usuários que podem se conectar de seu dispositivo à rede podem acessar recursos em dispositivos de destino para os quais têm permissão. Por exemplo, o acesso a este computador do direito de usuário de rede é necessário para que os usuários se conectem a impressoras e pastas compartilhadas. Se esse direito de usuário for atribuído ao grupo Todos , qualquer pessoa no grupo poderá ler os arquivos nessas pastas compartilhadas. Essa situação é improvável porque os grupos criados por uma instalação padrão do Windows Server 2008 R2 ou Windows 7 não incluem o grupo Todos . No entanto, se um dispositivo for atualizado e o dispositivo original incluir o grupo **** Todos como parte de seus usuários e grupos definidos, esse grupo será transferido como parte do processo de atualização e estará presente no dispositivo.
Contramedida
Restrinja o acesso a este computador do direito de usuário de rede somente aos usuários e grupos que exigem acesso ao computador. Por exemplo, se você definir essa configuração de política para os grupos **** Administradores e Usuários, os usuários que entrarem no domínio poderão acessar recursos compartilhados de servidores no domínio se os membros do **** grupo Usuários do Domínio estiverem incluídos no grupo usuários locais.
Nota Se você estiver usando o IPsec para ajudar a proteger as comunicações de rede em sua organização, verifique se um grupo que inclui contas de computador recebe esse direito. Esse direito é necessário para autenticação bem-sucedida do computador. Atribuir esse direito a usuários autenticados ou computadores de domínio atende a esse requisito.
Impacto potencial
Se você remover o Access deste computador do usuário de rede diretamente nos controladores de domínio para todos os usuários, ninguém poderá entrar no domínio ou usar recursos de rede. Se você remover esse usuário diretamente nos servidores membros, os usuários não poderão se conectar a esses servidores por meio da rede. Se você tiver instalado componentes opcionais, como o ASP.NET ou o IIS (Serviços de Informações da Internet), talvez seja necessário atribuir esse direito de usuário a outras contas exigidas por esses componentes. É importante verificar se os usuários autorizados recebem esse direito de usuário para os dispositivos necessários para acessar a rede.
Se estiver executando o Windows Server ou o Clustering de Failover do Azure Stack HCI, não remova Usuários Autenticados do Access deste computador da configuração de política de rede. Isso pode induzir uma interrupção inesperada de produção. Essa interrupção ocorre devido à conta de usuário local CCOMPARTILHAMENTOR que é usada para executar o serviço de cluster. O CANCHOR não é membro do grupo Local de Administradores e, se o grupo Usuários Autenticados for removido, o serviço de cluster não terá direitos suficientes para funcionar ou iniciar corretamente.
Tópicos relacionados
Comentários
Submeter e ver comentários