Приложение З. Защита учетных записей и групп локальных администраторов

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение З. Защита учетных записей и групп локальных администраторов

Во всех версиях Windows в настоящее время в основной поддержке локальная учетная запись Администратор istrator отключена по умолчанию, что делает учетную запись непригодной для атак сквозного хэша и других атак кражи учетных данных. Однако в средах, содержащих устаревшие операционные системы или в которых включены локальные учетные записи Администратор istrator, эти учетные записи можно использовать, как описано ранее для распространения компрометации между серверами-членами и рабочими станциями. Каждая локальная учетная запись Администратор istrator и группа должны быть защищены, как описано в пошаговые инструкции, приведенные ниже.

Подробные сведения о защите встроенных групп Администратор istrator (BA) см. в разделе "Реализация наименее привилегированных моделей Администратор istrative Models".

Элементы управления для локальных учетных записей Администратор istrator

Для локальной учетной записи Администратор istrator в каждом домене в лесу необходимо настроить следующие параметры:

  • Настройка объектов групповой политики для ограничения использования учетной записи Администратор istrator домена в системах, присоединенных к домену

    • В одном или нескольких объектах групповой политики, которые вы создаете и связываетесь с подразделениями рабочих станций и серверов-членов в каждом домене, добавьте учетную запись Параметры Параметры Администратор istrator в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Назначения прав пользователя":

      • Отказ в доступе к компьютеру из сети

      • Отказ во входе в качестве пакетного задания

      • Отказать во входе в качестве службы

      • Запретить вход в систему через службу удаленных рабочих столов

Пошаговые инструкции по защите локальных групп Администратор istrator

Настройка объектов групповой политики для ограничения учетной записи Администратор istrator в системах, присоединенных к домену

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

  2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. В диалоговом окне "Создать объект групповой политики" введите< имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

  6. Перейдите к разделу "Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики" и щелкните "Назначение прав пользователя".

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. Настройте права пользователя, чтобы предотвратить доступ к серверам членов и рабочим станциям локальной Администратор istrator, выполнив следующие действия:

    1. Дважды щелкните "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа", введите имя пользователя локальной учетной записи Администратор istrator и нажмите кнопку "ОК". Это имя пользователя будет Администратор istrator по умолчанию при установке Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. Щелкните OK.

      Внимание

      При добавлении учетной записи Администратор istrator в эти параметры необходимо указать, настраивается ли локальная учетная запись Администратор istrator или учетная запись Администратор istrator домена, используя метку учетных записей. Например, чтобы добавить учетную запись Администратор istrator домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи Администратор istrator для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Администратор istrator. Если вы вводите Администратор istrator в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите локальную учетную запись Администратор istrator на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

  8. Настройте права пользователя, чтобы предотвратить вход локальной учетной записи Администратор istrator в качестве пакетного задания, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа", введите имя пользователя локальной учетной записи Администратор istrator и нажмите кнопку "ОК". Это имя пользователя будет Администратор istrator по умолчанию при установке Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. Щелкните OK.

      Внимание

      При добавлении учетной записи Администратор istrator в эти параметры вы указываете, настраивается ли локальная учетная запись Администратор istrator или учетная запись Администратор istrator домена с помощью метки учетных записей. Например, чтобы добавить учетную запись Администратор istrator домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи Администратор istrator для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Администратор istrator. Если вы вводите Администратор istrator в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите локальную учетную запись Администратор istrator на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

  9. Настройте права пользователя, чтобы предотвратить вход в локальную учетную запись Администратор istrator в качестве службы, выполнив следующие действия.

    1. Дважды щелкните "Запретить вход в качестве службы " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа", введите имя пользователя локальной учетной записи Администратор istrator и нажмите кнопку "ОК". Это имя пользователя будет Администратор istrator по умолчанию при установке Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. Щелкните OK.

      Внимание

      При добавлении учетной записи Администратор istrator в эти параметры вы указываете, настраивается ли локальная учетная запись Администратор istrator или учетная запись Администратор istrator домена с помощью метки учетных записей. Например, чтобы добавить учетную запись Администратор istrator домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи Администратор istrator для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Администратор istrator. Если вы вводите Администратор istrator в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите локальную учетную запись Администратор istrator на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

  10. Настройте права пользователя, чтобы предотвратить доступ к серверам-членам и рабочим станциям локальной учетной записи Администратор istrator с помощью служб удаленных рабочих столов, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа", введите имя пользователя локальной учетной записи Администратор istrator и нажмите кнопку "ОК". Это имя пользователя будет Администратор istrator по умолчанию при установке Windows.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. Щелкните OK.

      Внимание

      При добавлении учетной записи Администратор istrator в эти параметры вы указываете, настраивается ли локальная учетная запись Администратор istrator или учетная запись Администратор istrator домена с помощью метки учетных записей. Например, чтобы добавить учетную запись Администратор istrator домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи Администратор istrator для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Администратор istrator. Если вы вводите Администратор istrator в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите локальную учетную запись Администратор istrator на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

  11. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

  12. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочих станций, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект групповой политики, и щелкните ссылку на существующий объект групповой политики.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. Выберите созданный объект групповой политики и нажмите кнопку "ОК".

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

Этапы проверки

Убедитесь, что Параметры групповой политики запретить доступ к этому компьютеру из сети

На любом сервере-члене или рабочей станции, не затронутых изменениями групповой политики (например, сервером перехода), попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE .

  1. Войдите локально на любой сервер-член или рабочую станцию, не затронутые изменениями групповой политики.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите командную строку правой кнопкой мыши и нажмите кнопку "Запустить от имени администратора", чтобы открыть командную строку с повышенными привилегиями.

  4. Когда появится запрос на утверждение повышения прав, нажмите кнопку "Да".

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. В окне командной строки введите net use \\<Server Name>\c$ /user:<Server Name>\Administrator<имя сервера-члена> или рабочей станции, к которой вы пытаетесь получить доступ через сеть.

    Примечание.

    Учетные данные локального Администратор istrator должны находиться в той же системе, к которую вы пытаетесь получить доступ через сеть.

  6. На следующем снимка экрана показано сообщение об ошибке, которое должно появиться.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

Проверка "Запрет входа в качестве пакетного задания" Параметры групповой политики

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите блокнот и щелкните Блокнот.

  3. В Блокнот введите dir c:.

  4. Нажмите кнопку " Файл" и нажмите кнопку "Сохранить как".

  5. В поле "Имя файла" введите <Filename>.bat (где <имя файла> — имя нового пакетного файла).

Планирование задачи

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите планировщик задач и нажмите кнопку "Планировщик задач".

    Примечание.

    На компьютерах под управлением Windows 8 в поле поиска введите задачи расписания и щелкните "Расписание задач".

  3. Нажмите кнопку " Действие" и нажмите кнопку "Создать задачу".

  4. В диалоговом окне "Создание задачи" введите< имя> задачи (где <имя> задачи — имя новой задачи).

  5. Перейдите на вкладку "Действия " и нажмите кнопку "Создать".

  6. В поле "Действие" нажмите кнопку "Пуск программы".

  7. В поле "Программа или скрипт" нажмите кнопку "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл" и нажмите кнопку "Открыть".

  8. Щелкните OK.

  9. Перейдите на вкладку Общие.

  10. В поле "Параметры безопасности" нажмите кнопку "Изменить пользователя" или "Группа".

  11. Введите имя локальной учетной записи Администратор istrator системы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  12. Выберите "Запустить", вошедший или нет, и не хранить пароль. Задача будет иметь доступ только к ресурсам локального компьютера.

  13. Щелкните OK.

  14. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

  15. После ввода учетных данных нажмите кнопку "ОК".

  16. Появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

Убедитесь, что Параметры групповой политики запретить вход в систему в качестве службы

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Перейдите на вкладку "Вход".

  6. В разделе "Вход в качестве поля" щелкните "Эта учетная запись".

  7. Нажмите кнопку "Обзор", введите локальную учетную запись Администратор istrator системы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  8. В полях "Пароль" и "Подтверждение пароля" введите пароль выбранной учетной записи и нажмите кнопку "ОК".

  9. Нажмите кнопку "ОК " еще три раза.

  10. Щелкните правой кнопкой мыши "Печатать spooler" и нажмите кнопку "Перезапустить".

  11. При перезапуске службы появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

Восстановление изменений в службе spooler принтера

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Перейдите на вкладку "Вход".

  6. В поле "Вход как", выберите "Локальная системная учетная запись" и нажмите кнопку "ОК".

Проверьте Параметры групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите подключение к удаленному рабочему столу и щелкните "Удаленный рабочий стол" Подключение.

  3. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, и щелкните Подключение. (Можно также ввести IP-адрес вместо имени компьютера.)

  4. При появлении запроса укажите учетные данные для локальной учетной записи Администратор istrator системы.

  5. Появится диалоговое окно, аналогичное приведенному ниже.

    secure local admin accounts and groups