从网络访问此计算机 - 安全策略设置

04/19/2017

本文内容

适用范围

Windows 10

介绍从网络安全策略设置访问此计算机的最佳方案、位置、值、策略管理和安全注意事项****。

参考

" 从网络访问此计算机 "策略设置确定哪些用户可以从网络连接到设备。 许多网络协议都需要此功能，包括基于服务器消息块 (SMB) 的协议、NetBIOS、常见的 Internet 文件系统 (CIFS) 以及组件对象模型加 (COM+) 。

用户、设备和服务帐户通过显式或隐式添加或删除已**** 授予此用户权限的安全组，从网络用户权限获取或丢失访问此计算机。 例如，用户帐户或计算机帐户可以显式添加到自定义安全组或内置安全组，或者由 Windows 隐式添加到计算的安全组，如域用户、经过身份验证的用户或 Enterprise 域控制器。

默认情况下，当计算组(如经过身份验证的用户)和**** 域控制器的 Enterprise 域控制器组在默认域控制器组策略对象 (GPO) 中定义时，用户帐户和计算机帐户将被授予从网络用户访问此计算机的权限。

常量：SeNetworkLogonRight

可能值

用户定义的帐户列表

未定义

最佳做法

在桌面设备或成员服务器上，仅向用户和管理员授予此权限。

在域控制器上，仅向经过身份验证的用户、企业域控制器和管理员授予此权限。

此设置包括" 每个人" 组以确保向后兼容性。 在Windows升级后，在验证所有用户和组都正确迁移后，应删除Everyone组并改为使用Authenticated Users组。

位置

计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

默认值

下表列出了最新受支持的策略版本的实际和有效默认策略Windows。 默认值也会列在策略的属性页上。

GPO 的服务器类型

默认值

默认域策略

未定义

默认域控制器策略

所有人、管理员、经过身份验证的用户Enterprise域控制器、Windows 2000 兼容访问

独立服务器默认设置

每个人、管理员、用户、备份运算符

域控制器有效默认设置

所有人、管理员、经过身份验证的用户Enterprise域控制器、Windows 2000 兼容访问

成员服务器有效默认设置

每个人、管理员、用户、备份运算符

客户端计算机有效的默认设置

每个人、管理员、用户、备份运算符

策略管理

修改此用户权限时，以下操作可能会导致用户和服务遇到网络访问问题：

删除Enterprise域控制器安全组

删除"经过身份验证的用户"组或显式组，允许用户、计算机和服务帐户用户通过网络连接到计算机

删除所有用户和计算机帐户

此策略设置生效不需要重新启动设备。

对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。

组策略

设置组策略对象 (GPO) 按以下顺序应用，这将在下次组策略更新时覆盖本地计算机的设置：

本地策略设置

站点策略设置

域策略设置

OU 策略设置

当本地设置显示为灰色时，它表示 GPO 当前控制该设置。

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

漏洞

可以从他们的设备连接到网络的用户可以访问他们有权访问的目标设备上的资源。 例如，用户需要从网络 用户 权限访问此计算机才能连接到共享打印机和文件夹。 如果向 Everyone 组分配此用户 权限，则 组中任何人都可以读取这些共享文件夹中的文件。 这种情况不太可能发生，因为至少由 Windows Server 2008 R2 或 Windows 7 的默认安装创建的组不包括Everyone组。 但是，如果设备已升级并且原始设备包括 Everyone 组作为其定义的用户和组的一部分，则该组会作为升级过程的一部分进行转换，并且存在于设备上。

对策

将 "从网络用户访问此计算机 "权限限制为仅需要访问计算机的用户和组。 例如，如果将此策略设置配置为 Administrators 和 Users 组，则登录到域的用户可以访问从域中的服务器共享的资源(如果 Domain Users 组的成员包含在本地 Users 组中)。

注意 如果使用 IPsec 帮助保护组织中网络通信的安全，请确保为包含计算机帐户的组赋予此权限。 成功进行计算机身份验证需要此权限。 向经过身份验证的用户或****域计算机分配此权限符合此要求。

潜在影响

如果将所有用户的 域控制器 上的"访问此计算机"从网络用户中删除，则没有人可以登录到域或使用网络资源。 如果在成员服务器上删除此用户，则用户无法通过网络连接到这些服务器。 如果已安装可选组件(如 ASP.NET 或 Internet Information Services (IIS) ，可能需要向这些组件所需的其他帐户分配此用户权限。 验证授权用户是否具有访问网络所需的设备权限，这一点很重要。

相关主题