网络访问: 本地帐户的共享和安全模型
总结:
1、电脑的本地账号在本地、还是网络登录电脑;
2、打开路径:win+R,gpedit.msc,计算机配置—windows设置—本地策略—安全选项
网络访问: 本地帐户的共享和安全模型 (Windows) | Microsoft Docs https://docs.microsoft.com/zh-cn/previous-versions//mt629072(v=vs.85)
网络访问: 本地帐户的共享和安全模型
介绍了有关“网络访问: 本地帐户的共享和安全模型”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
此策略设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此策略设置配置为“经典”,使用本地帐户凭据的网络登录通过这些凭据进行身份验证。如果将此策略设置配置为“仅来宾”,使用本地帐户的网络登录会自动映射到来宾帐户。“经典”模型对资源访问权限提供精细控制,并允许你针对相同资源为不同用户授予不同类型的访问权限。相反,“仅来宾”模型会平等对待所有用户,并且所有用户都会获得给定资源的相同访问权限级别,这些权限可以为只读或修改。
注意
此策略设置不会影响使用域帐户的网络登录。此策略设置也不会影响通过诸如 Telnet 或远程桌面服务的服务远程执行的交互式登录。
当设备未加入域时,此策略设置还会定制 Windows 资源管理器中的“共享”和“安全”****选项卡,以便对应于正在使用的共享和安全模型。
当此策略设置的值为“仅来宾 – 对本地用户进行身份验证,其身份为来宾”时,任何可以通过网络访问你的设备的用户都使用来宾用户权限执行此操作。这意味着,他们可能无法对共享文件夹执行写入操作。尽管这可提高安全性,但会使授权用户无法访问这些系统上的共享资源。当该值为“经典 – 对本地用户进行身份验证,不改变其本来身份”****时,本地帐户必须受密码保护,否则任何人都可以使用这些用户帐户访问共享系统资源。
可能值
-
经典 – 对本地用户进行身份验证,不改变其本来身份
-
仅来宾 – 对本地用户进行身份验证,其身份为来宾
-
未定义
最佳做法
-
对于网络服务器,将此策略设置为“经典 – 对本地用户进行身份验证,不改变其本来身份”。
-
对于最终用户系统,将此策略设置为“仅来宾 – 对本地用户进行身份验证,其身份为来宾”****。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
服务器类型或 GPO | 默认值 |
---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
经典(对本地用户进行身份验证,不改变其本来身份) |
DC 有效默认设置 |
经典(对本地用户进行身份验证,不改变其本来身份) |
成员服务器有效默认设置 |
经典(对本地用户进行身份验证,不改变其本来身份) |
客户端计算机有效默认设置 |
经典(对本地用户进行身份验证,不改变其本来身份) |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
组策略
此策略设置可使用组策略管理控制台 (GPMC) 配置为通过组策略对象 (GPO) 进行分配。如果此策略未包含在分配的 GPO 中,可以在本地计算机上通过使用本地安全策略管理单元来配置此策略。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
使用“仅来宾”模型,任何通过网络对你的设备进行身份验证的用户都使用来宾权限执行此操作,这可能意味着他们没有对该设备上的共享资源的写入权限。尽管此限制可提高安全性,但它会使授权用户更难以访问这些计算机上的共享资源,因为这些资源上的 ACL 必须包含来宾帐户的访问控制项 (ACE)。使用“经典”模式,本地帐户应受密码保护。否则,如果启用来宾访问,任何人都可以使用这些用户帐户来访问共享系统资源。
对策
对于网络服务器,请将“网络访问: 本地帐户的共享和安全模型”设置配置为“经典 – 对本地用户进行身份验证,不改变其本来身份”****。在最终用户计算机上,将此策略设置配置为“仅来宾 – 对本地用户进行身份验证,其身份为来宾”。
潜在影响
无。这是默认配置。
相关主题
网络访问: 本地帐户的共享和安全模型
此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”,使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型能够对资源的访问权限进行精细的控制。通过使用“经典”模型,你可以针对同一个资源为不同用户授予不同类型的访问权限。
如果将此设置设为“仅来宾”,使用本地帐户的网络登录会自动映射到来宾帐户。使用“仅来宾”模型,所有用户都可得到平等对待。所有用户都以来宾身份进行验证,并且都获得相同的访问权限级别来访问指定的资源,这些权限可以为只读或修改。
在域计算机上的默认值: 经典。
在独立计算机上的默认值: 仅来宾。
重要信息
使用“仅来宾”模型时,所有可以通过网络访问计算机的用户(包括匿名 Internet 用户)都可以访问共享资源。你必须使用 Windows 防火墙或其他类似设备来防止对计算机进行未经授权的访问。同样,使用“经典”模型时,本地帐户必须受密码保护;否则,这些用户帐户可以被任何人用来访问共享的系统资源。
注意:
此设置不会影响通过使用如 Telnet 或远程桌面服务等服务远程执行的交互式登录。
在以前版本的 Windows Server 中,远程桌面服务称为终端服务。
此策略将不会影响运行 Windows 2000 的计算机。
计算机未加入域时,此设置也会将文件资源管理器中的“共享和安全”选项卡修改为与正在使用的共享和安全模型对应的设置。