В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра локальной политики безопасности «Запретить вход». Describes the best practices, location, values, policy management, and security considerations for the Deny log on locally security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие пользователи не могут войти непосредственно в консоль устройства. This policy setting determines which users are prevented from logging on directly at the device’s console.
Определяемый пользователей список учетных записей User-defined list of accounts
Не определено Not defined
Рекомендации Best practices
Назначьте локальному пользователю право запретить вход в систему локальной гостевой учетной записи, чтобы ограничить доступ потенциально неавторизованной учетной записи. Assign the Deny log on locally user right to the local guest account to restrict access by potentially unauthorized users.
Проверьте изменения этого параметра политики в **** сочетании с параметром локальной политики «Разрешить вход в систему», чтобы определить, подчиняется ли учетная запись пользователя обеим политикам. Test your modifications to this policy setting in conjunction with the Allow log on locally policy setting to determine if the user account is subject to both policies.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
Тип сервера или объект групповой политики Server type or GPO
Значение по умолчанию Default value
Default Domain Policy Default Domain Policy
Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy
Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings
Не определено Not defined
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings
Не определено Not defined
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings
Не определено Not defined
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings
Не определено Not defined
Управление политикой Policy management
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.
Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Если применить этот параметр политики к группе «Все», никто не сможет войти локально. If you apply this policy setting to the Everyone group, no one will be able to log on locally.
Групповая политика Group Policy
Этот параметр политики перемежает параметр локальной политики «Разрешить вход в систему», если к учетной записи пользователя налагаются обе политики. **** This policy setting supersedes the Allow log on locally policy setting if a user account is subject to both policies.
Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
Параметры локальной политики Local policy settings
Параметры политики сайта Site policy settings
Параметры политики домена Domain policy settings
Параметры политики подразделения OU policy settings
Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Для входа в консоль устройства можно использовать любую учетную запись с возможностью локального входа. Any account with the ability to log on locally could be used to log on at the console of the device. Если это право пользователя не ограничено только законными пользователями, которым необходимо войти в консоль устройства, неавторизованные пользователи могут скачать и запустить вредоносное ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, которое повышает их права. If this user right is not restricted to legitimate users who must log on to the console of the device, unauthorized users might download and run malicious software that elevates their user rights.
Противодействие Countermeasure
Назначьте локальному пользователю право «Запретить вход» локальной гостевой учетной записи. Assign the Deny log on locally user right to the local Guest account. Если установлены необязательные компоненты, например ASP.NET, может потребоваться назначить это право пользователю дополнительным учетным записям, которые необходимы этим компонентам. If you have installed optional components such as ASP.NET, you may want to assign this user right to additional accounts that are required by those components.
Возможное влияние Potential impact
Если вы **** назначите право «Запретить вход на локальном компьютере» дополнительным учетным записям, можно ограничить возможности пользователей, которым назначены определенные роли в вашей среде. If you assign the Deny log on locally user right to additional accounts, you could limit the abilities of users who are assigned to specific roles in your environment. Однако это право пользователя должно быть явно назначено учетной записи ASPNET на устройстве, настроенном с ролью веб-сервера. However, this user right should explicitly be assigned to the ASPNET account on device that are configured with the Web Server role. Необходимо подтвердить, что делегирование действий не оказывает отрицательного влияния. You should confirm that delegated activities are not adversely affected.
Как запретить логи windows
(Я, конечно, могу отключить службу «Журнал событий Windows», но тогда перестанет работать «Служба SSTP», а без неё не работает «Диспетчер подключений удаленного доступа», а без него не работает «Общий доступ к подключению к Интернету (ICS)», а вот эта гадость как раз мне нужна для второго «компа». )
P.S. я здесь не спрашиваю: «для чего мне всё это вообще» _________________ Win7 64, TC 8.52a-32, 9.21a-64
Cuda уехал text, он был ещё вчераа.
Вернуться к началу
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
—>
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
У меня на 7×32 от этой службы зависят только Планировщик заданий и Сборщик событий Windows , а Служба SSTP вообще ни от чего не зависит.
Если всё так плохо, то можно поковырять HKLM\SYSTEM\CurrentControlSet\Services\Eventlog и в подпапках, где надо, для Retention проставить что-то, отличное от нуля. Ну, а как очищать журнал, я надеюсь, известно. _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Да если бы так. это в «Зависимостях» там написано, что ни от чего не зависит. На самом деле она не запускается, если не включен ЖС. Проверил.
Retention, отличный от 0, означает, что этот журнал не будет перезаписываться автоматически, по мере заполнения, а только вручную.
У меня постоянно появляется ошибка ipnathlp 31004. Искал по инету. нашёл ответ Микрософта, что: это ошибка драйверов сетевых плат, исправить никак, если всё работает, то и не обращайте внимания. Ну да бог ты с ней, я бы и не обращал внимания, но дело в том, что она появляется каждые 2-4 минуты! Всё записывается в лог, на диск. в результате диски в простое вообще не выключаются! вертятся без отдыха. _________________ Win7 64, TC 8.52a-32, 9.21a-64
Cuda уехал text, он был ещё вчераа.
Вернуться к началу
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
—>
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
Так отключить показ ошибок и всё. Можно ещё для системы полный доступ к файлу C:\Windows\System32\winevt\Logs\System.evtx запретить (если ошибка вообще оттуда, лучше сперва найти в этой папке получатель).
790 писал(а):
в результате диски в простое вообще не выключаются! вертятся без отдыха.
Ну, тут причины разные могут быть, начиная с настройки ЖД для активного плана электропитания. Как вариант, в настройках сетевой платы пункты пробуждения можно отключить. Хотя почему сетевая должна трогать все диски, если какие-то приложения того не требуют, конечно? _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Дело не показе ошибок Журналом событий, а в том, что они записываются в файл ..\System.evtx или ..\Application.evtx . Я запретил системе всякий доступ к этим файлам, но в результате служба Журнала событий вообще не запустилась после перезагрузки и отказывалась запуститься вручную, пока я не вернул доступ к файлам. Соответственно, не запустились и все остальные зависимые службы.
Настройки электропитания в порядке: отключать через 10 минут простоя. Сетевухи диск не трогают. Просто лог-файл System.evtx , естественно, расположен на HDD и чтоб в него записать, например, «ошибку» нужно дёрнуть этот самый HDD
Ошибку выдаёт: «Не найдено описание для события с кодом ( 31004 ) в источнике ( ipnathlp ). Либо вызывающий данное событие компонент не установлен на этот локальный компьютер, либо установка повреждена.»
От ошибки не избавиться, поэтому вопрос: как прекратить её запись в ..\System.evtx . а лучше и всего остального, ибо нафиг не нужно.
(дискИ — потому что RAID-0) _________________ Win7 64, TC 8.52a-32, 9.21a-64
Cuda уехал text, он был ещё вчераа.
Вернуться к началу
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
—>
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
Запускаем и метим нижний пункт. В дополнение идём в gpedit.msc > Конфигурация пользователя > Административные шаблоны > Отчеты об ошибках Windows , открываем 3 корневых политики, проставляем Включить с нажатием кн. Применить , разумеется. _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
ярлычок, скрипт. извиняюсь за своё невежество, с такими вещами не работал, куда это вставлять, где включать — не знаю. и как потом вернуть обратно, если что-то не заработает. _________________ Win7 64, TC 8.52a-32, 9.21a-64
Cuda уехал text, он был ещё вчераа.
Вернуться к началу
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
—>
Flasher
Зарегистрирован: 06.11.2009 Сообщения: 14229 Откуда: Москва
И касаемо записи в Журнал стоит «Включить»? Про ярлычок и скрипт уже можно забыть, коли всё выставлено. Для тех, кто в отношении данных вопросов не хотел оставаться невеждой, уже давным давно эти вещи не являются секретом.
Да, ещё пору важных политик по журналу: Конфигурация компьютера > Административные шаблоны > Компоненты Windows
> Установщик Windows > Ведение журнала событий > Служба журнала событий > Настройка > Включить ведение журнала
Отключение обоих политик саму службу не отключат. И как насчёт службы Сборщик событий Windows — она отключалась? _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Вернуться к началу
790
Зарегистрирован: 09.08.2008 Сообщения: 210
—>
790
Зарегистрирован: 09.08.2008 Сообщения: 210
Добавлено: Сб Май 02, 2015 20:44 Заголовок сообщения:
—>
(Отдельно) Добавлено: Сб Май 02, 2015 20:44 Заголовок сообщения:
Flasher писал(а):
790 писал(а):
в gpedit давно уже всё выставлено как указано.
И касаемо записи в Журнал стоит «Включить»?
Всё стоит во «Включена»
Flasher писал(а):
Конфигурация компьютера > Административные шаблоны > Компоненты Windows
> Установщик Windows > Ведение журнала событий > Служба журнала событий > Настройка > Включить ведение журнала
Отключение обоих политик саму службу не отключат.
Здесь всё выключено. Сборщик событий Windows — выключено.
Скрипты поизучаю немного позже. Большое спасибо.
Случайно нашёл причину «ошибки» — это виртуальная сетевая карта, когда её служба отключена. Значит нужно отключать и её тоже, когда она не нужна.
Ещё вопрос: как сохранить настройки gpedit, чтобы применить их разом после переустановки винды? Не настройки вида редактора, а сами ключи. _________________ Win7 64, TC 8.52a-32, 9.21a-64
