- Доступ к этому компьютеру из сети — параметр политики безопасности Access this computer from the network — security policy setting
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Location Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Групповая политика Group Policy
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Политики диспетчера списка сетей Network List Manager policies
- Параметры политики для политик диспетчера списков сетей Policy settings for Network List Manager Policies
- Неопознанных сетей Unidentified Networks
- Определение сетей Identifying Networks
- Все сети All Networks
Доступ к этому компьютеру из сети — параметр политики безопасности Access this computer from the network — security policy setting
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для компьютера Access из параметра политики сетевой безопасности. Describes the best practices, location, values, policy management, and security considerations for the Access this computer from the network security policy setting.
Справочные материалы Reference
Доступ к этому компьютеру из параметра сетевой политики определяет, какие пользователи могут подключаться к устройству из сети. The Access this computer from the network policy setting determines which users can connect to the device from the network. Эта возможность требуется для ряда сетевых протоколов, включая протоколы на основе SMB, NetBIOS, common Internet File System (CIFS) и component Object Model Plus (COM+). This capability is required by a number of network protocols, including Server Message Block (SMB)-based protocols, NetBIOS, Common Internet File System (CIFS), and Component Object Model Plus (COM+).
Пользователи, устройства и учетные записи **** служб получают или теряют доступ к этому компьютеру от сетевого пользователя, явно или неявно добавляя или удаляя их из группы безопасности, которая получила это право пользователя. Users, devices, and service accounts gain or lose the Access this computer from network user right by being explicitly or implicitly added or removed from a security group that has been granted this user right. Например, учетная запись пользователя или компьютера может быть явно добавлена в настраиваемую группу безопасности или встроенную группу безопасности или неявно добавлена Windows в вычисляемую группу безопасности, например «Пользователи домена», «Пользователи с проверкой подлинности» или «Контроллеры домена предприятия». For example, a user account or a machine account may be explicitly added to a custom security group or a built-in security group, or it may be implicitly added by Windows to a computed security group such as Domain Users, Authenticated Users, or Enterprise Domain Controllers. По умолчанию учетные записи пользователей и **** компьютеров имеют право доступа к этому компьютеру от сетевого пользователя, если вычисляемая группа, например «Пользователи, подлинность и контроллеры домена», группа контроллеров домена по умолчанию определяется в объекте групповой политики (GPO) контроллеров домена по умолчанию. By default, user accounts and machine accounts are granted the Access this computer from network user right when computed groups such as Authenticated Users, and for domain controllers, the Enterprise Domain Controllers group, are defined in the default domain controllers Group Policy Object (GPO).
Константа: SeNetworkLogonRight Constant: SeNetworkLogonRight
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Не определено Not defined
Рекомендации Best practices
- На настольных устройствах или на серверах-членах организации это право предоставляется только пользователям и администраторам. On desktop devices or member servers, grant this right only to users and administrators.
- На контроллерах домена предоставить это право только пользователям, которые имеют проверку подлинности, контроллерам домена предприятия и администраторам. On domain controllers, grant this right only to authenticated users, enterprise domain controllers, and administrators.
- Этот параметр включает группу «Все», чтобы обеспечить обратную совместимость. This setting includes the Everyone group to ensure backward compatibility. После обновления Windows после проверки правильности переноса всех пользователей и групп следует удалить группу «Все» и использовать вместо нее группу «Пользователи с проверкой подлинности». Upon Windows upgrade, after you have verified that all users and groups are correctly migrated, you should remove the Everyone group and use the Authenticated Users group instead.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера GPO Server type of GPO | Значение по умолчанию Default value |
|---|---|
| Политика домена по умолчанию Default domain policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default domain controller policy | Все, администраторы, пользователи, подлинность пользователей, контроллеры домена предприятия, доступ до Windows 2000 Everyone, Administrators, Authenticated Users, Enterprise Domain Controllers, Pre-Windows 2000 Compatible Access |
| Параметры по умолчанию для отдельного сервера Stand-alone server default settings | Все, администраторы, пользователи, операторы резервного копирования Everyone, Administrators, Users, Backup Operators |
| Параметры по умолчанию для контроллера домена Domain controller effective default settings | Все, администраторы, пользователи, подлинность пользователей, контроллеры домена предприятия, доступ до Windows 2000 Everyone, Administrators, Authenticated Users, Enterprise Domain Controllers, Pre-Windows 2000 Compatible Access |
| Эффективные параметры по умолчанию для серверов-членов Member server effective default settings | Все, администраторы, пользователи, операторы резервного копирования Everyone, Administrators, Users, Backup Operators |
| Параметры по умолчанию для клиентского компьютера Client computer effective default settings | Все, администраторы, пользователи, операторы резервного копирования Everyone, Administrators, Users, Backup Operators |
Управление политикой Policy management
При изменении этого права пользователя следующие действия могут привести к тому, что у пользователей и служб возникнут проблемы с сетевым доступом: When modifying this user right, the following actions might cause users and services to experience network access issues:
- Удаление группы безопасности «Контроллеры домена предприятия» Removing the Enterprise Domain Controllers security group
- Удаление группы «Пользователи с проверкой подлинности» или явной группы, которая позволяет пользователям, компьютерам и учетным записям служб подключаться к компьютерам по сети Removing the Authenticated Users group or an explicit group that allows users, computers, and service accounts the user right to connect to computers over the network
- Удаление всех учетных записей пользователей и компьютеров Removing all user and machine accounts
Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Групповая политика Group Policy
Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Пользователи, которые могут подключаться с устройства к сети, могут получать доступ к ресурсам на целевых устройствах, для которых у них есть разрешение. Users who can connect from their device to the network can access resources on target devices for which they have permission. Например, чтобы пользователи подключались к общим принтерам и папам, требуется доступ к этому компьютеру от пользователя сети. For example, the Access this computer from the network user right is required for users to connect to shared printers and folders. Если это право пользователя назначено группе «Все», любой пользователь в группе может прочитать файлы в этих общих папках. If this user right is assigned to the Everyone group, anyone in the group can read the files in those shared folders. Такая ситуация маловероятна, так как группы, созданные при установке по умолчанию Windows Server 2008 R2 или Windows 7, не включают группу «Все». This situation is unlikely because the groups created by a default installation of at least Windows Server 2008 R2 or Windows 7 do not include the Everyone group. Однако если устройство обновлено, а исходное **** устройство включает группу «Все» в качестве части определенных пользователей и групп, эта группа переходит в рамках процесса обновления и присутствует на устройстве. However, if a device is upgraded and the original device includes the Everyone group as part of its defined users and groups, that group is transitioned as part of the upgrade process and is present on the device.
Противодействие Countermeasure
Ограничите доступ к этому компьютеру от сетевого пользователя только теми пользователями и группами, которым требуется доступ к компьютеру. Restrict the Access this computer from the network user right to only those users and groups who require access to the computer. Например, если этот параметр политики настроен **** для **** групп «Администраторы» и «Пользователи», пользователи, войдите в домен, смогут **** получать доступ к ресурсам, общим для серверов в домене, если члены группы «Пользователи домена» включены в локализованную группу «Пользователи». For example, if you configure this policy setting to the Administrators and Users groups, users who log on to the domain can access resources that are shared from servers in the domain if members of the Domain Users group are included in the local Users group.
Примечание Если вы используете IPsec для защиты сетевых коммуникаций в организации, убедитесь, что группе, которая включает учетные записи компьютеров, предоставлено это право. Note If you are using IPsec to help secure network communications in your organization, ensure that a group that includes machine accounts is given this right. Это право необходимо для успешной проверки подлинности компьютера. This right is required for successful computer authentication. Назначение этого права пользователям, для проверки подлинности или компьютерам домена, соответствует этому требованию. Assigning this right to Authenticated Users or Domain Computers meets this requirement.
Политики диспетчера списка сетей Network List Manager policies
Область применения Applies to
Политики диспетчера списков сетей — это параметры безопасности, которые можно использовать для настройки различных аспектов отображения сетей на одном или многих устройствах. Network List Manager policies are security settings that you can use to configure different aspects of how networks are listed and displayed on one device or on many devices.
Чтобы настроить политики диспетчера сетевых списков для одного устройства, можно использовать консоль управления (MMC) с оснасткой редактора объектов групповой политики и изменить политику локального компьютера. To configure Network List Manager Policies for one device, you can use the Microsoft Management Console (MMC) with the Group Policy Object Editor snap-in, and edit the local computer policy. Политики диспетчера сетевых списков расположены по следующему пути в редакторе объектов групповой политики: конфигурация компьютера | Параметры Windows | Параметры безопасности | Политики диспетчера списков сетей The Network List Manager Policies are located at the following path in Group Policy Object Editor: Computer Configuration | Windows Settings | Security Settings | Network List Manager Policies
Чтобы настроить политики диспетчера сетевых списков для многих компьютеров, например для всех доменных компьютеров в домене Active Directory, следуйте документации по групповой политике, чтобы узнать, как изменить политики для требуемого объекта. To configure Network List Manager Policies for many computers, such as for all of the Domain Computers in an Active Directory domain, follow Group Policy documentation to learn how to edit the policies for the object that you require. Путь к политикам диспетчера списков сетей такой же, как и в списке выше. The path to the Network List Manager Policies is the same as the path listed above.
Параметры политики для политик диспетчера списков сетей Policy settings for Network List Manager Policies
Для политик диспетчера сетевых списков предоставляются следующие параметры политики. The following policy settings are provided for Network List Manager Policies. Эти параметры политики находятся в области сведений редактора объектов групповой политики в сетевом имени. These policy settings are located in the details pane of the Group Policy Object Editor, in Network Name.
Неопознанных сетей Unidentified Networks
Этот параметр политики позволяет настроить сетевое расположение, включая тип расположения и разрешения пользователей, для сетей, которые Windows не может определить из-за проблемы с сетью или отсутствия идентифицируемых символов в данных сети, полученных операционной системой из сети. This policy setting allows you to configure the Network Location, including the location type and the user permissions, for networks that Windows cannot identify due to a network issue or a lack of identifiable characters in the network information received by the operating system from the network. Сетевое расположение определяет тип сети, к которую подключен компьютер, и автоматически задает соответствующие параметры брандмауэра для этого расположения. A network location identifies the type of network that a computer is connected to and automatically sets the appropriate firewall settings for that location. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:
Тип расположения. Location type. Для этого элемента доступны следующие параметры: For this item, the following options are available:
Не настроено. Not configured. При выборе этого параметра этот параметр политики не применяет тип расположения к неопознанным сетевым подключениям. If you select this option, this policy setting does not apply a location type to unidentified network connections.
Частный. Private. При выборе этого параметра этот параметр политики применяет тип расположения Private к неопознанным сетевым подключениям. If you select this option, this policy setting applies a location type of Private to unidentified network connections. Частная сеть, например домашняя или работа, это тип расположения, который предполагает, что вы доверяете другим компьютерам в сети. A private network, such as a home or work network, is a location type that assumes that you trust the other computers on the network. Не выбирайте этот элемент, если существует вероятность того, что активная, неопознанный сеть находится в публичном месте. Do not select this item if there is a possibility that an active, unidentified network is in a public place.
Public. Public. При выборе этого параметра этот параметр политики применяет тип расположения Public к неопознанным сетевым подключениям. If you select this option, this policy setting applies a location type of Public to unidentified network connections. Общедоступные сети, такие как беспроводная сеть в аэропорту или кафе, — это тип расположения, который предполагает, что вы не доверяете другим компьютерам в сети. A public network, such as a wireless network at an airport or coffee shop, is a location type that assumes that you do not trust the other computers on the network.
Разрешения пользователей. User permissions. Для этого элемента доступны следующие параметры: For this item, the following options are available:
- Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять расположение для неидентифицированных сетевых подключений. If you select this option, this policy setting does not specify whether users can change the location for unidentified network connections.
- Пользователь может изменить расположение.User can change location. При выборе этого параметра политики пользователи могут изменить расположение сетевого подключения с «Частное» на «Открытое» или с «Открытое» на «Частное». If you select this option, this policy setting allows users to change an unidentified network connection location from Private to Public or from Public to Private.
- Пользователь не может изменить расположение.User cannot change location. При выборе этого параметра этот параметр политики не позволяет пользователям изменять расположение неопознанных сетевых подключений. If you select this option, this policy setting does not allow users to change the location of an unidentified network connection.
Определение сетей Identifying Networks
Этот параметр политики позволяет настроить **** сетевое расположение для сетей, которые находятся во временном состоянии, пока Windows работает для определения сети и типа расположения. This policy setting allows you to configure the Network Location for networks that are in a temporary state while Windows works to identify the network and location type. Сетевое расположение определяет тип сети, к которую подключен компьютер, и автоматически задает соответствующие параметры брандмауэра для этого расположения. A network location identifies the type of network that a computer is connected to and automatically sets the appropriate firewall settings for that location. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:
Тип расположения. Location type. Для этого элемента доступны следующие параметры: For this item, the following options are available:
- Не настроено.Not configured. При выборе этого параметра этот параметр политики не применяет тип расположения к сетевым подключениям, которые находятся в процессе определения Windows. If you select this option, this policy setting does not apply a location type to network connections that are in the process of being identified by Windows.
- Частный. Private. При выборе этого параметра этот параметр политики применяет тип расположения Private к сетевым подключениям, которые находятся в процессе определения. If you select this option, this policy setting applies a location type of Private to network connections that are in the process of being identified. Частная сеть, например домашняя или работа, — это тип расположения, который предполагает, что вы доверяете другим устройствам в сети. A private network, such as a home or work network, is a location type that assumes that you trust the other devices on the network. Не выбирайте этот элемент, если существует вероятность того, что активная, неопознанный сеть находится в публичном месте. Do not select this item if there is a possibility that an active, unidentified network is in a public place.
- Public. Public. Если выбран этот параметр политики, этот параметр политики применяет тип расположения Public к сетевым подключениям, которые находятся в процессе определения Windows. If you select this option, this policy setting applies a location type of Public to network connections that are in the process of being identified by Windows. Общедоступные сети, например беспроводная сеть в аэропорту или кафе, — это тип расположения, который предполагает, что вы не доверяете другим устройствам в сети. A public network, such as a wireless network at an airport or coffee shop, is a location type that assumes that you do not trust the other devices on the network.
Все сети All Networks
Этот параметр политики позволяет указать разрешения пользователя, которые определяют, могут ли пользователи изменять имя, расположение или значок сети для всех сетей, к которым пользователь подключается. **** This policy setting allows you to specify the User Permissions that control whether users can change the network name, location, or icon, for all networks to which the user connects. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:
Имя сети. Network name. Для этого элемента доступны следующие параметры: For this item, the following options are available:
- Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять имя сети для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the network name for all network connections.
- Пользователь может изменить имя.User can change name. При выборе этого параметра пользователи могут изменить имя сети для всех сетей, к которым они подключаются. If you select this option, users can change the network name for all networks to which they connect.
- Пользователь не может изменить имя.User cannot change name. При выборе этого параметра пользователи не смогут изменить имя сети для сетей, к которым они подключаются. If you select this option, users cannot change the network name for any networks to which they connect.
Сетевое расположение. Network location. Для этого элемента доступны следующие параметры: For this item, the following options are available:
- Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять расположение для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the location for all network connections.
- Пользователь может изменить расположение.User can change location. Если выбран этот параметр, этот параметр политики позволяет пользователям изменять все сетевые расположения с «Частное» на «Открытое» или «Открытое» на «Частное». If you select this option, this policy setting allows users to change all network locations from Private to Public or from Public to Private.
- Пользователь не может изменить расположение.User cannot change location. При выборе этого параметра этот параметр политики не позволяет пользователям изменять расположение для сетей, к которым они подключаются. If you select this option, this policy setting does not allow users to change the location for any networks to which they connect.
Значок сети. Network icon. Для этого элемента доступны следующие параметры: For this item, the following options are available:
- Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять значок сети для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the network icon for all network connections.
- Пользователь может изменить значок. User can change icon. Если выбран этот параметр, этот параметр политики позволяет пользователям изменять значок сети для всех сетей, к которым пользователь подключается. If you select this option, this policy setting allows users to change the network icon for all networks to which the user connects.
- Пользователь не может изменить значок. User cannot change icon. Если выбран этот параметр, этот параметр политики не позволяет пользователям изменять значок сети для сетей, к которым пользователь подключается. If you select this option, this policy setting does not allow users to change the network icon for any networks to which the user connects.
—>
