Что такое общие учетные данные
«Диспетчер учетных данных» – место, в котором Windows хранит пароли и другие данные для входа
«Диспетчер учетных данных» – место, в котором Windows хранит пароли и другие данные для входа
0xc190011f при обновлении до 11
Не запускается Microsoft Store на 11
Ваш компьютер не соответствует 11
Скачать Microsoft Store для 11
Как поставить пароль на файл Excel
Бьюсь об заклад, почти никто из вас не слышал о «Диспетчере учетных данных», не говоря уже о том, что это такое и как его использовать. Впрочем, до недавнего времени назначение этого инструмента оставалось загадкой и для меня, хотя и знал о его существовании. В этой статье я расскажу все, что мне известно о нем и как его использовать.
Что такое «Диспетчер учетных данных»?
«Диспетчер учетных данных» – это «цифровой сейф», в котором Windows хранит учетные данные (имя пользователя, пароли и т.д.) для других компьютеров в сети, серверов или веб-сайтов. Эти данные использует как сама операционная система, так и приложения, которые знают, как их использовать, например: инструменты, входящие в состав Windows Live Essentials, Microsoft Office, Internet Explorer или приложения для запуска виртуальных машин.
Учетные данные разделены на три категории:
Все эти учетные данные автоматически сохраняются и управляются Windows и приложениями, которые вы используете. Для просмотра учетных данных, хранящихся на компьютере, или для удаления или редактирования некоторых из них, используется «Диспетчер учетных данных».
«Учетные данные для Интернета» создаются и удаляются через встроенные в Internet Explorer функции для управления паролями. Вы не сможете создавать эти данные через «Диспетчер учетных данных» – можно только просматривать существующие и удалять их.
Как открыть «Диспетчер учетных данных»?
Один из способов открытия «Диспетчера учетных данных»: откройте «Панель управления», затем перейдите в раздел «Учетные записи пользователей и Семейная безопасность», ну а дальше выберите «Диспетчер учетных данных».
Наиболее распространенные учетные данные
На большинстве компьютеров с Windows 7 и Windows 8 вы увидите в основном одни и те же учетные данные. Среди наиболее распространенных:
Добавление учетных данных
Процесс добавления учетных данных очень простой. Во-первых, определитесь с типом учетных данных. Как из трех вам нужен?
Предположим, вы хотите добавить «Учетные данные Windows» для того, чтобы вы могли открывать папки на другом компьютере.
Нажмите на ссылку «добавить учетные данные Windows».
Дальше вам нужно ввести необходимые данные для входа. Сначала введите IP-адрес или имя компьютера. Далее введите имя пользователя, которое будет использоваться для входа. Кстати, не забудьте ввести имя компьютера перед именем пользователя, как показано на скриншоте ниже. Теперь введите пароль и нажмите кнопку «OK».
Учетные данные сохраняться и будут автоматически использоваться при каждом доступе к данному компьютеру вашей сети.
Удаление учетных данных
Для удаления учетных данных, сперва найдите их и раскройте, кликнув на их название или на стрелку справа.
Затем нажмите на ссылку «Удалить».
Вас попросят подтвердить удаление. Нажмите на кнопку «Да».
Учетные данные удалены и больше не будут использоваться.
Редактирование существующих учетных данных
Чтобы изменить сведения о существующих учетных данных, как и в случае с удалением, найдите их и раскройте. Далее нажмите «Изменить».
После редактирования не забудьте нажать на кнопку «Сохранить», чтобы изменения вступили в силу.
Заключение
Как видим, «Диспетчер учетных данных» играет важную роль на вашем компьютере. Единственное, я пока не выяснил, насколько хорошо зашифрованы эти данные, поэтому буду и дальше изучать этот инструмент, и напишу о нем по крайней мере еще одну статью.
Windows 7 Диспетчер учетных данных в Windows 7
Dragokas
Very kind Developer
Диспетчер учетных данных, или Credential Manager — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).
Например, мы хотим получить доступ к папке, находящейся на другом компьютере, и удаленный компьютер запрашивает наши учетные данные. Вводим логин, пароль и отмечаем галочкой пункт «Запомнить учетные данные».
Или, при подключении к удаленному рабочему столу разрешаем сохранение учетных данных, чтобы не вводить их каждый раз.
Все сохраненные таким образом учетные данные попадают в так называемое Хранилище Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле, хранилище — это просто более понятное название папки Credentials. Для доменных пользователей эта папка находится по адресу: C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Roaming\Microsoft), для локальных — C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Local\Microsoft). Все файлы в этой папке, естесственно, зашифрованы, и доступ к ним осуществляется как раз с помощью Диспетчера учетных данных.
Открыть его можно через Панель управления, или просто набрав в строке поиска Диспетчер учетных данных (Credentials Manager для англоязычной версии).
Вот так выглядит Диспетчер учетных данных. Все данные в нем сгруппированы по трем категориям:
Все учетные данные можно развернуть и подробно посмотреть, а при желании и отредактировать.
Учетные данные можно не только сохранять в процессе подключения, но и вводить прямо в диспетчере. Для этого надо выбрать раздел и нажать на ссылку «Добавить учетные данные». В качестве примера добавим учетные данные для подключения к закрытому веб-сайту http://contoso.com в раздел «Общие учетные данные».
Теперь данные сохранены в хранилище, и при подключении к данному ресурсу не потребуется их вводить.
Строго говоря, с веб-сайтами история отдельная. Диспетчер учетных данных отвечает далеко не за все данные, используемые для для доступа к интернет-ресурсам. Большинство этих данных обрабатываются и хранятся в самом браузере. В Internet Explorer, например, есть для этого специальная функция автозаполнения (AutoComplete).
Этот недостаток попытались исправить в Windows 8, где в Диспетчере учетных данных есть отдельный раздел под названием «Учетные данные для Интернета». И если вы укажете сохранить, к примеру пароль от Яндекс-почты, то он будет сохранен именно здесь. Однако работает эта возможность только с Internet Explorer, остальные браузеры ей не пользуются и по прежнему хранят все данные у себя.
Архивирование и восстановление
Восстановление проходит по схожему сценарию — указываем месторасположение архива и вводим пароль, также на Secure Desktop.
Диспетчер учетных данных особенно удобен при отсутствии домена, когда все разрешения на сетевые ресурсы прописываются локально. В этом случае архив учетных данных можно использовать для автоматизации процесса раздачи прав. Впрочем, диспетчером учетных данных можно пользоваться и в домене, для доступа к внешним ресурсам. В общем вещь полезная, специальной настройки не требует, данные сохраняет. Правда иногда отдельные учетные данные могут неожиданно пропадать, так что архив все же стоит делать.
Диспетчер учетных данных в Windows 7
Диспетчер учетных данных, или Credential Manager — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).
Например, мы хотим получить доступ к папке, находящейся на другом компьютере, и удаленный компьютер запрашивает наши учетные данные. Вводим логин, пароль и отмечаем галочкой пункт «Запомнить учетные данные».
Или, при подключении к удаленному рабочему столу разрешаем сохранение учетных данных, чтобы не вводить их каждый раз.
Все сохраненные таким образом учетные данные попадают в так называемое Хранилище Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле, хранилище — это просто более понятное название папки Credentials. Для доменных пользователей эта папка находится по адресу: C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Roaming\Microsoft), для локальных — C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Local\Microsoft). Все файлы в этой папке, естесственно, зашифрованы, и доступ к ним осуществляется как раз с помощью Диспетчера учетных данных.
Открыть его можно через Панель управления, или просто набрав в строке поиска Диспетчер учетных данных (Credentials Manager для англоязычной версии).
Вот так выглядит Диспетчер учетных данных. Все данные в нем сгруппированы по трем категориям:
• Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
• Учетные данные на основе сертификатов (Certificate-Based Credentials) — предназначены для аутентификации с помощью смарт-карт;
• Общие учетные данные (Generic Credentials) — используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.
Все учетные данные можно развернуть и подробно посмотреть, а при желании и отредактировать.
Учетные данные можно не только сохранять в процессе подключения, но и вводить прямо в диспетчере. Для этого надо выбрать раздел и нажать на ссылку «Добавить учетные данные». В качестве примера добавим учетные данные для подключения к закрытому веб-сайту http://contoso.com в раздел «Общие учетные данные».
Теперь данные сохранены в хранилище, и при подключении к данному ресурсу не потребуется их вводить.
Строго говоря, с веб-сайтами история отдельная. Диспетчер учетных данных отвечает далеко не за все данные, используемые для для доступа к интернет-ресурсам. Большинство этих данных обрабатываются и хранятся в самом браузере. В Internet Explorer, например, есть для этого специальная функция автозаполнения (AutoComplete).
Этот недостаток попытались исправить в Windows 8, где в Диспетчере учетных данных есть отдельный раздел под названием «Учетные данные для Интернета». И если вы укажете сохранить, к примеру пароль от Яндекс-почты, то он будет сохранен именно здесь. Однако работает эта возможность только с Internet Explorer, остальные браузеры ей не пользуются и по прежнему хранят все данные у себя.
Архивирование и восстановление
Прямо под значком «Хранилище Windows» расположены две ссылки: «Архивирование хранилища» и «Восстановление хранилища». Таким образом учетные данные можно забекапить на случай удаления или повреждения хранилища, или перенести с одного компьютера на другой.
Архивирование данных осуществляется специальным мастером. Процедура несложная — указываем, куда сохранить архив (рекомендуется на съемный носитель), затем задаем пароль для доступа к нему. Пароль задается обязательно с использованием безопасного рабочего стола (Secure Desktop). Это необходимо даже в том случае, если безопасный рабочий стол отключен.
Восстановление проходит по схожему сценарию — указываем месторасположение архива и вводим пароль, также на Secure Desktop.
Диспетчер учетных данных особенно удобен при отсутствии домена, когда все разрешения на сетевые ресурсы прописываются локально. В этом случае архив учетных данных можно использовать для автоматизации процесса раздачи прав. Впрочем, диспетчером учетных данных можно пользоваться и в домене, для доступа к внешним ресурсам. В общем вещь полезная, специальной настройки не требует, данные сохраняет. Правда иногда отдельные учетные данные могут неожиданно пропадать, так что архив все же стоит делать.
Что такое «virtualapp/didlogical»?
я копался в своем менеджере учетных данных и нашел учетные данные для «virtualapp/didlogical». Я не поставил его там, я не признаю его, и я нахожу противоречивую информацию об этом. Это может быть кейлоггер, или используется Windows Live или Google Talk или любой из ряда других программ, в зависимости от того, кто вы верите. Кто-нибудь может мне сказать, что это?
Вроде бы создается Windows 7 и Windows 8. Некоторые говорят, что он используется функциями виртуализации, включенными в Windows и Windows Продукты Live Essentials.
2 ответов
есть довольно много потоков на answers.microsoft.com где инженеры Microsoft подтвердите, что это действительно учетные данные, созданные продуктами Майкрософт:
Virtualapp / Didlogical-это учетные данные, которые хранятся при из продуктов Windows Live это может включать Windows Live Посыльный, Окна Live Почта для Windows Live войдите в секреты, режиме Windows XP с и другие службы Microsoft.
вы можете удалить запись из диспетчера учетных данных.
запись Virtualapp / Didlogical-это учетные данные, которые создаются при использование любого из приложений Windows Live и других корпорации Майкрософт заслуги.
Virtualapp/Didlogical-это учетные данные, которые хранятся когда вы используете из продуктов Windows Live это может включать Windows Live Messenger, Окна Live Почта для Windows Live войдите в секреты, режиме Windows XP с и другие службы Microsoft.
вы можете удалить запись из диспетчера учетных данных.
есть также случаи, когда продукты Microsoft не работает из-за этих учетных данных был неверный.
Так как недавнее исправление IE у меня была проблема с OneNote 2010 не синхронизацию с OneDrive (ранее SkyDrive с). Он сказал бы, что мне нужен пароль для подключения и когда я попытаюсь войти в него вернется с: «мы не можем войти в систему, потому что сеть недоступна. Делать убедитесь, что компьютер подключен к Интернету,и повторите попытку.»
Так как произошел сбой при попытке входа в Windows Live, решил, что это может быть проблема с хранилищем учетных данных Windows Live ID по окнам-оказывается я был прав. Путем удаления сохраненных учетных данных Я смог снова синхронизировать OneNote.
хорошее резюме по этой теме можно найти в статье что такое Virtualapp / Didlogical?:
Virtualapp / Didlogical-это учетные данные, которые хранятся при из продуктов Windows Live это может включать Windows Live Messenger, Окна Live Почта для Windows Live войдите в секреты, режиме Windows XP с и другие службы Microsoft.
В общем, удалять его безопасно-впрочем, бесполезно удалите его, если вы используете Windows Live или любой другой Microsoft услуги на регулярной основе. Поэтому я бы не рекомендовал удалять она.
Если вы продолжаете использовать продукты Microsoft Windows Live, вы всегда имейте эту запись. Единственным решением является удаление Windows Живые продукты и искать альтернативы, но так как это не проблема безопасности нет абсолютно никаких оснований для этого.
Локальные учетные записи
Относится к:
Эта справочная тема для ИТ-специалистов описывает локальные учетные записи пользователей по умолчанию для серверов, в том числе управление этими встроенными учетных записями на сервере-члене или автономных серверах.
О локальных учетных записях пользователей
Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Локальные учетные записи пользователей — это принципы безопасности, которые используются для обеспечения и управления доступом к ресурсам на автономных или серверных членах служб или пользователей.
В этом разделе описывается следующее:
Сведения о главных задачах безопасности см. в см. в руб.
Учетные записи локальных пользователей по умолчанию
Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке Windows.
После Windows установлено, локальные учетные записи пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не предоставляют доступ к сетевым ресурсам.
Локальные учетные записи по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, которые назначены учетной записи. Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка «Пользователи» расположена в локальной папке «Пользователи и группы» в локальной консоли управления компьютерами Microsoft Management Console (MMC). Управление компьютером — это набор административных средств, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. в разделе How to manage local accounts later in this topic.
Локальные учетные записи пользователей по умолчанию описаны в следующих разделах.
Учетная запись администратора
Учетная запись администратора полностью контролирует файлы, каталоги, службы и другие ресурсы на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения. Учетная запись администратора может контролировать локальные ресурсы в любое время, просто изменяя права и разрешения пользователей.
Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.
В Windows 10 и Windows Server 2016 Windows настройка отключает встроенную учетную запись администратора и создает другую локализованную учетную запись, которая входит в группу Администраторы. Члены групп Администраторы могут запускать приложения с повышенными разрешениями без использования параметра Run as Administrator. Быстрая переключение пользователей является более безопасной, чем использование Runas или высоты для разных пользователей.
Членство в группе учетных записей
По умолчанию учетная запись администратора устанавливается в качестве члена группы администраторов на сервере. Ограничение числа пользователей в группе Администраторов является наиболее оптимальным, поскольку члены группы Администраторы на локальном сервере имеют разрешения на полный контроль на этом компьютере.
Учетная запись администратора не может быть удалена или удалена из группы администраторов, но ее можно переименовать.
Вопросы безопасности
Так как известно, что учетная запись администратора существует во многих версиях операционной системы Windows, лучше отключить учетную запись администратора, если это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиенту.
Можно переименовать учетную запись Администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен вредоносными пользователями. Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. в записи Отключение или активация учетной записи локального пользователя и переименование учетной записи локального пользователя.
В качестве наилучшей практики безопасности используйте локализованную (не администратор) учетную запись для регистрации, а затем используйте Run в качестве администратора для выполнения задач, которые требуют более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для регистрации на компьютере, если это не является полностью необходимым. Дополнительные сведения см. в программе Run a program with administrative credentials.
Для сравнения, Windows клиентской операционной системе пользователь с локальной учетной записью пользователя, которая имеет права администратора, считается системным администратором клиентского компьютера. Первая локализованная учетная запись пользователя, созданная во время установки, помещается в локализованную группу администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-сотрудники не могут контролировать этих пользователей или их клиентские компьютеры.
В этом случае групповая политика может использоваться для обеспечения безопасных параметров, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентских компьютерах. Дополнительные сведения о групповой политике см. в обзоре групповой политики.
Пустые пароли не допускаются в версиях, указанных в списке Applies To в начале этой темы.
Даже если учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру с помощью безопасного режима. В консоли восстановления или в безопасном режиме учетная запись администратора автоматически включена. При возобновлении обычных операций он отключается.
Гостевая учетная запись
Учетная запись Гостевой по умолчанию отключена при установке. Учетная запись Гостевой позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно войти на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи есть пустой пароль. Поскольку учетная запись Гостевой может предоставлять анонимный доступ, это риск безопасности. По этой причине следует оставить учетную запись Гостевой учетной записи отключенной, если ее использование не является полностью необходимым.
Членство в группе учетных записей
По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю войти на сервер. Иногда администратор, в который входит группа администраторов, может настроить пользователя с учетной записью «Гость» на одном или нескольких компьютерах.
Вопросы безопасности
При включив учетную запись «Гость», выдайте только ограниченные права и разрешения. По соображениям безопасности учетная запись Гостевой не должна использоваться по сети и быть доступной для других компьютеров.
Кроме того, гостевой пользователь учетной записи «Гость» не должен просматривать журналы событий. После включения учетной записи «Гость» необходимо часто отслеживать учетную запись «Гость», чтобы убедиться, что другие пользователи не могут использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно доступны предыдущему пользователю.
Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)
Учетная запись HelpAssistant — это локализованная учетная запись по умолчанию, включенная при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключена, если не ожидается никаких запросов на удаленную помощь.
HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру, Windows операционной системе, и он инициировался по приглашению. Для получения удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в файле лицу, который может оказать помощь. После того, как приглашение пользователя на сеанс удаленной помощи будет принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить человеку, который предоставляет помощь, ограниченный доступ к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеансов помощи удаленным рабочим столам.
Вопросы безопасности
К siD-данным, которые относятся к учетной записи HelpAssistant по умолчанию, относятся:
Для операционной Windows Server удаленная помощь является необязательным компонентом, который не устанавливается по умолчанию. Необходимо установить удаленную помощь, прежде чем она может быть использована.
Сведения о атрибутах учетной записи HelpAssistant см. в следующей таблице.
Атрибуты учетной записи HelpAssistant
Гости
DefaultAccount
DefaultAccount, также известная как учетная запись системы по умолчанию (DSMA), — встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA — это хорошо известный тип учетной записи пользователя. Это нейтральная учетная запись пользователя, которая может быть использована для запуска процессов, которые являются либо несколькими пользователями известно или пользователь агностик. DSMA отключена по умолчанию на настольных skUs (полные windows SKUs) и WS 2016 с настольным компьютером.
DSMA является членом известной группы system Managed Accounts Group, которая имеет хорошо известный SID S-1-5-32-581.
Псевдоним DSMA можно получить доступ к ресурсам во время автономной постановки еще до создания самой учетной записи. Учетная запись и группа создаются во время первой загрузки компьютера в диспетчере учетных записей безопасности (SAM).
Использование Windows DefaultAccount
С точки зрения разрешений defaultAccount — это стандартная учетная запись пользователя. DefaultAccount необходим для запуска приложений с несколькими манифестами пользователей (приложения MUMA). Приложения MUMA запускают все время и реагируют на вход и вход пользователей с устройств. В отличие Windows desktop, где приложения работают в контексте пользователя и прекращаются, когда пользователь прекращает работу, приложения MUMA запускаются с помощью DSMA.
Приложения MUMA функциональны в общих сеансах skUs, таких как Xbox. Например, оболочка Xbox — это приложение MUMA. Сегодня Xbox автоматически включит учетную запись в качестве гостевой учетной записи и все приложения будут работать в этом контексте. Все приложения хорошо осведомлены о пользователях и реагируют на события, запускаемые менеджером пользователя. Приложения работают в качестве учетной записи «Гость».
Кроме того, Телефон в качестве учетной записи «DefApps», которая схожа со стандартной учетной записью пользователя в Windows, но с несколькими дополнительными привилегиями. В качестве этой учетной записи работают брокеры, некоторые службы и приложения.
В модели сходящихся пользователей приложения и брокеры, осведомленные о нескольких пользователях, должны будут работать в контексте, отличаемом от контекста пользователей. Для этого система создает DSMA.
Как создается defaultAccount на контроллерах домена
Если домен создан с помощью контроллеров домена, Windows Server 2016, defaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с контроллерами домена, которые управляют более ранней версией Windows Server, defaultAccount будет создан после того, как роль PDC Emulator будет передана контроллеру домена, который выполняет Windows Server 2016. После этого defaultAccount будет реплицироваться ко всем другим контроллерам домена в домене.
Рекомендации для управления учетной записью по умолчанию (DSMA)
Корпорация Майкрософт не рекомендует изменять конфигурацию по умолчанию, в которой учетная запись отключена. Угрозы безопасности при найме учетной записи в состоянии отключения не существует. Изменение конфигурации по умолчанию может помешать будущим сценариям, которые зависят от этой учетной записи.
Учетные записи локальной системы по умолчанию
SYSTEM
Учетная запись SYSTEM используется операционной системой и службами, работающими Windows. В операционной системе Windows множество служб и процессов, которые нуждаются в возможности для внутрисистемной регистрации, например во время Windows установки. Учетная запись SYSTEM была разработана для этой цели, Windows управляет правами пользователей учетной записи SYSTEM. Это внутренняя учетная запись, которая не показывается в диспетчере пользователей и не может быть добавлена в группы.
С другой стороны, учетная запись SYSTEM действительно появляется в томе файловой системы NTFS в файлоуправлении в части Permissions меню Security. По умолчанию учетная запись SYSTEM предоставляет разрешения на полный контроль для всех файлов в томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.
Предоставление разрешений на групповые файлы администраторов учетных записей не дает неявно разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем удалять их.
NETWORK SERVICE
Учетная запись NETWORK SERVICE — это предопределяемая локализованная учетная запись, используемая диспетчером управления службами (SCM). Служба, которая работает в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Дополнительные сведения см. в записи NetworkService.
ЛОКАЛИЗОВАННАЯ СЛУЖБА
Учетная запись LOCAL SERVICE — это предопределяемая локализованная учетная запись, используемая диспетчером управления службой. Он имеет минимальные привилегии на локальном компьютере и представляет анонимные учетные данные в сети. Дополнительные сведения см. в записи LocalService.
Управление учетной записью локальных пользователей
Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка Пользователи расположена в локальных пользователях и группах. Дополнительные сведения о создании и управлении учетной записью локальных пользователей см. в рублях Управление локальными пользователями.
Вы можете использовать локальные пользователи и группы для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможности локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как архивирование файлов и папок или закрытие сервера. Разрешение доступа — это правило, связанное с объектом, как правило, файлом, папкой или принтером. Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.
Вы не можете использовать локальные пользователи и группы в контроллере домена. Однако для удаленных компьютеров, которые не являются контроллерами домена в сети, можно использовать локальные пользователи и группы на контроллере домена.
Пользователи и компьютеры Active Directory используются для управления пользователями и группами в Active Directory.
Вы также можете управлять локальными пользователями, NET.EXE пользовательскими группами и управлять локальными группами с помощью NET.EXE LOCALGROUP или с помощью различных cmdlets PowerShell и других технологий скриптов.
Ограничение и защита локальных учетных записей с помощью административных прав
Администратор может использовать ряд подходов, чтобы предотвратить использование злоумышленниками украденных учетных данных, таких как украденный пароль или hash паролей, для использования локальной учетной записи на одном компьютере для проверки подлинности на другом компьютере с административными правами; это также называется «lateral movement».
Самый простой подход заключается в входе на компьютер со стандартной учетной записью пользователя вместо использования учетной записи администратора для выполнения задач, например для просмотра Интернета, отправки электронной почты или использования текстовых процессоров. Если вы хотите выполнить административную задачу, например установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать управление учетной записью пользователя (UAC) для запроса разрешения или пароля администратора перед выполнением задачи, как описано в следующем разделе.
Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с помощью административных прав:
Соблюдение локальных ограничений учетной записи для удаленного доступа.
Запретить логотип сети для всех учетных записей администратора.
Создание уникальных паролей для локальных учетных записей с административными правами.
Каждый из этих подходов описан в следующих разделах.
Эти подходы не применяются, если отключены все административные локальные учетные записи.
Соблюдение локальных ограничений учетной записи для удаленного доступа
Управление учетной записью пользователей (UAC) — это функция безопасности в Windows, которая используется в Windows Server 2008 и Windows Vista, а также операционных системах, к которым относится список Applies To. UAC позволяет управлять компьютером, информируя о том, когда программа вносит изменения, которые требуют разрешения администратора. UAC работает путем настройки уровня разрешений учетной записи пользователя. По умолчанию UAC должен уведомлять вас, когда приложения пытаются внести изменения на компьютер, но вы можете изменить, как часто UAC уведомляет вас.
UAC позволяет рассматривать учетную запись с административными правами как стандартную учетную запись пользователя без администратора, пока не будут запрашиваться и утверждены полные права, также называемые высотой. Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователей, не имеющих администратора, для выполнения случайных административных задач без необходимости переключать пользователей, выходить или использовать run в качестве команды.
Кроме того, UAC может потребовать от администраторов специально утверждать приложения, которые внося изменения в систему до получения разрешения на запуск этих приложений, даже в сеансе пользователя администратора.
Например, функция UAC по умолчанию отображается при висении локальной учетной записи с удаленного компьютера с помощью логотипа Network (например, с помощью NET.EXE USE). В этом случае ему выдан стандартный маркер пользователя без административных прав, но без возможности запрашивать или получать высоту. Следовательно, локальные учетные записи, входив с помощью логотипа Сети, не могут получить доступ к административным акциям, таким как C$, ИЛИ ADMIN$, или выполнять любое удаленное администрирование.
Дополнительные сведения об UAC см. в см. в twitter.ru.
В следующей таблице показаны параметры групповой политики и реестра, которые используются для применения локальных ограничений учетной записи для удаленного доступа.
| Нет. | Параметр | Подробное описание |
|---|---|---|
| Расположение политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности | |
| 1 | Имя политики | Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором |
| Параметр политики | Enabled | |
| 2 | Расположение политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности |
| Имя политики | Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором | |
| Параметр политики | Enabled | |
| 3 | Раздел реестра | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
| Имя значения реестра | LocalAccountTokenFilterPolicy | |
| Тип значения реестра | DWORD | |
| Данные о значении реестра | 0 |
Вы также можете применить по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемой ADMX в шаблонах безопасности.
Выполнение локальных ограничений учетной записи для удаленного доступа
Запустите консоль управления групповой политикой (GPMC).
В дереве консоли расширь forest \Domains\ Domain, ** **** ** а затем объекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором необходимо установить объект групповой политики (GPO).
В дереве консоли правой кнопкой мыши объекты групповой политикии > New.
В диалоговом окне New GPO и > ОК, где gpo_name является именем нового GPO. Имя GPO указывает на то, что GPO используется для ограничения прав местного администратора, которые не будут перенаправлены на другой компьютер.
В области сведений правой кнопкой и > изменить.
Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, делая следующее:
Перейдите к конфигурации компьютера\Windows Параметры\Security Параметры\Local Policies\\and > Security Options.
Дважды щелкните управление учетной записью пользователя: запустите всех администраторов в режиме утверждения администратора > включен > ОК.
Дважды щелкните управление учетной записью пользователя: режим утверждения администратора для встроенной учетной записи администратора > **** > Включено ОК.
Убедитесь, что локальные ограничения учетной записи применяются к сетевым интерфейсам, делая следующее:
Перейдите к конфигурации компьютера\Предпочтения и Windows Параметры и > реестру.
Правой кнопкоймыши Реестр и > новый > элемент реестра.
В диалоговом окне New Registry Properties на вкладке General измените параметр в поле Действия на Замену.
Убедитесь, что поле Hive задает HKEY_LOCAL_MACHINE.
Щелкните (. ), просмотрите следующее расположение для выбора пути ключа **** > **** для: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
В области имя значения введите LocalAccountTokenFilterPolicy.
В поле Тип значения из выпадаемого списка выберите REG_DWORD для изменения значения.
В поле Значение данных убедитесь, что значение за установлено до 0.
Проверьте эту конфигурацию и > ОК.
Привяжете GPO к первому организационному подразделению Workstations( OU), выполнив следующее:
Перейдите по \Domains\ \OU.
Щелкните правой кнопкой мыши OU рабочих станций и > щелкните ссылку на существующий GPO.
Выберите только что созданный GPO и > ОК.
Проверьте функциональные возможности корпоративных приложений на рабочих станциях в этом первом OU и уладить все проблемы, вызванные новой политикой.
Создайте ссылки на все другие OUs, содержащие рабочие станции.
Создайте ссылки на все другие OUs, содержащие серверы.
Отказ от логотипа сети для всех учетных записей локального администратора
Отказ локальным учетным записям в возможности выполнять сетевые логонсы может помочь предотвратить повторное повторное распространение локального пароля учетной записи во время вредоносной атаки. Эта процедура помогает предотвратить дальнейшее перемещение, гарантируя, что учетные данные локальных учетных записей, украденных из скомпрометированной операционной системы, не могут использоваться для компрометации дополнительных компьютеров, которые используют те же учетные данные.
Чтобы выполнить эту процедуру, сначала необходимо определить имя локальной учетной записи администратора по умолчанию, которая не может быть по умолчанию имя пользователя «Администратор», и любые другие учетные записи, которые являются членами локальной группы администраторов.
В следующей таблице показаны параметры групповой политики, используемые для отказа в логотипе сети для всех локальных учетных записей администратора.
| Нет. | Параметр | Подробное описание |
|---|---|---|
| Расположение политики | Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment | |
| 1 | Имя политики | Отказ в доступе к компьютеру из сети |
| Параметр политики | Локализованная учетная запись и член группы Администраторы | |
| 2 | Расположение политики | Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment |
| Имя политики | Запретить вход в систему через службу удаленных рабочих столов | |
| Параметр политики | Локализованная учетная запись и член группы Администраторы |
Отказ от логотипа сети для всех учетных записей локального администратора
Запустите консоль управления групповой политикой (GPMC).
В дереве консоли расширь forest \Domains\ **** ** ** а затем объекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором необходимо установить объект групповой политики (GPO).
В дереве консоли правой кнопкой мыши объекты групповой политикии > New.
В диалоговом окне New GPO > **** gpo_name является именем нового GPO, указывает на то, что он используется для ограничения использования локальных административных учетных записей от интерактивной регистрации на компьютер.
В области сведений правой кнопкой и > изменить.
Настройте права пользователей на отказ от сетевых логотипов для административных локальных учетных записей следующим образом:
Перейдите к конфигурации компьютера\Windows Параметры\security Параметры\\и > назначению прав пользователей.
Дважды щелкните Запретить доступ к этому компьютеру из сети.
Щелкните Добавить пользователя или группу, введите локализованную учетную запись и членагруппы администраторов и > ОК.
Настройте права пользователей на отказ от логотипов удаленного рабочего стола (Remote Interactive) для административных локальных учетных записей следующим образом:
Перейдите к конфигурации компьютера\Политики\Windows Параметры и локальные политики, а затем нажмите кнопку Назначение прав пользователей.
Дважды нажмите кнопку Запретить вход через удаленные службы настольных компьютеров.
Щелкните Добавить пользователя или группу, введите локализованную учетную запись и членагруппы администраторов и > ОК.
Увязка GPO с первым OU рабочих станций следующим образом:
Перейдите по \Domains\ \OU.
Щелкните правой кнопкой мыши OU рабочих станций и > щелкните ссылку на существующий GPO.
Выберите только что созданный GPO и > ОК.
Проверьте функциональные возможности корпоративных приложений на рабочих станциях в этом первом OU и уладить все проблемы, вызванные новой политикой.
Создайте ссылки на все другие OUs, содержащие рабочие станции.
Создайте ссылки на все другие OUs, содержащие серверы.
Возможно, вам придется создать отдельное GPO, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.
Создание уникальных паролей для локальных учетных записей с административными правами
Пароли должны быть уникальными для каждой учетной записи. Хотя это обычно верно для отдельных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одинаковые пароли используются для локальных учетных записей во время развертывания операционной системы.
Пароли, которые синхронно остаются неизменными или изменяются синхронно, чтобы сохранить их идентичными, добавляют значительный риск для организаций. Рандомизация паролей смягчает атаки «pass-the-hash» с помощью различных паролей для локальных учетных записей, что затрудняет возможность вредоносных пользователей использовать хеши паролей этих учетных записей для компрометации других компьютеров.
Пароли можно рандомизировать по:
Приобретение и реализация корпоративного средства для выполнения этой задачи. Эти средства обычно называются «привилегированным управление паролями».
Настройка решения локального пароля администратора (LAPS) для выполнения этой задачи.
Создание и реализация настраиваемой скрипта или решения для рандомизации локальных паролей учетных записей.
См. также
Следующие ресурсы предоставляют дополнительные сведения о технологиях, связанных с локальными учетной записью.