拒绝本地登录
04/19/2017
本文内容
适用范围
Windows 10
介绍"拒绝在本地登录"安全策略设置的最佳方案、位置、值、策略 管理和安全注意事项 。
参考
此策略设置确定阻止哪些用户直接在设备控制台上登录。
常量:SeDenyInteractiveLogonRight
可能值
用户定义的帐户列表
未定义
最佳做法
将 "拒绝登录本地用户 "权限分配给本地来宾帐户,以限制可能未经授权的用户访问。
结合"允许在本地登录"策略设置,测试对此**** 策略设置的修改,以确定用户帐户是否受这两个策略影响。
位置
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
默认值
下表列出了最新受支持的 Windows 版本的实际和有效默认策略值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
未定义
域控制器有效默认设置
未定义
成员服务器有效默认设置
未定义
客户端计算机有效默认设置
未定义
策略管理
本节介绍可帮助您管理此策略的功能、工具和指南。
此策略设置生效不需要重新启动设备。
对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。
如果对此策略设置应用于"每个人"组,则任何人都无法在本地登录。
组策略
如果用户帐户受这两个 策略 限制,则此策略设置将取代"允许在本地登录"策略设置。
设置按以下顺序通过组策略对象 (GPO) ,这将在下次组策略更新时覆盖本地计算机的设置:
本地策略设置
站点策略设置
域策略设置
OU 策略设置
当本地设置显示为灰色时,它表示 GPO 当前控制该设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
任何能够本地登录的帐户都可用于在设备的控制台上登录。 如果此用户权限不限于必须登录到设备控制台的合法用户,未经授权的用户可能会下载并运行提升其用户权限的恶意软件。
对策
将 "拒绝登录本地用户" 权限分配给本地来宾帐户。 如果已安装可选组件(如 ASP.NET,您可能需要向这些组件所需的其他帐户分配此用户权限。
潜在影响
如果将"拒绝 登录 本地用户"权限分配给其他帐户,则可能会限制分配给环境中特定角色的用户的能力。 但是,此用户权限应显式分配给使用 Web 服务器角色配置的设备的 ASPNET 帐户。 您应该确认委派活动没有受到负面影响。
相关主题