拒绝从网络访问这台计算机
05/19/2021
本文内容
适用范围
Windows 10
介绍"拒绝从网络安全策略访问此计算机"设置的最佳方案、位置、值、策略**** 管理和安全注意事项。
参考
此安全策略确定阻止哪些用户通过网络访问设备。
常量:SeDenyNetworkLogonRight
可能值
用户定义的帐户列表
来宾
最佳做法
由于所有 Active Directory 域服务程序都使用网络登录进行访问,因此在域控制器上分配此用户时要谨慎。
位置
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
默认值
默认情况下,此设置在域控制器和独立服务器上为"来宾"。
下表列出了实际和有效的默认策略值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
来宾
Stand-Alone服务器默认设置
来宾
域控制器有效默认设置
来宾
成员服务器有效默认设置
来宾
客户端计算机有效默认设置
来宾
策略管理
本节介绍可帮助您管理此策略的功能和工具。
此策略设置生效不需要重新启动设备。
如果用户帐户受这两个策略限制****,则此策略设置将取代"从网络策略设置访问此计算机"。
对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。
组策略
设置组策略对象 (GPO) 按以下顺序应用,这将在下次组策略更新时覆盖本地计算机的设置:
本地策略设置
站点策略设置
域策略设置
OU 策略设置
当本地设置显示为灰色时,它表示 GPO 当前控制该设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
可以通过网络登录到设备的用户可以枚举帐户名、组名称和共享资源的列表。 有权访问共享文件夹和文件的用户可以通过网络进行连接,并且可以查看或修改数据。
对策
将 "拒绝从网络用户访问 此计算机"权限分配给以下帐户:
匿名登录
内置本地管理员帐户
本地来宾帐户
所有服务帐户
此列表的一个重要例外是,用于启动必须通过网络连接到设备的服务的任何服务帐户。 例如,假设你已配置一个共享文件夹供 Web 服务器访问,并且你通过网站显示该文件夹中的内容。 您可能需要允许运行 IIS 的帐户使用网络共享文件夹登录到服务器。 当您由于法规合规性问题而必须配置处理敏感信息的服务器和工作站时,此用户权限尤其有效。
备注
如果在服务登录属性中配置了服务帐户Windows,则需要域控制器的网络登录权限才能正确启动。
潜在影响
如果为其他帐户**** 配置"拒绝从网络用户访问此计算机"权限,则您可以限制分配给环境中特定管理角色的用户的能力。 应验证委派任务是否未受到负面影响。
相关主题