網絡訪問: 本地帳戶的共享和安全模型

本文轉載自查看原文 2019-01-11 16:19 1569 windows

總結：

1、電腦的本地賬號在本地、還是網絡登錄電腦；

2、打開路徑：win+R，gpedit.msc，計算機配置—windows設置—本地策略—安全選項

網絡訪問: 本地帳戶的共享和安全模型 (Windows) | Microsoft Docs https://docs.microsoft.com/zh-cn/previous-versions//mt629072(v=vs.85)

網絡訪問: 本地帳戶的共享和安全模型

2016/04/01

介紹了有關“網絡訪問: 本地帳戶的共享和安全模型”安全策略設置的最佳做法、位置、值、策略管理和安全注意事項。

參考

此策略設置確定如何對使用本地帳戶的網絡登錄進行身份驗證。如果將此策略設置配置為“經典”，使用本地帳戶憑據的網絡登錄通過這些憑據進行身份驗證。如果將此策略設置配置為“僅來賓”，使用本地帳戶的網絡登錄會自動映射到來賓帳戶。“經典”模型對資源訪問權限提供精細控制，並允許你針對相同資源為不同用戶授予不同類型的訪問權限。相反，“僅來賓”模型會平等對待所有用戶，並且所有用戶都會獲得給定資源的相同訪問權限級別，這些權限可以為只讀或修改。

注意

此策略設置不會影響使用域帳戶的網絡登錄。此策略設置也不會影響通過諸如 Telnet 或遠程桌面服務的服務遠程執行的交互式登錄。

當設備未加入域時，此策略設置還會定制 Windows 資源管理器中的“共享”和“安全”****選項卡，以便對應於正在使用的共享和安全模型。

當此策略設置的值為“僅來賓 - 對本地用戶進行身份驗證，其身份為來賓”時，任何可以通過網絡訪問你的設備的用戶都使用來賓用戶權限執行此操作。這意味着，他們可能無法對共享文件夾執行寫入操作。盡管這可提高安全性，但會使授權用戶無法訪問這些系統上的共享資源。當該值為“經典 - 對本地用戶進行身份驗證，不改變其本來身份”****時，本地帳戶必須受密碼保護，否則任何人都可以使用這些用戶帳戶訪問共享系統資源。

可能值

經典 - 對本地用戶進行身份驗證，不改變其本來身份
僅來賓 - 對本地用戶進行身份驗證，其身份為來賓
未定義

最佳做法

對於網絡服務器，將此策略設置為“經典 - 對本地用戶進行身份驗證，不改變其本來身份”。
對於最終用戶系統，將此策略設置為“僅來賓 - 對本地用戶進行身份驗證，其身份為來賓”****。

位置

計算機配置\Windows 設置\安全設置\本地策略\安全選項

默認值

下表列出此策略的實際和有效默認值。策略的屬性頁中還列出了默認值。

服務器類型或 GPO	默認值
默認域策略	未定義
默認域控制器策略	未定義
獨立服務器默認設置	經典（對本地用戶進行身份驗證，不改變其本來身份）
DC 有效默認設置	經典（對本地用戶進行身份驗證，不改變其本來身份）
成員服務器有效默認設置	經典（對本地用戶進行身份驗證，不改變其本來身份）
客戶端計算機有效默認設置	經典（對本地用戶進行身份驗證，不改變其本來身份）

策略管理

本部分介紹可用於幫助管理此策略的功能和工具。

重啟要求

無。當以本地方式保存或通過組策略分配對本策略的更改時，無需重新啟動設備即可使這些更改生效。

組策略

此策略設置可使用組策略管理控制台 (GPMC) 配置為通過組策略對象 (GPO) 進行分配。如果此策略未包含在分配的 GPO 中，可以在本地計算機上通過使用本地安全策略管理單元來配置此策略。

安全注意事項

本部分介紹攻擊者可能如何利用某個功能或其配置、如何實現對策以及對策實現可能造成的負面后果。

漏洞

使用“僅來賓”模型，任何通過網絡對你的設備進行身份驗證的用戶都使用來賓權限執行此操作，這可能意味着他們沒有對該設備上的共享資源的寫入權限。盡管此限制可提高安全性，但它會使授權用戶更難以訪問這些計算機上的共享資源，因為這些資源上的 ACL 必須包含來賓帳戶的訪問控制項 (ACE)。使用“經典”模式，本地帳戶應受密碼保護。否則，如果啟用來賓訪問，任何人都可以使用這些用戶帳戶來訪問共享系統資源。

對策

對於網絡服務器，請將“網絡訪問: 本地帳戶的共享和安全模型”設置配置為“經典 - 對本地用戶進行身份驗證，不改變其本來身份”****。在最終用戶計算機上，將此策略設置配置為“僅來賓 - 對本地用戶進行身份驗證，其身份為來賓”。

潛在影響

無。這是默認配置。