Използването на един и същ потребител с администраторски права за всичко е едно от... най-често срещаните грешки в сигурността В Windows, както у дома, така и в професионална среда, отделянето на ежедневния ви служебен акаунт от акаунтите с високи привилегии и задълбоченото разбиране на вътрешните системни акаунти е ключово за намаляване на рисковете, защита на поверителността и ограничаване на зловредния софтуер.
В цялата тази статия ще видите, стъпка по стъпка, как Създавайте и управлявайте защитени локални акаунти за ежедневна употребаКакви видове акаунти съществуват в Windows (включително скрити системни акаунти), как да ги конфигурирате в Windows 10 и Windows 11, какво се е променило в последните версии и какви правила и най-добри практики трябва да прилагате, ако управлявате няколко компютъра или цяла класна стая.
Какво точно е локален акаунт в Windows и защо е полезно да се използва?
В Windows можете да влезете с Акаунт в Microsoft или с локален акаунтАкаунтът в Microsoft е свързан с имейл адрес (Outlook, Hotmail, Live и др.) и се интегрира с OneDrive, Microsoft Store, синхронизиране на настройки, Xbox, Office и други облачни услуги. Всичко това е чудесно, но също така означава по-голямо излагане на данни и зависимост от вашата онлайн идентичност.
Локалният акаунт, от друга страна, е акаунт, който Съществува само на това устройствоПотребителят има папка с профил, документи, снимки, работен плот и др., но настройките и файловете не са синхронизирани с облака на Microsoft. Този подход предлага... по-голяма степен на поверителност и намалява повърхността за атака в сценарии, в които не се нуждаете или не искате интеграция с онлайн услугите на компанията.
В среди с множество потребители, споделящи компютър (голямо семейство, офис, класна стая, лаборатория или малък бизнес), създаването на отделни локални профили предотвратява Някои разглеждат данните на други хораТой изолира настройките, историята на браузъра и инсталираните приложения за всеки потребител, опростявайки спазването на политиките за защита на данните.
Windows 8, 10 и 11 все още позволяват локални акаунти, точно както в предишните версии, въпреки че системата се опитва да ви накара да ги използвате. Microsoft се грижи за всичкоМожете да превключвате между вашия акаунт в Microsoft и вашия локален акаунт по всяко време, без да губите данни, ако го направите правилно.
Локални потребителски и системни акаунти: какви видове има и за какво се използват
Windows автоматично създава поредица от локални акаунти по подразбиране Когато инсталирате системата, някои са специфични за потребителя, а други са специфични за системата, използвани вътрешно от самия Windows и определени услуги. Те не се държат по един и същ начин или нямат едни и същи разрешения, така че е важно да ги разбирате, за да избегнете евентуални повреди или уязвимости.
Локални потребителски акаунти по подразбиране
Локалните потребителски акаунти по подразбиране са вградени акаунти, които системата генерирани по време на инсталациятаТе не могат да бъдат изтрити, въпреки че в някои случаи могат да бъдат преименувани или деактивирани. Всички те се намират на компютъра и имат права само върху това устройство, без автоматичен достъп до мрежови ресурси.
За да преглеждате и управлявате тези акаунти, в Pro издания и по-нови версии можете да използвате конзолата. Администриране на устройства > Локални потребители и групи > ПотребителиОттам можете да създавате персонализирани потребители, да променяте пароли, да деактивирате акаунти и т.н. В домашните издания много от тези задачи се изпълняват от приложението Настройки или с помощта на команди.
Администраторски акаунт
Вграденият локален администраторски акаунт е този, който има пълен контрол над отбораВашият SID завършва на 500 Това е първият акаунт, който се генерира по време на инсталирането на Windows, въпреки че в съвременните версии той обикновено е деактивиран и за основния потребител се създава друг акаунт с администраторски права.
С този акаунт можете променяте който и да е файл, услуга, разрешение или настройкаТова им позволява да поемат контрол над ресурси, да променят потребителски права и да присвояват привилегии. Именно поради тази причина, това е много привлекателен акаунт за атакуващите и зловредния софтуер, а съществуването му е добре известно в почти всички версии на Windows.
От съображения за сигурност не можете да изтриете администраторския акаунт, но можете преименувайте го или го деактивирайтеMicrosoft препоръчва да не използвате този акаунт за редовни входове и да ограничите броя на акаунтите, принадлежащи към групата „Администратори“, доколкото е възможно. Добра практика е винаги да работите със стандартен акаунт и да използвате повишени привилегии („Изпълнявай като администратор“ и „Контрол на потребителските акаунти“) само когато е необходимо.
Гост акаунт
Гост акаунтът е предназначен за потребители случайна или еднократна употреба Те се нуждаят от бърз достъп до компютър, без да създават собствен акаунт. SID-то му завършва на 501, има много ограничени разрешения и по дизайн е предназначен за временни сесии без обширна персонализация.
По подразбиране акаунтът за гост се предлага деактивирано и без паролаТова представлява сериозен риск, ако се активира небрежно, тъй като може да предложи анонимен достъп. Това е единственият член на вградената група „Гости“ (SID S-1-5-32-546), който има само правата, необходими за локално влизане.
Ако го активирате по някаква причина, препоръчително е да го ограничите максимално, като не разрешите използването му по мрежата. да им попречите да преглеждат дневници на събитията и преглеждайте често активността си, за да предотвратите неволното ѝ използване от някого, за да остави услуги или ресурси отворени.
Профил по подразбиране (DSMA)
DefaultAccount, известен още като Акаунт, управляван от системата по подразбиране (DSMA)Това е стандартен системно управляван акаунт, въведен за поддръжка на многопотребителски приложения (MUMA) и определени съвременни сценарии (напр. Xbox или среди за споделени сесии).
Тази сметка обикновено е деактивирано по подразбиране На настолни компютри и сървъри с Windows, работещи с настолни компютри, той има известен RID (503) и принадлежи към специалната група системно управлявани акаунти (SID S-1-5-32-581). Самият Windows го създава в диспечера на акаунти за сигурност (SAM) при първото стартиране на компютъра.
От гледна точка на разрешенията, той се държи като стандартен потребител, но е проектиран така, че приложенията, които трябва да останат във фонов режим, реагирайки на промени в потребителската сесия, могат... изпълняват се в контекст, независим от този на човешките потребителиMicrosoft съветва да не се променят настройките по подразбиране, тъй като това може да наруши настоящите или бъдещите сценарии за сигурност, без да осигури реални ползи за сигурността.
WDAGUtilityAccount
WDAGUtilityAccount е друг вграден локален акаунт, използван от Защита на приложенията в Windows Defender (Windows Defender Application Guard). Неговият SID е известен (завършва на 504) и по подразбиране не принадлежи към никоя група.
Този акаунт се използва за изолиране на среди за сърфиране или изпълнение, които системата защитава в контейнери. При нормални обстоятелства не бива да го докосвате. Windows го активира и конфигурира автоматично. когато е необходимо.
WSIAccount
WSIAccount се появява в Windows 11 и е насочен към Дейности, свързани с мрежата, от заключения екран или екрана за входИзползва се например за достъп до страници на доставчици на идентификационни данни, когато искате да нулирате парола или да използвате уеб-базирано удостоверяване, преди да влезете напълно.
Той има известен SID, завършващ на 1001 и по подразбиране е част от групата „Потребители“. Отново, това е сервизен акаунт, който Не трябва да се използва интерактивно. нито да се променя ръчно, освен ако Microsoft не го документира за конкретен случай.
Профил в HelpAssistant
HelpAssistant е локален акаунт, който Windows Активирано само по време на сесии за отдалечена помощКогато потребител поиска помощ чрез покана (по имейл, файл и др.), системата създава този акаунт с ограничени разрешения, така че лицето, което помага, да може да се свърже и да контролира оборудването под наблюдение.
Акаунтът остава деактивиран, докато няма чакащи заявки за отдалечена помощ. Той се управлява от услугата „Мениджър на сесии за помощ за отдалечен работен плот“ и е част от групи, свързани с отдалечен работен плот и терминален сървър (например групи със SID S-1-5-13 и S-1-5-14, които включват потребители на услугите за отдалечен работен плот и отдалечено интерактивно влизане).
В Windows Server функцията „Отдалечена помощ“ не е инсталирана по подразбиране и е опционален компонентАкаунтът HelpAssistant не влиза в действие, докато не бъде инсталиран и използван.
Локални системни акаунти: СИСТЕМА, Локална услуга и Мрежова услуга
В допълнение към потребителските акаунти, Windows има няколко вътрешни системни акаунти които не са предназначени за влизане като обикновен потребител, а за да позволят на системата и нейните услуги да функционират.
Най-мощният е акаунтът СИСТЕМА (SID S-1-5-18). Използва се от ядрото на операционната система и множество услуги, които изискват максимални разрешения, включително инсталационни задачи. Не се показва в диспечера на потребителите, нито може да се добавя към групи, но ще го видите в списъците с разрешения на NTFS, където обикновено е пълен контрол над всички файлове на локалните обеми.
сметка Местна услуга (МЕСТНА УСЛУГА, SID S-1-5-19) Проектиран е да изпълнява услуги с минимални привилегии на машината и анонимни идентификационни данни в мрежата. По този начин, ако услуга, използваща този акаунт, бъде компрометирана, нападателят има по-малко място за маневриране.
Междувременно, сметката Мрежова услуга (МРЕЖОВА УСЛУГА, SID S-1-5-20) Той изпълнява услуги, които трябва да използват собствените идентификационни данни на компютъра, когато комуникират с други отдалечени сървъри. По този начин услугата се представя в мрежата като компютъра, а не като обикновен потребител, но поддържа относително ограничени привилегии локално.
Създайте защитени локални акаунти за ежедневна употреба в Windows 10 и Windows 11
Освен интегрираните акаунти, обичайната практика е да се създават стандартни локални потребители За ежедневна употреба можете да имате един или повече администраторски акаунти, които се използват само когато е необходимо да инсталирате софтуер, да променяте глобални настройки или да извършвате поддръжка. Windows предлага няколко начина за създаване на тези акаунти, в зависимост от това дали предпочитате графичен интерфейс или командния ред.
Създаване от приложението Настройки
В Windows 10 и 11, най-„удобният за потребителя“ маршрут за повечето потребители е приложението Настройки > АкаунтиОттам можете да създавате както локални акаунти, така и акаунти, базирани на Microsoft ID, и по-късно да променяте типа им (стандартен потребител или администратор).
Типичният процес е: отидете на „Акаунти“, въведете Семейство и други потребители (на Windows 10) или на Други потребители (в Windows 11) щракнете върху Добавяне на акаунт и когато системата поиска имейл или телефонен номер, изберете опцията Нямам данните за вход за този човекВ следващата стъпка, вместо да отваряте нов имейл на Microsoft, изберете Добавяне на потребител без акаунт в Microsoft.
Оттам нататък просто трябва да посочите потребителско име и паролаПовторете паролата си за сигурност и задайте три защитни въпроса. отговори за възстановяванеВъзможно е да оставите паролата празна, но това е лоша идея в почти всеки реален сценарий. След като бъде създаден, акаунтът се показва в секцията „Други потребители“ и можете да промените типа му на „Администратор“, ако е необходимо.
Създаване на акаунт на член на семейството (с акаунт в Microsoft)
Ако искате да създадете акаунти за непълнолетни или потребители, за които искате да кандидатствате родителски контрол и правила за времето пред екранаМожете да използвате опцията „Семейство“. В този случай е необходим акаунт в Microsoft, защото контролът е централизиран чрез услугата „Семейна безопасност“.
Потребител с администраторски права, който е влязъл с Microsoft ID, може да отиде в „Акаунти“ > „Семейство“, да добави член и да посочи дали ще бъде Организатор или член и свържете имейл адреса си (или създайте нов за дете). Всички последващи настройки (филтри, ограничения, отчети) се управляват по-късно чрез уебсайта на Microsoft Family Safety.
Създаване от Управление на устройства
В по-технически среди, управлението на екипи е много удобен инструмент за бързо създаване на множество локални потребители, особено в Windows Pro или Enterprise.
От контекстното меню на бутона „Старт“ отворете „Управление на компютъра“, разгънете „Локални потребители и групи“ > „Потребители“ и използвайте опцията за Нов потребителТози раздел определя потребителското име, незадължителното пълно име, описанието и паролата. Можете да изисквате промяна на паролата при първо влизане, да забраните на потребителите да променят паролата си или да я настроите да не изтича никога.
След като щракнете върху „Създаване“, прозорецът остава отворен, в случай че е необходимо да създадете няколко потребители подред, което е много полезно в класни стаи или лаборатории с много студенти. Този метод създава само местни потребители, а не акаунти на Microsoft, и от свойствата на всеки потребител можете да зададете членство в група (например Потребители или Администратори).
Създадено с Netplwiz
Netplwiz е класически инструмент за Windows. управление на акаунти и опции за входСтартира се от „Изпълнение“ чрез въвеждане на netplwiz и ви позволява да добавяте акаунти, да променяте пароли и да конфигурирате дали потребителят трябва да въведе парола при влизане.
От раздела Потребители щракнете върху Добавяне и съветникът ще предложи да създадете акаунт в Microsoft или, ако е избрана подходящата опция, локален акаунт без MicrosoftВъпреки че е донякъде скрита, процедурата е подобна на тази в приложението Настройки: име, парола и, ако е приложимо, членство в група.
Създаване от конзолата: net user и PowerShell
Когато управлявате много екипи или работите в безопасен режим, конзолата е ваш съюзник. С класическата команда Net User Можете да създадете потребител с един ред, например:
мрежов потребител оператор SecurePassword123! /add
Ако по-късно искате този акаунт да принадлежи към определена група, можете да използвате:
оператор /add за net localgroup Administrators За да зададете администраторски права или да го добавите към групата „Потребители“, ако трябва да е само стандартен потребител. Този метод е идеален за скриптове и автоматизирани внедрявания.
В PowerShell, командлетът Нов-LocalUser Това позволява повече контрол и модерен синтаксис. Можете да създадете акаунта и да дефинирате защитена парола, конвертирана в SecureString, и след това да я използвате. Добавяне на LocalGroupMember за да го добавите към съответната група. Това е особено полезно за системните администратори, когато се комбинира с инструменти за автоматизация или модула Microsoft.PowerShell.LocalAccounts.
Последни промени в Windows 11: OOBE, команди и създаване на локални акаунти
В последните версии на Windows 11, особено от компилация 24H2 нататък, Microsoft... затваряне на „неофициални“ маршрути за да се избегне изискването за използване на акаунт в Microsoft по време на първоначалната инсталация.
Добре познатият трик OOBE\BYPASSNOФункцията, която доскоро ви позволяваше да наложите опцията за локален акаунт в съветника за първоначално инсталиране (OOBE), спря да работи. Когато се опитвате да я използвате в режим 24/2, системата просто рестартира съветника и ви връща на същия екран, без да предлага пряк път за локален акаунт, както преди.
Въпреки това, все още съществуват ефективни алтернативи. Една от най-чистите е да използвате следното на екрана, което показва, че е необходима интернет връзка: Shift+F10 за отваряне на конзола и изпълнете вътрешна команда като OOBE: стартиране ms-cxh:localonlyкоето кара асистента да показва пътя за създаване на локален акаунт, без да го свързва с имейл.
Друг класически вариант е Инсталиране на Windows офлайнИзключването на мрежовия кабел или деактивирането на Wi-Fi преди или по време на съветника за настройка също може да помогне. В много компилации, ако компютърът не открие интернет връзка, той автоматично предлага опцията за създаване на локален акаунт като част от първоначалния процес на настройка, без да са необходими допълнителни стъпки.
Накрая, винаги има възможност за Инсталирайте с акаунт в Microsoft и след това създайте локален акаунт От „Настройки“ или конзолата преместете ежедневната си употреба към този акаунт и, ако желаете, конвертирайте акаунта на Microsoft в локален акаунт от „Акаунти“ > „Вашата информация“ > „Влизане с локален акаунт“. Малко по-сложно е, но е напълно поддържано и стабилно.
Сигурност и най-добри практики при ежедневното използване на локални акаунти
Наличието на много акаунти е безполезно, ако конфигурацията им е небрежна. За да осигурят наистина сигурност локалните акаунти, те трябва да бъдат комбинирани. добри практики за употреба с правилната конфигурация на UAC, разрешения и групови политики, особено в корпоративни среди.
Използвайте стандартен акаунт за ежедневна употреба
Общата препоръка от Microsoft и всеки експерт по сигурността е ясна: използвайте Стандартен акаунт за ежедневни задачи (браузване, имейл, офис приложения, игри и др.) и запазвайте акаунти с администраторски права само за действията, които наистина ги изискват, и, когато е възможно, активирайте многофакторно удостоверяване.
El Контрол на потребителските акаунти (UAC) Това помага много. Дори когато влизате с акаунт, който принадлежи към групата „Администратори“, UAC прилага модел на „одобрение от администратор“: потребителят функционира в стандартен режим, докато дадено действие не изисква повишаване на правата, при което системата показва предупреждение и иска потвърждение или идентификационни данни.
UAC също влияе върху поведението на локалните акаунти, когато се използват за отдалечен или мрежов достъпНапример, когато влизате чрез мрежово влизане (NET USE, споделени връзки и др.), Windows може да издаде стандартен потребителски токен без възможности за повишаване на правата, като по този начин предотврати достъпа на този акаунт до административни ресурси, като например C$ или ADMIN$. Това намалява повърхността за атака за странично движение след кражба на идентификационни данни.
Ограничете отдалеченото използване на локални акаунти с администраторски права
Една от най-често срещаните атаки срещу Windows мрежи е страничното движение, при което се възползваме от... повторно използвани хешове за пароли на няколко компютъра. Ако локалният администраторски акаунт има една и съща парола на няколко компютъра, хакер, който компрометира един от тях, може да използва тези идентификационни данни, за да се разпространи към останалите.
За да се смекчи този риск, има няколко допълващи се стратегии. Първата е отказване на влизане от мрежата и услугите за отдалечен работен плот влизат в локални акаунти, които са членове на групата „Администратори“. Това се прави чрез групови правила, като се използват следните правила:
- Забранете мрежовия достъп на това устройство, конфигуриран за „Локален акаунт и член на групата администратори“.
- Забраняване на влизане чрез услугите за отдалечен работен плотсъщо така сочи към „Локален акаунт и член на групата администратори“.
Тези правила се прилагат в Компютърна конфигурация > Настройки на Windows > Настройки за сигурност > Локални правила > Присвояване на потребителски права и се разпространяват чрез GPO до организационните единици, които съдържат работни станции и сървъри, които искате да защитите.
Друга ключова мярка е контролирането на поведението на UAC при отдалечен достъп чрез конфигуриране на стойността в системния регистър. LocalAccountTokenFilterPolicy Под HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Чрез GPO, базиран на предпочитанията на системния регистър, тази стойност може да бъде дефинирана като REG_DWORD с данни 0, за да се наложи филтриране на маркери и да се ограничи повишаването на достъпа до локални акаунти в мрежата.
Уникални и случайни пароли за привилегировани локални акаунти
Повторното използване на една и съща локална администраторска парола на всички компютри е огромен рискВсяко изтичане на тази парола или нейния хеш отваря вратата за компрометиране на всички идентично конфигурирани машини във верижна реакция.
Решението включва установяването уникални и случайни пароли за всеки локален акаунт с привилегии. Това прави атаките тип „pass-the-hash“ изключително трудни, тъй като откраднатият хеш е валиден само на машината, от която е получен, а не на останалите.
Microsoft предлага няколко начина за автоматизиране на тази рандомизация. Най-препоръчителният метод днес е внедряването LAPS (Решение за локална администраторска парола)Този софтуер генерира и ротира сложни пароли за локални администраторски акаунти и ги съхранява криптирани в Active Directory, достъпни само за оторизирани администратори. Други опции включват придобиване на корпоративни инструменти от привилегировано управление на пароли или разработете персонализирани скриптове, които периодично генерират силни пароли. Важното е да се избягват споделените статични пароли и изкушението да се „използва една и съща, за да я запомнят всички“.
Защита на чувствителни идентификационни данни и процеси: LSASS и Credential Guard
Windows съхранява идентификационни данни и тайни за сигурност по време на процеса LSASS (Услуга за подсистема за локална сигурност)който контролира потребителските сесии и валидации. Ако атакуващ успее да прочете паметта на LSASS, той може да извлече хешове на пароли и Kerberos билети за странично движение. Освен това е препоръчително Проверете дали вашите идентификационни данни са били разкрити и действайте бързо.
Следователно, на съвременните работни станции и сървъри е препоръчително да конфигурирате LSASS като Светлина за защита на процеса (PPL)засилвайки изолацията му от ненадеждни процеси. Освен това много настоящи системи позволяват активиране Персонална охрана, която използва хардуерно-базирана виртуализация за изолиране на идентификационни данни и тайни, като същевременно намалява площта, подлежаща на кражба на хеш данни.
Тези мерки, заедно с правилното сегментиране на локалните акаунти, използването на уникални пароли и ограничаването на отдалечените входове, водят до среда, която е много по-устойчива на ескалация и атаки за странично движение.
Разширено управление на локални акаунти и отдалечено администриране
На домейн контролерите, домейн акаунтите се управляват чрез Active Directory и обичайните инструменти, но е възможно да се използват и Местни потребители и групи да управлява акаунти на отдалечени компютри, които не са домейн контролери, при условие че мрежата и политиките позволяват отдалечено администриране.
В допълнение към графичния потребителски интерфейс, администраторите разполагат с класически помощни програми, като например NET.EXE потребител и NET.EXE локална група за управление на локални потребители и групи с помощта на скриптове и модула Microsoft.PowerShell.LocalAccounts за автоматизиране на създаването, промяната и изтриването на акаунти с PowerShell.
Правилно разпределение потребителски права и разрешения за достъп Това е и фундаментално. Правата (като архивиране на файлове, изключване на компютъра, локално или мрежово влизане) се дефинират в локални или домейн политики за сигурност, докато разрешенията се прилагат към конкретни обекти (файлове, папки, принтери) чрез ACL.
На домейн контролерите, „Локални потребители и групи“ не могат да се използват за управление на локални акаунти на самия контролер, но могат да се използват за насочване на администрирането към отдалечени компютри-членове. Това разделяне помага за поддържане на добре дефинирана сигурност на домейна спрямо локалните акаунти на всяка машина.
Взети заедно, задълбоченото разбиране на интегрираните акаунти, използването на стандартни локални акаунти за ежедневни операции, строгото ограничаване на административните акаунти, прилагането на политики за ограничаване на отдалеченото влизане, защитата на LSASS и осигуряването на уникални пароли полагат основите за... Локалните акаунти са безопасен и надежден инструмент както у дома, така и в бизнес мрежи, класни стаи или лаборатории, където много потребители споделят оборудване, но не трябва да споделят рискове или данни.
