Коришћење истог корисника са администраторским привилегијама за све је једна од најчешће безбедносне грешке У оперативном систему Windows, како код куће тако и у професионалном окружењу, одвајање вашег свакодневног радног налога од налога са високим привилегијама и темељно разумевање интерних системских налога је кључно за смањење ризика, заштиту приватности и сузбијање злонамерног софтвера.
У овом чланку ћете видети, корак по корак, како Креирајте и управљајте безбедним локалним налозима за свакодневну употребуКоје врсте налога постоје у оперативном систему Windows (укључујући скривене системске налоге), како их конфигурисати у оперативним системима Windows 10 и Windows 11, шта се променило у новијим верзијама и које смернице и најбоље праксе треба да примените ако управљате више рачунара или целом учионицом.
Шта је тачно локални налог у оперативном систему Windows и зашто је корисно користити га?
У систему Windows можете се пријавити помоћу Microsoft налог или са локалним налогомМајкрософт налог је повезан са имејл адресом (Outlook, Hotmail, Live, итд.) и интегрише се са OneDrive-ом, Microsoft продавницом, синхронизацијом подешавања, Xbox-ом, Office-ом и другим услугама у облаку. Све је ово одлично, али такође значи већу изложеност подацима и ослањање на ваш онлајн идентитет.
Локални налог, с друге стране, је налог који Постоји само на том уређајуКорисник има своју фасциклу профила, документе, слике, радну површину итд., али подешавања и датотеке нису синхронизовани са Microsoft облаком. Овај приступ нуди... већи степен приватности и смањује површину напада у сценаријима где вам није потребна или желите интеграцију са онлајн услугама компаније.
У окружењима са више корисника који деле рачунар (велика породица, канцеларија, учионица, лабораторија или мало предузеће), креирање одвојених локалних профила спречава Неки гледају податке других људиИзолује подешавања, историју прегледача и инсталиране апликације за сваког корисника, поједностављујући усклађеност са политикама заштите података.
Виндоус 8, 10 и 11 и даље дозвољавају локалне налоге баш као и у претходним верзијама, иако систем покушава да вас натера да их користите. Мајкрософт је одговоран за свеМожете прелазити између свог Microsoft налога и локалног налога у било ком тренутку, без губитка података ако то урадите исправно.
Локални кориснички и системски налози: које врсте постоје и за шта се користе
Windows аутоматски креира низ подразумевани локални налози Када инсталирате систем, неки су специфични за корисника, а други су специфични за систем, користе се интерно од стране самог Windows-а и одређених сервиса. Не понашају се на исти начин нити имају исте дозволе, па је важно разумети их како бисте избегли било какво оштећење или остављање рањивости.
Подразумевани локални кориснички налози
Подразумевани локални кориснички налози су уграђени налози које систем генерисано током инсталацијеНе могу се избрисати, иако се у неким случајевима могу преименовати или онемогућити. Сви се налазе на рачунару и имају права само над тим уређајем, без аутоматског приступа мрежним ресурсима.
Да бисте прегледали и управљали овим налозима, у Pro издањима и новијим верзијама можете користити конзолу. Администрација уређаја > Локални корисници и групе > КориснициОдатле можете креирати прилагођене кориснике, мењати лозинке, онемогућавати налоге итд. У кућним издањима, многи од ових задатака се извршавају из апликације Подешавања или помоћу команди.
Администраторски налог
Уграђени локални администраторски налог је онај који има потпуна контрола над тимомВаш SID се завршава на 500 То је први налог који се генерише током инсталације оперативног система Windows, иако је у модерним верзијама обично онемогућен и за главног корисника се креира други налог са администраторским дозволама.
Са овим налогом можете изменити било коју датотеку, услугу, дозволу или подешавањеОво им омогућава да преузму контролу над ресурсима, промене корисничка права и доделе привилегије. Управо због тога, то је веома атрактиван налог за нападаче и злонамерни софтвер, а његово постојање је добро познато у готово свим верзијама оперативног система Windows.
Из безбедносних разлога, не можете обрисати администраторски налог, али можете преименујте га или га онемогућитеМајкрософт препоручује да се овај налог не користи за редовне пријаве и да се што више ограничи број налога који припадају групи Администратори. Добра пракса је да се увек ради са стандардним налогом и да се повишена права (Покрени као администратор и Контрола корисничких налога) користе само када је то потребно.
Гостујући налог
Гостујући налог је намењен корисницима повремена или једнократна употреба Потребан им је брз приступ рачунару без креирања сопственог налога. Његов SID се завршава на 501, има веома ограничена овлашћења и по дизајну је намењен за привремене сесије без опсежног прилагођавања.
Подразумевано, гостујући налог долази онемогућено и без лозинкеОво представља озбиљан ризик ако се активира непажљиво, јер може понудити анонимни приступ. То је једини члан уграђене групе Гости (SID S-1-5-32-546), који има само права потребна за локално пријављивање.
Ако га из било ког разлога омогућите, препоручљиво је да га што више ограничите, не дозвољавајући његово коришћење преко мреже. спречити их да прегледају дневнике догађаја и често прегледајте своје активности како бисте спречили да их неко искористи да ненамерно остави услуге или ресурсе отвореним.
Подразумевани налог (DSMA)
Подразумевани налог, такође познат као Подразумевани системски управљани налог (DSMA)То је стандардни налог којим управља систем, а који је уведен ради подршке апликацијама за више корисника (MUMA) и одређеним модерним сценаријима (нпр. Xbox или окружења са дељеним сесијама).
Овај налог је обично подразумевано онемогућено На Windows десктоп рачунарима и серверима са искуством рада на десктопу, има познати RID (503) и припада посебној групи системски управљаних налога (SID S-1-5-32-581). Сам Windows га креира у Управитељу безбедносних налога (SAM) при првом покретању рачунара.
Са становишта дозвола, понаша се као стандардни корисник, али је дизајниран тако да апликације које морају да остану у позадини, реагујући на промене корисничке сесије, могу... покрећу се у контексту независном од људских корисникаМајкрософт саветује да се не мењају подразумевана подешавања, јер би то могло да наруши тренутне или будуће безбедносне сценарије, а да се притом не обезбеде икакве стварне безбедносне предности.
WDAGUtilityAccount
WDAGUtilityAccount је још један уграђени локални налог, који користи Заштита апликација Windows Defender (Windows Defender Application Guard). Његов SID је познат (завршава се на 504) и, подразумевано, не припада ниједној групи.
Овај налог се користи за изоловање окружења за прегледање или извршавање које систем штити у контејнерима. Под нормалним околностима, не би требало да га дирате. Windows га аутоматски омогућава и конфигурише. када је потребно.
WSIA налог
WSIAccount се појављује у систему Windows 11 и намењен је ка Активности везане за веб са закључаног екрана или екрана за пријавуКористи се, на пример, за приступ страницама добављача акредитива када желите да ресетујете лозинку или користите веб аутентификацију пре него што се потпуно пријавите.
Има познати SID који се завршава на 1001 и, подразумевано, део је групе Корисници. Поново, то је сервисни налог који Не треба га користити интерактивно. нити мењати ручно осим ако Мајкрософт то не документује за конкретан случај.
Налог помоћника
HelpAssistant је локални налог који Windows Омогућено само током сесија даљинске помоћиКада корисник затражи помоћ путем позива (е-поштом, датотеком итд.), систем креира овај налог са ограниченим дозволама тако да особа која помаже може да се повеже и контролише рачунар под надзором.
Налог остаје онемогућен док не постоје захтеви за удаљену помоћ на чекању. Њиме управља услуга „Управљач сесијама помоћи за удаљену радну површину“ и део је група повезаних са „Удаљеном радном површином“ и „Терминалним сервером“ (на пример, групе са SID S-1-5-13 и S-1-5-14, које укључују кориснике услуга „Удаљена радна површина“ и „Удаљено интерактивно пријављивање“).
У систему Windows Server, даљинска помоћ није подразумевано инсталирана и представља опционална компонентаНалог HelpAssistant заправо не долази у обзир док се не инсталира и не почне користити.
Локални системски налози: СИСТЕМ, Локална услуга и Мрежна услуга
Поред корисничких налога, Windows има неколико интерни системски налози који нису намењени за пријављивање као обичног корисника, већ за омогућавање функционисања система и његових услуга.
Најмоћнији је рачун СИСТЕМ (SID S-1-5-18). Користи га језгро оперативног система и бројне услуге које захтевају максималне дозволе, укључујући задатке инсталације. Не појављује се у Управитељу корисника нити се може додати групама, али ћете га видети на листама дозвола NTFS-а, где обично има потпуна контрола над свим датотекама локалних запремина.
Рачун Локална служба (ЛОКАЛНА СЛУЖБА, SID S-1-5-19) Дизајниран је за покретање сервиса са минималним привилегијама на машини и анонимним акредитивима на мрежи. На овај начин, ако је сервис који користи овај налог угрожен, нападач има мање простора за маневрисање.
Са своје стране, рачун Мрежна услуга (МРЕЖНА УСЛУГА, SID S-1-5-20) Покреће сервисе којима су потребни сопствени акредитиви рачунара приликом комуникације са другим удаљеним серверима. Стога се сервис мрежи представља као рачунар, а не као обичан корисник, али локално одржава релативно ограничене привилегије.
Креирајте безбедне локалне налоге за свакодневну употребу у оперативним системима Windows 10 и Windows 11
Поред интегрисаних налога, уобичајена пракса је креирање стандардни локални корисници За свакодневну употребу можете имати један или више администраторских налога који се користе само када је потребно да инсталирате софтвер, измените глобална подешавања или извршите одржавање. Windows нуди неколико начина за креирање ових налога, у зависности од тога да ли преферирате графички интерфејс или командну линију.
Креирај из апликације Подешавања
У оперативним системима Windows 10 и 11, најприлагодљивија рута за већину корисника је апликација Подешавања > НалозиОдатле можете креирати и локалне налоге и налоге засноване на Microsoft ID-у, а касније променити њихов тип (стандардни корисник или администратор).
Типичан ток је: идите на Налози, унесите Породица и други корисници (на Windows 10) или на Други корисници (у оперативном систему Windows 11), кликните на Додај налог и, када систем затражи е-пошту или број телефона, изаберите опцију Немам податке за пријаву ове особеУ следећем кораку, уместо отварања нове Microsoft е-поште, изаберите Додај корисника без Microsoft налога.
Одатле, само треба да назначите корисничко име и лозинкуПоновите лозинку ради безбедности и поставите три безбедносна питања. одговори на опоравакМогуће је оставити поље за лозинку празно, али то је лоша идеја у скоро сваком сценарију из стварног света. Након креирања, налог се појављује у одељку „Остали корисници“ и можете променити његов тип у „Администратор“ ако је потребно.
Креирање породичног налога (помоћу Microsoft налога)
Ако желите да креирате налоге за малолетнике или кориснике на које желите да се пријавите родитељски надзор и правила за време проведено испред екранаМожете користити опцију Породица. У овом случају, потребан је Microsoft налог јер је контрола централизована путем услуге Породична безбедност.
Корисник са администраторским привилегијама који је пријављен помоћу Microsoft ID-а може да оде на Налози > Породица, дода члана и назначи да ли ће бити Организатор или члан и повежите своју адресу е-поште (или креирајте нову за дете). Сва накнадна подешавања (филтери, ограничења, извештаји) се касније управљају преко веб-сајта Microsoft Family Safety.
Креирање из Управљања уређајима
У технички захтевнијим окружењима, управљање тимом је веома згодан алат за брзо креирајте више локалних корисника, посебно у Windows Pro или Enterprise верзијама.
Из контекстног менија дугмета „Старт“ отворите „Управљање рачунаром“, проширите „Локални корисници и групе“ > „Корисници“ и користите опцију за Нови корисникОвај одељак дефинише корисничко име, опционо пуно име, опис и лозинку. Можете захтевати промену лозинке при првом пријављивању, спречити кориснике да мењају лозинку или подесити да никада не истиче.
Након клика на „Креирај“, прозор остаје отворен у случају да треба да креирате више корисника заредом, што је веома корисно у учионицама или лабораторијама са много ученика. Ова метода креира само локални корисници, не Microsoft налоге, и из својстава сваког корисника можете доделити чланство у групи (на пример, Корисници или Администратори).
Креирано помоћу Netplwiz-а
Netplwiz је класични Windows алат за управљање налозима и опцијама за пријавуПокреће се из менија „Рун“ куцањем команде „netplwiz“ и омогућава вам да додате налоге, промените лозинке и конфигуришете да ли корисник мора да унесе лозинку приликом пријављивања.
На картици Корисници кликните на Додај и чаробњак ће понудити да креирате Microsoft налог или, ако је изабрана одговарајућа опција, локални налог без Microsoft-аИако је донекле скривено, поступак је сличан оном у апликацији Подешавања: име, лозинка и, ако је применљиво, чланство у групи.
Креирање из конзоле: net user и PowerShell
Када управљате многим тимовима или радите у безбедном режиму, конзола је ваш савезник. Са класичном командом нето корисник Можете креирати корисника једним редом, на пример:
нето корисник оператор SecurePassword123! /add
Ако касније желите да тај налог припада одређеној групи, можете користити:
оператор /add за администраторе нет локалне групе Да бисте доделили администраторска права или га додали групи Корисници ако треба да буде само стандардни корисник. Ова метода је идеална за скрипте и аутоматизована имплементирања.
У PowerShell-у, cmdlet Нев-ЛоцалУсер Омогућава већу контролу и модерну синтаксу. Можете креирати налог и дефинисати безбедну лозинку конвертовану у SecureString, а затим користити Додај члана локалне групе да бисте га додали у одговарајућу групу. Ово је посебно корисно за системске администраторе када се комбинује са алатима за аутоматизацију или модулом Microsoft.PowerShell.LocalAccounts.
Недавне промене у систему Windows 11: OOBE, команде и креирање локалних налога
У новијим верзијама система Windows 11, посебно од верзије 24H2 па надаље, Microsoft је затварање „незваничних“ рута да би се заобишао захтев за коришћењем Microsoft налога током почетне инсталације.
Добро познати трик ООБЕ\БИПАССНРОФункција која је донедавно омогућавала да наметнете опцију локалног налога у чаробњаку за искуство одмах по покретању (OOBE) престала је да ради. Када покушате да је користите у режиму 24/2, систем једноставно поново покреће чаробњак и враћа вас на исти екран, без нуђења пречице за локални налог као раније.
Међутим, ефикасне алтернативе и даље постоје. Једна од најчистијих је да се на екрану користи следеће што означава да је потребна интернет веза: Shift+F10 за отварање конзоле и извршите интерну команду као што је OOBE: покретање ms-cxh:localonlyшто омогућава асистенту да прикаже путању за креирање локалног налога без повезивања са имејлом.
Још једна класична опција је Инсталирајте Windows ван мрежеИскључивање мрежног кабла или онемогућавање Wi-Fi мреже пре или током чаробњака за подешавање такође може помоћи. У многим верзијама, ако рачунар не детектује интернет везу, аутоматски нуди опцију за креирање локалног налога као део почетног процеса подешавања, без потребе за било каквим додатним корацима.
Коначно, увек постоји могућност да се Инсталирајте помоћу Microsoft налога, а затим креирајте локални налог Из Подешавања или конзоле, преместите своју свакодневну употребу на тај налог и, ако желите, конвертујте Microsoft налог у локални налог из Налози > Ваше информације > Пријавите се са локалним налогом. Мало је сложеније, али је потпуно подржано и стабилно.
Безбедност и најбоље праксе у свакодневном коришћењу локалних налога
Имати много налога је бескорисно ако је њихова конфигурација лоша. Да би локални налози заиста пружили безбедност, потребно их је комбиновати. добре праксе коришћења са исправном конфигурацијом UAC-а, дозвола и групних политика, посебно у корпоративним окружењима.
Користите стандардни налог за свакодневну употребу
Општа препорука компаније Microsoft и сваког стручњака за безбедност је јасна: користите Стандардни налог за свакодневне задатке (прегледање, е-пошта, канцеларијске апликације, игре итд.) и резервишите налоге са администраторским привилегијама само за оне радње које их заиста захтевају и, кад год је то могуће, активирајте их вишефакторска аутентификација.
El Контрола корисничког налога (УАЦ) Ово много помаже. Чак и када се пријављујете са налогом који припада групи Администратори, UAC примењује модел „администраторског одобрења“: корисник функционише у стандардном режиму док нека радња не захтева елевацију, у ком тренутку систем приказује упозорење и тражи потврду или акредитиве.
UAC такође утиче на то како се локални налози понашају када се користе за удаљени или мрежни приступНа пример, приликом пријављивања путем мрежног пријављивања (NET USE, дељене везе итд.), Windows може издати стандардни кориснички токен без могућности елевације, спречавајући тај налог да приступи административним ресурсима као што су C$ или ADMIN$. Ово смањује површину напада за бочно кретање након крађе акредитива.
Ограничите даљинско коришћење локалних налога са администраторским правима
Један од најчешћих напада на Windows мреже је латерално кретање, искоришћавање поново коришћени хешеви лозинки на више рачунара. Ако локални администраторски налог има исту лозинку на више рачунара, нападач који угрози један може да користи те акредитиве да би се проширио на остале.
Да би се ублажио овај ризик, постоји неколико комплементарних стратегија. Прва је одбиј пријаву са мреже и Услуге удаљене радне површине се пријављују на локалне налоге који су чланови групе Администратори. То се ради путем групних смерница, користећи следеће смернице:
- Забрани мрежни приступ овом уређају, конфигурисан за „Локални налог и члан групе Администратори“.
- Забраните пријаву путем услуга удаљене радне површинетакође указује на „Локални налог и члан групе Администратори“.
Ове смернице се примењују у Конфигурација рачунара > Подешавања Windows-а > Подешавања безбедности > Локалне смернице > Додела корисничких права и дистрибуирају се путем GPO организационим јединицама које садрже радне станице и сервере које желите да заштитите.
Још једна кључна мера је контрола понашања UAC-а при удаљеном приступу конфигурисањем вредности регистра. ЛоцалАццоунтТокенФилтерПолици У оквиру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Преко GPO-а на основу подешавања регистра, ова вредност се може дефинисати као REG_DWORD са подацима 0 да би се спровело филтрирање токена и ограничило повећање привилегија локалних налога преко мреже.
Јединствене и насумичне лозинке за привилеговане локалне налоге
Поновно коришћење исте локалне администраторске лозинке на свим рачунарима је огроман ризикБило какво цурење те лозинке, или њеног хеша, отвара врата компромитовању свих идентично конфигурисаних машина у ланчаној реакцији.
Решење подразумева успостављање јединствене и случајне лозинке за сваки локални налог са привилегијама. Ово изузетно отежава нападе типа „pass-the-hash“, јер је украдени хеш важећи само на машини на којој је добијен, а не и на осталима.
Мајкрософт нуди неколико начина за аутоматизацију ове рандомизације. Најпрепорученија метода данас је имплементација ЛАПС (решење лозинке локалног администратора)Овај софтвер генерише и ротира сложене лозинке за локалне администраторске налоге и чува их шифроване у Active Directory-ју, доступним само овлашћеним администраторима. Друге опције укључују набавку пословних алата од привилеговано управљање лозинкама или развити прилагођене скрипте које периодично генеришу јаке лозинке. Важно је избегавати дељене статичке лозинке и искушење да се „користи иста лозинка коју сви памте“.
Заштита осетљивих акредитива и процеса: LSASS и Credential Guard
Windows чува акредитиве и безбедносне тајне током процеса LSASS (Услуга подсистема локалног безбедносног органа)који контролише корисничке сесије и валидације. Ако нападач успе да прочита LSASS меморију, може да издвоји хешеве лозинки и Kerberos тикете за бочно кретање. Штавише, препоручљиво је Проверите да ли су ваши акредитиви процурели и делуј брзо.
Стога је на модерним радним станицама и серверима препоручљиво конфигурисати LSASS као Светло за заштиту процеса (PPL)појачавајући његову изолацију од непоузданих процеса. Поред тога, многи тренутни системи омогућавају активацију Чувари поузданости, која користи виртуелизацију засновану на хардверу за изолацију акредитива и тајни, такође смањујући површину за крађу хеша.
Ове мере, заједно са правилном сегментацијом локалних налога, коришћењем јединствених лозинки и ограничавањем удаљених пријава, резултирају окружењем које је много отпорније на ескалацију и латералне нападе.
Напредно управљање локалним налозима и даљинска администрација
На контролерима домена, налози домена се управљају путем Active Directory-ја и уобичајених алата, али је могуће користити и Локални корисници и групе да управља налозима на удаљеним рачунарима који нису контролери домена, под условом да мрежа и политике дозвољавају даљинско администрирање.
Поред графичког корисничког интерфејса, администратори имају класичне услужне програме као што су NET.EXE корисник и NET.EXE локална група за управљање локалним корисницима и групама помоћу скрипти и модул Microsoft.PowerShell.LocalAccounts за аутоматизацију креирања, измене и брисања налога помоћу PowerShell-а.
Правилно доделите корисничка права и дозволе за приступ Такође је фундаментално. Права (као што су прављење резервних копија датотека, искључивање рачунара, локално или пријављивање преко мреже) дефинисана су у локалним или доменским безбедносним политикама, док се дозволе примењују на одређене објекте (датотеке, фасцикле, штампаче) путем ACL-ова.
На контролерима домена, локални корисници и групе не могу се користити за управљање локалним налозима на самом контролеру, али се могу користити за усмеравање администрације на удаљене рачунаре чланове. Ово раздвајање помаже у одржавању добро дефинисана безбедност домена у односу на локалне налоге сваке машине.
Узето заједно, темељно разумевање интегрисаних налога, коришћење стандардних локалних налога за свакодневне операције, строго ограничавање административних налога, спровођење политика ограничења удаљеног пријављивања, заштита LSASS-а и обезбеђивање јединствених лозинки постављају темеље за... Локални налози су безбедан и поуздан алат како код куће, тако и у пословним мрежама, учионицама или лабораторијама где многи корисници деле опрему, али не би требало да деле ризике или податке.
