что такое учетная запись администратора
Чем отличается администратор и обычный пользователь Windows
Прежде чем объяснить, в чём разница между обычным пользователем и администратором Windows, давайте посмотрим, как пользователи классифицируются в операционных системах Microsoft.
Windows классифицирует пользователей компьютеров по двум различным типам: стандартная учетная запись и учетная запись администратора. Стандартная учетная запись пользователя имеет ограниченные административные привилегии. Она может использовать большинство программ, но не может изменить системные настройки. Она не может устанавливать или удалять программы и компоненты оборудования, удалять файлы, необходимые для работы компьютера, и вносить изменения, которые влияют на других пользователей или защищают операционную систему.
Аккаунт Администратора имеет полный контроль над компьютером. Он может устанавливать и удалять любую программу, изменять все настройки ПК и вносить изменения в стандартные учетные записи.
Давайте попытаемся понять, в чём разница между обычным пользователем и администратором, объяснив, какие основные действия может выполнять каждый из них.
Что может сделать обычный пользователь Windows
Стандартный пользователь Windows может:
Что может сделать администратор Windows
Пользователь с правами администратора Windows может:
Аккаунты пользователей и безопасность
Разница между обычным пользователем и администратором, в основном, касается возможности выполнять или не выполнять действия, которые могут поставить под угрозу безопасность компьютера.
Даже если мы используем стандартную учетную запись пользователя, можно выполнять действия, требующие административных привилегий. Однако, для этого необходимо указать пароль учетной записи администратора. Если обычный пользователь хочет выполнить административную задачу, Windows запросит пароль администратора, используя управление учетными записями пользователей, прежде чем продолжить.
На этапе установки операционной системы Windows автоматически создает учетную запись пользователя. Эта учетная запись всегда является учетной записью администратора.
Важно: Windows всегда требует наличия учетной записи администратора на компьютере. Если на компьютере есть только одна учетная запись, то это, безусловно, пользователь с правами администратора. Если на компьютере несколько учетных записей, мы можем увидеть, являются ли они обычными пользователями или администраторами.
Как проверить права учетной записи
После объяснения, в чём разница между обычным пользователем и администратором, давайте посмотрим, как определить, какой из них мы используем.
Создание учетной записи локального пользователя или администратора в Windows
Вы можете создать локализованную учетную запись пользователя (автономную учетную запись) для всех пользователей, которые часто используют ваш компьютер. Однако в большинстве случаев рекомендуется создать для всех пользователей компьютера учетные записи Майкрософт. С помощью учетной записи Майкрософт вы можете получить доступ к приложениям, файлам и службам Майкрософт на всех своих устройствах.
При необходимости учетная запись локального пользователя может иметь разрешения администратора; однако лучше по возможности просто создать учетную запись локального пользователя.
Внимание: Пользователь с учетной записью администратора может получить доступ ко всем данным в системе, а любые вредоносные программы, с которыми они сталкиваются, могут использовать разрешения администратора для потенциального заражения или повреждения любых файлов в системе. Предоставляйте этот уровень доступа только при абсолютной необходимости и только людям, которым вы доверяете.
При создании учетной записи помните, что выбор пароля и его сохранение являются очень важными шагами. Поскольку мы не знаем вашего пароля, если вы забудете или потеряете его, нам не удастся его восстановить для вас.
Создание учетной записи локального пользователя
Выберите Пуск > Параметры > Учетные записи и щелкните Семья и другие пользователи. (В некоторых версиях Windows вы увидите пункт Другие пользователи.)
Рядом с пунктом Добавить другого пользователя выберите Добавить учетную запись.
Выберите пункт У меня нет учетных данных этого пользователя и на следующей странице нажмите Добавить пользователя без учетной записи Майкрософт.
Введите имя пользователя, пароль, подсказку о пароле или выберите секретные вопросы, а затем нажмите Далее.
Изменение учетной записи локального пользователя на учетную запись администратора
Выберите Пуск > Параметры > Учетные записи.
В разделе Семья и другие пользователи щелкните имя владельца учетной записи (под ним должно быть указано «Локальная учетная запись») и выберите Изменить тип учетной записи.
Примечание: Если вы выбрали учетную запись, в которой указан адрес электронной почты или не помечено «Локализованная учетная запись», вы даете разрешения администратора для учетной записи Майкрософт, а не локальной учетной записи.
В разделе Тип учетной записи выберите Администратор, и нажмите OK.
Войдите в систему с новой учетной записью администратора.
Если вы используете Windows 10 версии 1803 или более поздней, можно добавить секретные вопросы, как описано в шаге 4 раздела Создание учетной записи локального пользователя. С помощью ответов на секретные вопросы можно сбросить пароль к вашей локальной учетной записи Windows 10. Все еще не знаете, какая версия вам нужна? Проверьте, какая версия у вас сейчас.
Создание учетной записи локального пользователя
Выберите Пуск > Параметры > Учетные записи и щелкните Семья и другие пользователи.(В некоторых версиях Windows вы увидите пункт Другие пользователи.)
Выберите Добавить пользователя для этого компьютера.
Выберите пункт У меня нет учетных данных этого пользователя и на следующей странице нажмите Добавить пользователя без учетной записи Майкрософт.
Введите имя пользователя, пароль, подсказку о пароле или выберите секретные вопросы, а затем нажмите Далее.
Изменение учетной записи локального пользователя на учетную запись администратора
В разделе Семья и другие пользователи щелкните имя владельца учетной записи и нажмите Изменить тип учетной записи.
Примечание: Если вы выбрали учетную запись, в которой указан адрес электронной почты или не помечено «Локализованная учетная запись», вы даете разрешения администратора для учетной записи Майкрософт, а не локальной учетной записи.
В разделе Тип учетной записи выберите Администратор, и нажмите OK.
Войдите в систему с новой учетной записью администратора.
Учетная запись администратора Windows: все, что вам нужно знать
Начиная с Windows Vista, встроенная учетная запись администратора Windows по умолчанию отключена. Эта учетная запись отделена от учетных записей пользователей уровня администратора, хотя обе имеют одинаковые права. В таком случае лучше всего игнорировать учетную запись администратора Windows?
Ну и да, и нет. Windows отлично работает без него, и большинству людей никогда не понадобится использовать эту учетную запись. Тем не менее, он предлагает немного больше возможностей и гибкости, чем обычная учетная запись пользователя — но при этом риск снижения безопасности.
Давайте взглянем на учетную запись администратора Windows, чтобы вы могли полностью понять, для чего она нужна.
Что такое учетная запись администратора Windows?
В Windows XP и предыдущих версиях при каждой установке Windows по умолчанию была включена специальная учетная запись «Администратор». Эта учетная запись имеет наивысшие разрешения из всех профилей на компьютере и, таким образом, может делать что угодно с повышенными правами администратора без необходимости подтверждения. Это похоже на учетные записи «root» или «superuser» в других операционных системах.
Учетная запись администратора представляла проблему безопасности в прошлых версиях Windows. По умолчанию пароль для него был пустым. Это означало, что до тех пор, пока вы не установите пароль для учетной записи, любой человек, обладающий небольшими знаниями, сможет войти в учетную запись администратора и получить полный доступ к системе.
А поскольку учетная запись администратора не имеет защиты, ее ежедневное использование опасно. Если вы по ошибке установили вредоносное ПО, ничто не помешает ему заразить все на вашем компьютере. Это, в сочетании с введением более гибких параметров безопасности учетной записи, является причиной того, что Microsoft отключила учетную запись администратора по умолчанию, начиная с Windows Vista.
Учетная запись администратора Windows и UAC
В Windows Vista и более поздних версиях каждая обычная учетная запись пользователя должна иметь дело с контролем учетных записей (UAC). UAC показывает окно с запросом безопасности всякий раз, когда вы хотите выполнить действие, требующее повышенных привилегий. К таким действиям относятся установка программы для всех пользователей, редактирование реестра, открытие командной строки от имени администратора и тому подобное.
По запросу UAC, стандартные учетные записи пользователей должны ввести учетные данные для учетной записи администратора (имя пользователя и пароль), чтобы продолжить. С другой стороны, учетные записи пользователей уровня администратора должны только нажать кнопку подтверждения, чтобы продолжить.
Это может раздражать даже администратора, особенно если вам нужно ежедневно подтверждать десятки запросов UAC.
Учетная запись администратора Windows обходит все средства защиты UAC, поскольку у нее нет ограничений или границ. Есть и другие способы обойти запросы UAC в Windows, не прибегая к встроенной учетной записи администратора, но они не особенно удобны (поскольку эта функция создана для обеспечения безопасности вашего ПК).
Следует ли использовать учетную запись администратора Windows?
Как уже упоминалось, в Windows 10 и других современных версиях учетная запись администратора по умолчанию отключена. Однако он все еще там; вам необходимо вручную включить его, прежде чем вы сможете начать использовать «Администратор» в современных версиях Windows.
Однако мы не рекомендуем этого в большинстве случаев. Использование учетной записи администратора может создать несколько угроз безопасности в вашей системе. Если вы запустите вредоносное ПО под этой учетной записью, оно не только получит полную свободу действий, но и не сможет защитить себя от ошибок.
Например, предположим, что вы неправильно набрали что-то в командной строке и ошибочно вводите команду, которая в конечном итоге приведет к удалению большого количества файлов. Вы не получите предупреждения под учетной записью администратора — команда будет выполняться так, как было введено.
Таким образом, вам следует включать учетную запись администратора только в том случае, если вы знаете, что делаете, и можете принять любые возможные последствия. В некоторых случаях это может быть необходимо для устранения глубоких проблем на уровне системы, но если вы все же включите учетную запись, разумно снова отключить учетную запись администратора, как только вы закончите с ней.
Как включить или отключить учетную запись администратора Windows
В Windows 10, 8.1 и 7 существует до трех способов включить (и отключить) учетную запись администратора Windows. Все они одинаково эффективны, но метод командной строки — единственный, который работает в версиях Windows Home. Это также быстро, так что попробуйте один, если вы действительно не предпочитаете другой.
После активации учетной записи любым способом вы можете войти в учетную запись администратора Windows, как и в любую другую учетную запись. Выберите его на экране выбора учетной записи при загрузке Windows или щелкните его в списке, который появляется при нажатии на изображение своего профиля в меню «Пуск».
Метод 1: командная строка
Во-первых, вам нужно открыть интерфейс командной строки (CMD). Обычное окно CMD не имеет прав администратора, необходимых для этой задачи. Таким образом, вам нужно запустить командную строку от имени администратора.
Такое окно терминала называется повышенным. См. Наше введение в командную строку для получения дополнительных сведений.
Поднять уровень командной строки очень просто. Откройте меню «Пуск» и введите cmd в строку поиска. Когда появятся результаты, щелкните правой кнопкой мыши Командную строку и выберите Запуск от имени администратора. Если появится запрос UAC, нажмите Да.
Теперь, когда приглашение открыто, введите или скопируйте / вставьте следующую команду и нажмите Enter:
сетевой администратор пользователя / активный: да
Чтобы позже отключить учетную запись администратора, просто замените часть «да» на «нет»:
сетевой администратор пользователя / активный: нет
Метод 2: локальные пользователи и группы
Если вам не нравится командная строка, вы можете включить или отключить учетную запись администратора графическим способом: в окне «Локальные пользователи и группы». Это удобно для системных администраторов в бизнес-среде, но вы, вероятно, никогда не сталкивались с этим как домашний пользователь. Но не волнуйтесь — это нетрудно понять.
Имейте в виду, что это работает только в профессиональных (и более поздних) версиях Windows. Если у вас Windows 10 Домашняя или другая Домашняя версия, вы не можете открыть эту панель. Вместо этого используйте метод командной строки, описанный выше.
Подробнее: Windows 10 Домашняя против Pro: нужно ли обновляться?
Для начала откройте окно «Выполнить», нажав Win + R. В появившемся поле введите lusrmgr.msc в поле и нажмите OK или нажмите Enter. Откроется Локальные пользователи и группы.
Внутри этого окна щелкните «Пользователи» на левой панели, затем щелкните правой кнопкой мыши «Администратор» и выберите «Свойства». На вкладке «Общие» вы должны увидеть поле «Учетная запись отключена». Снимите этот флажок, нажмите «ОК» и закройте окно.
Теперь учетная запись администратора готова к использованию. Чтобы отключить его позже, повторите эти шаги и снова установите флажок Учетная запись отключена.
Метод 3: локальная политика безопасности
Другой способ включить учетную запись администратора, если первые два вам не нравятся по какой-либо причине, — это использовать редактор локальной политики безопасности. Это самый сложный вариант из трех, но все же достаточно простой.
Как и вариант, упомянутый выше, это работает, по крайней мере, в Windows Pro. Если у вас Windows Home, вы не можете получить доступ к этому меню.
Начните с повторного открытия приглашения «Выполнить» с помощью Win + R. Введите secpol.msc в появившемся диалоговом окне, которое откроет интерфейс локальной политики безопасности.
Здесь разверните Локальные политики на левой панели, затем выберите Параметры безопасности в иерархии под ним. На правой панели найдите Учетные записи: статус учетной записи администратора и дважды щелкните его.
Откроется новое окно. На вкладке «Настройка локальной безопасности» выберите «Включено» и нажмите «ОК».
Теперь учетная запись администратора готова к использованию. Чтобы отключить его в будущем, просто повторите это и вместо этого выберите «Отключено».
Добавьте пароль к учетной записи администратора Windows
После того, как вы включили учетную запись администратора, неплохо было бы добавить к ней пароль. По умолчанию учетная запись администратора не имеет пароля, поэтому любой, у кого есть доступ к вашему компьютеру, может использовать его для получения полного контроля.
Открыв учетную запись администратора, откройте приложение «Настройки» с помощью Win + I и перейдите в раздел «Учетные записи»> «Параметры входа». Выберите Пароль> Изменить, чтобы добавить правильный пароль к учетной записи.
Для большего удобства вы можете изменить пароль учетной записи с помощью командной строки. После его изменения не теряйте пароль. Если вам когда-нибудь понадобится учетная запись администратора в будущем, вы столкнетесь с проблемами, если у вас не будет пароля.
Переименование учетной записи администратора Windows
Теперь, когда учетная запись администратора активирована и защищена паролем, необходимо рассмотреть еще один момент. Хакеры и распространители вредоносных программ всегда находят новые способы получить доступ к учетной записи администратора, поскольку она настолько мощная. Если он включен, вы подвергнетесь большему риску.
Чтобы уменьшить вашу уязвимую поверхность, мы рекомендуем отключить учетную запись администратора, как только вы закончите ее использовать. Однако, если вы чувствуете необходимость держать его включенным в течение длительного времени, вы можете изменить имя учетной записи на то, что не так сильно выделяется.
Это не обеспечит реальной защиты от атак, направленных на использование учетной записи администратора. Но в случае, если атака проверяет только учетную запись с именем «Администратор» или вы беспокоитесь о том, что кто-то с локальным доступом заметит это, это может помочь. Вы также можете изменить его просто для удовольствия.
Чтобы переименовать учетную запись администратора, снова запустите командную строку с повышенными привилегиями, как указано выше. Затем введите или скопируйте / вставьте следующее, заменив NewUserName на имя, которое вы хотите использовать:
wmic useraccount, где name = «Administrator» переименовать «NewUserName»
Учетная запись администратора будет переименована так, как вы ввели. Этот метод должен работать в Windows 10, 8.1 и 7. А если вы не хотите использовать командную строку, можно использовать графические методы переименования.
Если вы используете Windows Professional или более позднюю версию, выполните действия, описанные в пункте 2 выше, чтобы открыть панель «Локальные пользователи и группы». Там щелкните правой кнопкой мыши запись «Администратор» и выберите «Переименовать», что позволит вам ввести новое имя для учетной записи.
В Windows Home вы можете переименовать учетную запись администратора с помощью другого графического метода, если вы уже включили учетную запись. Откройте диалоговое окно «Выполнить» (Win + R) и введите netplwiz. В списке учетных записей дважды щелкните «Администратор», и вы можете изменить имя пользователя (а также полное имя, если хотите).
Освойте учетную запись администратора Windows
Теперь вы знаете все, что нужно знать об учетной записи администратора по умолчанию в Windows. И хотя мы говорили об этом несколько раз, важно подчеркнуть: если вам абсолютно не нужна учетная запись администратора Windows для очень конкретной цели, не используйте ее.
Есть причина, по которой Microsoft внедрила UAC в каждую современную версию Windows. Это более безопасно, но при этом предлагает удобство для большинства административных задач. И если вы когда-нибудь забудете свой пароль администратора в Windows, к счастью, его можно будет восстановить.
Как сделать себя Администратором компьютера под управлением Windows
Для того чтобы работа операционной системы была под защитой, создаётся учётная запись Администратора. Она позволяет создать профиль с индивидуальными параметрами и настроить работу компьютера под себя. Это очень полезная функция, особенно когда ПК пользуются несколько человек. Здесь очень важно сделать разграничение пользователей.
Как выдать права Администратора своей учетной записи?
Административная запись даёт возможность пользоваться многими, недоступными гостям возможностями. Например, устанавливать и удалять программы, изменять профили, предоставлять или ограничивать доступ к различным документам и т. д. Поэтому важно знать, как сделать свою учётную запись Администратором Windows, особенно в его новой 10 версии, в которой она по умолчанию скрытая и неактивная.
Какие бывают виды учётных профилей в Windows
Ещё не так давно в компьютерном мире существовало только 2 типа: с ограничением прав — Пользователь и без ограничения — Administrator. Пользуясь административными правами можно было работать с системой в полном объёме, но при этом подвергать компьютер серьёзной опасности со стороны вредоносных атак. Для того чтобы работать без лишних проблем, пользователи и не задумывались над тем, для чего и когда нужно выключать и выключать такие права.
Сейчас в более современных операционных системах Windows 8 и 10 версии существует 5 видов профилей с различным назначением.
Как включить административные права
Существует несколько способов открыть функцию. Они действуют практически во всех версиях Windows (7, 8, 10).
С помощью активации в командной строке.
С помощью меню «Пуск» открыть «Командную строку», набрать «net user administrator/active:yes» или «net user администратор/active:yes» (в русскоязычной версии). Затем ввести данные кнопкой «Enter».
С помощью Локальной политики Windows 8 и 10 версии.
За счёт управления компьютером.
Для того чтобы отключить права Администратора, после проделанных изменений следует скрыть администраторскую учётную запись с помощью отключения функции в командной строке, прописав в ней «net user administrator (или администратор)\activ:no».
Как войти в свою учётную запись
Для того чтобы вносить изменения в системные данные, необходимо настроить административные параметры.
Особенности использования Администратора в Windows 10
Если в систему Windows 10 не получается войти по каким-либо причинам, в том числе, если не известен пароль входа, можно использовать 2 способа работы с операционкой через администрирование.
1 способ.
2 способ.
Хочется отметить, что вопрос использования учётной записи Администратором и по сей день остаётся открытым. Как лучше поступить, назначить себя таковым или остаться стандартным пользователем с расширенными возможностями. Поэтому, проведя с системой какие-либо серьёзные манипуляции, в итоге следует закрыть профиль для более безопасного режима системы.
Локальные учетные записи
Относится к:
Эта справочная тема для ИТ-специалистов описывает локальные учетные записи пользователей по умолчанию для серверов, в том числе управление этими встроенными учетных записями на сервере-члене или автономных серверах.
О локальных учетных записях пользователей
Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Локальные учетные записи пользователей — это принципы безопасности, которые используются для обеспечения и управления доступом к ресурсам на автономных или серверных членах служб или пользователей.
В этом разделе описывается следующее:
Сведения о главных задачах безопасности см. в см. в руб.
Учетные записи локальных пользователей по умолчанию
Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке Windows.
После Windows установлено, локальные учетные записи пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не предоставляют доступ к сетевым ресурсам.
Локальные учетные записи по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, которые назначены учетной записи. Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка «Пользователи» расположена в локальной папке «Пользователи и группы» в локальной консоли управления компьютерами Microsoft Management Console (MMC). Управление компьютером — это набор административных средств, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. в разделе How to manage local accounts later in this topic.
Локальные учетные записи пользователей по умолчанию описаны в следующих разделах.
Учетная запись администратора
Учетная запись администратора полностью контролирует файлы, каталоги, службы и другие ресурсы на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения. Учетная запись администратора может контролировать локальные ресурсы в любое время, просто изменяя права и разрешения пользователей.
Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.
В Windows 10 и Windows Server 2016 Windows настройка отключает встроенную учетную запись администратора и создает другую локализованную учетную запись, которая входит в группу Администраторы. Члены групп Администраторы могут запускать приложения с повышенными разрешениями без использования параметра Run as Administrator. Быстрая переключение пользователей является более безопасной, чем использование Runas или высоты для разных пользователей.
Членство в группе учетных записей
По умолчанию учетная запись администратора устанавливается в качестве члена группы администраторов на сервере. Ограничение числа пользователей в группе Администраторов является наиболее оптимальным, поскольку члены группы Администраторы на локальном сервере имеют разрешения на полный контроль на этом компьютере.
Учетная запись администратора не может быть удалена или удалена из группы администраторов, но ее можно переименовать.
Вопросы безопасности
Так как известно, что учетная запись администратора существует во многих версиях операционной системы Windows, лучше отключить учетную запись администратора, если это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиенту.
Можно переименовать учетную запись Администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен вредоносными пользователями. Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. в записи Отключение или активация учетной записи локального пользователя и переименование учетной записи локального пользователя.
В качестве наилучшей практики безопасности используйте локализованную (не администратор) учетную запись для регистрации, а затем используйте Run в качестве администратора для выполнения задач, которые требуют более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для регистрации на компьютере, если это не является полностью необходимым. Дополнительные сведения см. в программе Run a program with administrative credentials.
Для сравнения, Windows клиентской операционной системе пользователь с локальной учетной записью пользователя, которая имеет права администратора, считается системным администратором клиентского компьютера. Первая локализованная учетная запись пользователя, созданная во время установки, помещается в локализованную группу администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-сотрудники не могут контролировать этих пользователей или их клиентские компьютеры.
В этом случае групповая политика может использоваться для обеспечения безопасных параметров, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентских компьютерах. Дополнительные сведения о групповой политике см. в обзоре групповой политики.
Пустые пароли не допускаются в версиях, указанных в списке Applies To в начале этой темы.
Даже если учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру с помощью безопасного режима. В консоли восстановления или в безопасном режиме учетная запись администратора автоматически включена. При возобновлении обычных операций он отключается.
Гостевая учетная запись
Учетная запись Гостевой по умолчанию отключена при установке. Учетная запись Гостевой позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно войти на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи есть пустой пароль. Поскольку учетная запись Гостевой может предоставлять анонимный доступ, это риск безопасности. По этой причине следует оставить учетную запись Гостевой учетной записи отключенной, если ее использование не является полностью необходимым.
Членство в группе учетных записей
По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю войти на сервер. Иногда администратор, в который входит группа администраторов, может настроить пользователя с учетной записью «Гость» на одном или нескольких компьютерах.
Вопросы безопасности
При включив учетную запись «Гость», выдайте только ограниченные права и разрешения. По соображениям безопасности учетная запись Гостевой не должна использоваться по сети и быть доступной для других компьютеров.
Кроме того, гостевой пользователь учетной записи «Гость» не должен просматривать журналы событий. После включения учетной записи «Гость» необходимо часто отслеживать учетную запись «Гость», чтобы убедиться, что другие пользователи не могут использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно доступны предыдущему пользователю.
Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)
Учетная запись HelpAssistant — это локализованная учетная запись по умолчанию, включенная при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключена, если не ожидается никаких запросов на удаленную помощь.
HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру, Windows операционной системе, и он инициировался по приглашению. Для получения удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в файле лицу, который может оказать помощь. После того, как приглашение пользователя на сеанс удаленной помощи будет принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить человеку, который предоставляет помощь, ограниченный доступ к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеансов помощи удаленным рабочим столам.
Вопросы безопасности
К siD-данным, которые относятся к учетной записи HelpAssistant по умолчанию, относятся:
Для операционной Windows Server удаленная помощь является необязательным компонентом, который не устанавливается по умолчанию. Необходимо установить удаленную помощь, прежде чем она может быть использована.
Сведения о атрибутах учетной записи HelpAssistant см. в следующей таблице.
Атрибуты учетной записи HelpAssistant
Гости
DefaultAccount
DefaultAccount, также известная как учетная запись системы по умолчанию (DSMA), — встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA — это хорошо известный тип учетной записи пользователя. Это нейтральная учетная запись пользователя, которая может быть использована для запуска процессов, которые являются либо несколькими пользователями известно или пользователь агностик. DSMA отключена по умолчанию на настольных skUs (полные windows SKUs) и WS 2016 с настольным компьютером.
DSMA является членом известной группы system Managed Accounts Group, которая имеет хорошо известный SID S-1-5-32-581.
Псевдоним DSMA можно получить доступ к ресурсам во время автономной постановки еще до создания самой учетной записи. Учетная запись и группа создаются во время первой загрузки компьютера в диспетчере учетных записей безопасности (SAM).
Использование Windows DefaultAccount
С точки зрения разрешений defaultAccount — это стандартная учетная запись пользователя. DefaultAccount необходим для запуска приложений с несколькими манифестами пользователей (приложения MUMA). Приложения MUMA запускают все время и реагируют на вход и вход пользователей с устройств. В отличие Windows desktop, где приложения работают в контексте пользователя и прекращаются, когда пользователь прекращает работу, приложения MUMA запускаются с помощью DSMA.
Приложения MUMA функциональны в общих сеансах skUs, таких как Xbox. Например, оболочка Xbox — это приложение MUMA. Сегодня Xbox автоматически включит учетную запись в качестве гостевой учетной записи и все приложения будут работать в этом контексте. Все приложения хорошо осведомлены о пользователях и реагируют на события, запускаемые менеджером пользователя. Приложения работают в качестве учетной записи «Гость».
Кроме того, Телефон в качестве учетной записи «DefApps», которая схожа со стандартной учетной записью пользователя в Windows, но с несколькими дополнительными привилегиями. В качестве этой учетной записи работают брокеры, некоторые службы и приложения.
В модели сходящихся пользователей приложения и брокеры, осведомленные о нескольких пользователях, должны будут работать в контексте, отличаемом от контекста пользователей. Для этого система создает DSMA.
Как создается defaultAccount на контроллерах домена
Если домен создан с помощью контроллеров домена, Windows Server 2016, defaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с контроллерами домена, которые управляют более ранней версией Windows Server, defaultAccount будет создан после того, как роль PDC Emulator будет передана контроллеру домена, который выполняет Windows Server 2016. После этого defaultAccount будет реплицироваться ко всем другим контроллерам домена в домене.
Рекомендации для управления учетной записью по умолчанию (DSMA)
Корпорация Майкрософт не рекомендует изменять конфигурацию по умолчанию, в которой учетная запись отключена. Угрозы безопасности при найме учетной записи в состоянии отключения не существует. Изменение конфигурации по умолчанию может помешать будущим сценариям, которые зависят от этой учетной записи.
Учетные записи локальной системы по умолчанию
SYSTEM
Учетная запись SYSTEM используется операционной системой и службами, работающими Windows. В операционной системе Windows множество служб и процессов, которые нуждаются в возможности для внутрисистемной регистрации, например во время Windows установки. Учетная запись SYSTEM была разработана для этой цели, Windows управляет правами пользователей учетной записи SYSTEM. Это внутренняя учетная запись, которая не показывается в диспетчере пользователей и не может быть добавлена в группы.
С другой стороны, учетная запись SYSTEM действительно появляется в томе файловой системы NTFS в файлоуправлении в части Permissions меню Security. По умолчанию учетная запись SYSTEM предоставляет разрешения на полный контроль для всех файлов в томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.
Предоставление разрешений на групповые файлы администраторов учетных записей не дает неявно разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем удалять их.
NETWORK SERVICE
Учетная запись NETWORK SERVICE — это предопределяемая локализованная учетная запись, используемая диспетчером управления службами (SCM). Служба, которая работает в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Дополнительные сведения см. в записи NetworkService.
ЛОКАЛИЗОВАННАЯ СЛУЖБА
Учетная запись LOCAL SERVICE — это предопределяемая локализованная учетная запись, используемая диспетчером управления службой. Он имеет минимальные привилегии на локальном компьютере и представляет анонимные учетные данные в сети. Дополнительные сведения см. в записи LocalService.
Управление учетной записью локальных пользователей
Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка Пользователи расположена в локальных пользователях и группах. Дополнительные сведения о создании и управлении учетной записью локальных пользователей см. в рублях Управление локальными пользователями.
Вы можете использовать локальные пользователи и группы для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможности локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как архивирование файлов и папок или закрытие сервера. Разрешение доступа — это правило, связанное с объектом, как правило, файлом, папкой или принтером. Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.
Вы не можете использовать локальные пользователи и группы в контроллере домена. Однако для удаленных компьютеров, которые не являются контроллерами домена в сети, можно использовать локальные пользователи и группы на контроллере домена.
Пользователи и компьютеры Active Directory используются для управления пользователями и группами в Active Directory.
Вы также можете управлять локальными пользователями, NET.EXE пользовательскими группами и управлять локальными группами с помощью NET.EXE LOCALGROUP или с помощью различных cmdlets PowerShell и других технологий скриптов.
Ограничение и защита локальных учетных записей с помощью административных прав
Администратор может использовать ряд подходов, чтобы предотвратить использование злоумышленниками украденных учетных данных, таких как украденный пароль или hash паролей, для использования локальной учетной записи на одном компьютере для проверки подлинности на другом компьютере с административными правами; это также называется «lateral movement».
Самый простой подход заключается в входе на компьютер со стандартной учетной записью пользователя вместо использования учетной записи администратора для выполнения задач, например для просмотра Интернета, отправки электронной почты или использования текстовых процессоров. Если вы хотите выполнить административную задачу, например установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать управление учетной записью пользователя (UAC) для запроса разрешения или пароля администратора перед выполнением задачи, как описано в следующем разделе.
Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с помощью административных прав:
Соблюдение локальных ограничений учетной записи для удаленного доступа.
Запретить логотип сети для всех учетных записей администратора.
Создание уникальных паролей для локальных учетных записей с административными правами.
Каждый из этих подходов описан в следующих разделах.
Эти подходы не применяются, если отключены все административные локальные учетные записи.
Соблюдение локальных ограничений учетной записи для удаленного доступа
Управление учетной записью пользователей (UAC) — это функция безопасности в Windows, которая используется в Windows Server 2008 и Windows Vista, а также операционных системах, к которым относится список Applies To. UAC позволяет управлять компьютером, информируя о том, когда программа вносит изменения, которые требуют разрешения администратора. UAC работает путем настройки уровня разрешений учетной записи пользователя. По умолчанию UAC должен уведомлять вас, когда приложения пытаются внести изменения на компьютер, но вы можете изменить, как часто UAC уведомляет вас.
UAC позволяет рассматривать учетную запись с административными правами как стандартную учетную запись пользователя без администратора, пока не будут запрашиваться и утверждены полные права, также называемые высотой. Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователей, не имеющих администратора, для выполнения случайных административных задач без необходимости переключать пользователей, выходить или использовать run в качестве команды.
Кроме того, UAC может потребовать от администраторов специально утверждать приложения, которые внося изменения в систему до получения разрешения на запуск этих приложений, даже в сеансе пользователя администратора.
Например, функция UAC по умолчанию отображается при висении локальной учетной записи с удаленного компьютера с помощью логотипа Network (например, с помощью NET.EXE USE). В этом случае ему выдан стандартный маркер пользователя без административных прав, но без возможности запрашивать или получать высоту. Следовательно, локальные учетные записи, входив с помощью логотипа Сети, не могут получить доступ к административным акциям, таким как C$, ИЛИ ADMIN$, или выполнять любое удаленное администрирование.
Дополнительные сведения об UAC см. в см. в twitter.ru.
В следующей таблице показаны параметры групповой политики и реестра, которые используются для применения локальных ограничений учетной записи для удаленного доступа.
| Нет. | Параметр | Подробное описание |
|---|---|---|
| Расположение политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности | |
| 1 | Имя политики | Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором |
| Параметр политики | Enabled | |
| 2 | Расположение политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности |
| Имя политики | Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором | |
| Параметр политики | Enabled | |
| 3 | Раздел реестра | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
| Имя значения реестра | LocalAccountTokenFilterPolicy | |
| Тип значения реестра | DWORD | |
| Данные о значении реестра | 0 |
Вы также можете применить по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемой ADMX в шаблонах безопасности.
Выполнение локальных ограничений учетной записи для удаленного доступа
Запустите консоль управления групповой политикой (GPMC).
В дереве консоли расширь forest \Domains\ Domain, ** **** ** а затем объекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором необходимо установить объект групповой политики (GPO).
В дереве консоли правой кнопкой мыши объекты групповой политикии > New.
В диалоговом окне New GPO и > ОК, где gpo_name является именем нового GPO. Имя GPO указывает на то, что GPO используется для ограничения прав местного администратора, которые не будут перенаправлены на другой компьютер.
В области сведений правой кнопкой и > изменить.
Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, делая следующее:
Перейдите к конфигурации компьютера\Windows Параметры\Security Параметры\Local Policies\\and > Security Options.
Дважды щелкните управление учетной записью пользователя: запустите всех администраторов в режиме утверждения администратора > включен > ОК.
Дважды щелкните управление учетной записью пользователя: режим утверждения администратора для встроенной учетной записи администратора > **** > Включено ОК.
Убедитесь, что локальные ограничения учетной записи применяются к сетевым интерфейсам, делая следующее:
Перейдите к конфигурации компьютера\Предпочтения и Windows Параметры и > реестру.
Правой кнопкоймыши Реестр и > новый > элемент реестра.
В диалоговом окне New Registry Properties на вкладке General измените параметр в поле Действия на Замену.
Убедитесь, что поле Hive задает HKEY_LOCAL_MACHINE.
Щелкните (. ), просмотрите следующее расположение для выбора пути ключа **** > **** для: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
В области имя значения введите LocalAccountTokenFilterPolicy.
В поле Тип значения из выпадаемого списка выберите REG_DWORD для изменения значения.
В поле Значение данных убедитесь, что значение за установлено до 0.
Проверьте эту конфигурацию и > ОК.
Привяжете GPO к первому организационному подразделению Workstations( OU), выполнив следующее:
Перейдите по \Domains\ \OU.
Щелкните правой кнопкой мыши OU рабочих станций и > щелкните ссылку на существующий GPO.
Выберите только что созданный GPO и > ОК.
Проверьте функциональные возможности корпоративных приложений на рабочих станциях в этом первом OU и уладить все проблемы, вызванные новой политикой.
Создайте ссылки на все другие OUs, содержащие рабочие станции.
Создайте ссылки на все другие OUs, содержащие серверы.
Отказ от логотипа сети для всех учетных записей локального администратора
Отказ локальным учетным записям в возможности выполнять сетевые логонсы может помочь предотвратить повторное повторное распространение локального пароля учетной записи во время вредоносной атаки. Эта процедура помогает предотвратить дальнейшее перемещение, гарантируя, что учетные данные локальных учетных записей, украденных из скомпрометированной операционной системы, не могут использоваться для компрометации дополнительных компьютеров, которые используют те же учетные данные.
Чтобы выполнить эту процедуру, сначала необходимо определить имя локальной учетной записи администратора по умолчанию, которая не может быть по умолчанию имя пользователя «Администратор», и любые другие учетные записи, которые являются членами локальной группы администраторов.
В следующей таблице показаны параметры групповой политики, используемые для отказа в логотипе сети для всех локальных учетных записей администратора.
| Нет. | Параметр | Подробное описание |
|---|---|---|
| Расположение политики | Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment | |
| 1 | Имя политики | Отказ в доступе к компьютеру из сети |
| Параметр политики | Локализованная учетная запись и член группы Администраторы | |
| 2 | Расположение политики | Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment |
| Имя политики | Запретить вход в систему через службу удаленных рабочих столов | |
| Параметр политики | Локализованная учетная запись и член группы Администраторы |
Отказ от логотипа сети для всех учетных записей локального администратора
Запустите консоль управления групповой политикой (GPMC).
В дереве консоли расширь forest \Domains\ **** ** ** а затем объекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором необходимо установить объект групповой политики (GPO).
В дереве консоли правой кнопкой мыши объекты групповой политикии > New.
В диалоговом окне New GPO > **** gpo_name является именем нового GPO, указывает на то, что он используется для ограничения использования локальных административных учетных записей от интерактивной регистрации на компьютер.
В области сведений правой кнопкой и > изменить.
Настройте права пользователей на отказ от сетевых логотипов для административных локальных учетных записей следующим образом:
Перейдите к конфигурации компьютера\Windows Параметры\security Параметры\\и > назначению прав пользователей.
Дважды щелкните Запретить доступ к этому компьютеру из сети.
Щелкните Добавить пользователя или группу, введите локализованную учетную запись и членагруппы администраторов и > ОК.
Настройте права пользователей на отказ от логотипов удаленного рабочего стола (Remote Interactive) для административных локальных учетных записей следующим образом:
Перейдите к конфигурации компьютера\Политики\Windows Параметры и локальные политики, а затем нажмите кнопку Назначение прав пользователей.
Дважды нажмите кнопку Запретить вход через удаленные службы настольных компьютеров.
Щелкните Добавить пользователя или группу, введите локализованную учетную запись и членагруппы администраторов и > ОК.
Увязка GPO с первым OU рабочих станций следующим образом:
Перейдите по \Domains\ \OU.
Щелкните правой кнопкой мыши OU рабочих станций и > щелкните ссылку на существующий GPO.
Выберите только что созданный GPO и > ОК.
Проверьте функциональные возможности корпоративных приложений на рабочих станциях в этом первом OU и уладить все проблемы, вызванные новой политикой.
Создайте ссылки на все другие OUs, содержащие рабочие станции.
Создайте ссылки на все другие OUs, содержащие серверы.
Возможно, вам придется создать отдельное GPO, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.
Создание уникальных паролей для локальных учетных записей с административными правами
Пароли должны быть уникальными для каждой учетной записи. Хотя это обычно верно для отдельных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одинаковые пароли используются для локальных учетных записей во время развертывания операционной системы.
Пароли, которые синхронно остаются неизменными или изменяются синхронно, чтобы сохранить их идентичными, добавляют значительный риск для организаций. Рандомизация паролей смягчает атаки «pass-the-hash» с помощью различных паролей для локальных учетных записей, что затрудняет возможность вредоносных пользователей использовать хеши паролей этих учетных записей для компрометации других компьютеров.
Пароли можно рандомизировать по:
Приобретение и реализация корпоративного средства для выполнения этой задачи. Эти средства обычно называются «привилегированным управление паролями».
Настройка решения локального пароля администратора (LAPS) для выполнения этой задачи.
Создание и реализация настраиваемой скрипта или решения для рандомизации локальных паролей учетных записей.
См. также
Следующие ресурсы предоставляют дополнительные сведения о технологиях, связанных с локальными учетной записью.