Запретить локальный вход в систему windows 10

Обновлено: 06.07.2024

Windows 10 является самой популярной операционной системой в среде киберпреступников. Это означает, что пользователям Windows нужно максимально усилить защиту своего ПК, чтобы оставаться в безопасности.

Безопасный вход является дополнительным компонентом на экране авторизации Windows 10. Он не сможет предотвратить доступ к компьютеру постороннему лицу, который знает ваши учетные данные. Безопасный вход предназначен для того, чтобы скрыть форму ввода логина, пока вы не введете определенное клавиатурное сочетание. Только после этого, вы сможете указать PIN или ввести пароль.

Данная защитная функция направлена для борьбы с вредоносными программами. Вредоносный код может работать в фоновом режиме и подделывать экран авторизации Windows 10 с целью перехвата ваших учетных данных. Поскольку приложения и программы, как правило, не имеют доступа к команде Ctrl + Alt + Del , вы можете обойти поддельный экран входа в систему с помощью функции безопасного входа, которая активируется данным клавиатурным сочетанием.

Как включить или отключить безопасный вход в систему

Используем команду Netplwiz

Запустите окно Выполнить, нажав Win + R и введите команду netplwiz в текстовое поле, затем нажмите ОК.

netplwiz

Получить доступ к панели Учетные записи пользователей, можно также введя запрос netplwiz в строке поиска в панели задач или меню Пуск и выбрав опцию Выполнить команду.

На экране откроется панель Учетные записи пользователей. Нужно перейти на вкладку Дополнительно (если не она открылась сразу). Отметьте галочку Требовать нажатия CTRL+ALT+DELETE в разделе Безопасный вход в систему для включения безопасного входа или снимите галочку, чтобы отключить его.

Требовать нажатия CTRL+ALT+DELETE

Используем локальные политики безопасности

Это еще один, более трудоемкий метод активации безопасного входа. Используйте данный метод, если вы не привыкли к самым простым решениям, но не хотите работать с системным реестром.

Запустите окно Выполнить, нажав Win + R и введите команду secpol.msc в текстовое поле, затем нажмите ОК.

secpol.msc

Откроется окно Локальная политика безопасности. Нужно раскрыть категорию Локальные политики в списке и затем выбрать подпапку Параметры безопасности. Затем в правой области окна нужно найти запись Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DELETE.

Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DELETE

Параметры локальной безопасности

Используем системный реестр

Если вы хотите выбрать самый сложный путь, то можно добиться того же результата с помощью манипуляций с системным реестром. Главное помнить, что любые изменения системного реестра могут вызвать проблемы стабильности системы. Данный вариант подходит опытным пользователям ПК.

Запустите окно Выполнить, нажав Win + R и введите команду regedit в текстовое поле, затем нажмите ОК.

regedit

Получить доступ к редактору реестра, можно также введя запрос regedit в строке поиска в панели задач или меню Пуск и выбрав предложенное приложение.

В редакторе реестра нужно перейти по пути:

В папке CurrentVersion выберите подпапку Winlogon и найдите ключ DisableCad. Откройте его для редактирования значений.

Примечание: если ключ DisableCad не найден в Winlogon, кликните правой кнопкой мыши и выберите Создать > Параметр DWORD (32-бита). Назовите параметр DisableCad и задайте соответствующее значение.

DisableCad

В открывшемся окне Изменение параметра DWORD (32-бита) измените установленное значение на одно из следующих:

Описывает лучшие практики, расположение, значения, управление политикой и соображения безопасности для журнала Deny в локальном параметре политики безопасности.

Справочники

Этот параметр политики определяет, какие пользователи не могут войти в систему непосредственно на консоли устройства.

Возможные значения

  • Определяемый пользователей список учетных записей
  • Не определено

Рекомендации

  1. Чтобы ограничить доступ потенциально несанкционированных пользователей, назначьте журналу Deny для локального пользователя права на локализованную учетную запись.
  2. Проверьте свои изменения в этом параметре политики в сочетании с параметром Разрешить журнал локальной политики, чтобы определить, зависит ли учетная запись пользователя от обеих политик.

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Не определено
Параметры по умолчанию для автономного сервера Не определено
Действующие параметры по умолчанию для контроллера домена Не определено
Действующие параметры по умолчанию для рядового сервера Не определено
Действующие параметры по умолчанию для клиентского компьютера Не определено

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Перезагрузка устройства не требуется для того, чтобы этот параметр политики был эффективным.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Если применить этот параметр политики к группе Everyone, никто не сможет войти в систему локально.

Групповая политика

Этот параметр политики замеает параметр Разрешить журнал локальной политики, если учетная запись пользователя подчиняется обеим политикам.

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который перезаписывал параметры на локальном компьютере при следующем обновлении групповой политики:

  1. Параметры локальной политики
  2. Параметры политики сайта
  3. Параметры политики домена
  4. Параметры политики подразделения

Когда локальный параметр серый, он указывает, что GPO в настоящее время контролирует этот параметр.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Для входа на консоль устройства можно использовать любую учетную запись с возможностью локального входа. Если это право пользователя не ограничивается законными пользователями, которые должны войти на консоль устройства, несанкционированные пользователи могут скачивать и запускать вредоносное программное обеспечение, которое повышает их права пользователя.

Противодействие

Возможное влияние

Если назначить журналу Deny локальное право пользователя на дополнительные учетные записи, можно ограничить возможности пользователей, которым назначены определенные роли в среде. Однако это право пользователя должно быть явно назначено учетной записи ASPNET на устройстве, настроенном с ролью Веб-сервера. Следует подтвердить, что делегированная деятельность не затрагивается отрицательно.

В своей работе мне довольно часто приходится создавать учетные записи, предназначенные для каких либо технических задач (запуск скриптов, отправка почтовых уведомлений и т.п.). Поскольку эти учетные записи не предназначены для обычной работы, то, в целях безопасности, они не должны иметь возможность входа на сервер.

Запретить вход в систему для определенных учетных записей можно с помощью групповых политик. Для этого откроем оснастку управления групповыми политиками и создадим новый GPO.

Затем откроем созданный GPO для редактирования и перейдем в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment. Здесь нас интересуют два параметра:

Для активации политики необходимо включить (define) ее и указать пользователей или группы, для которых необходимо запретить вход. Использовать группы более удобно, чем добавлять пользователей по одному, поэтому я создал группу DenyInteractiveLogon, которую и добавлю в данные политики.

В результате должна получиться такая картина.

Политика готова, надо проверить ее действие. Для этого в оснастке ADUC находим группу DenyInteractiveLogon, добавляем в нее специально созданную сервисную учетку service_user

В заключение пара важных моментов, о которых надо помнить при использовании запретов:

• Политика предназначена для компьютеров, поэтому назначать ее надо на подразделения, в которых находятся компьютеры, а не пользователи. В принципе можно особо не заморачиваться и назначить политику на весь домен, все равно запрет будет действовать только на указанные в политике группы;
• Данная политика довольно опасна в неумелых руках. К примеру, если указать в ней группу Domain Users, то никто из доменных пользователей не сможет войти на свой компьютер, а если добавить группу Everyone, то запрет подействует на все без исключения учетные записи. Поэтому, выбирая объекты для запрета будьте внимательны, чтобы не запретить вход обычным пользователям;
• По возможности для технических целей старайтесь использовать управляемые учетные записи служб (managed service accounts), они более безопасны в использовании.

Windows является самой целевой операционной системой на планете. Это означает, что Вы должны укрепить защиту своего ПК, чтобы обеспечить безопасность как в сети, так и в автономном режиме. В этом руководстве показано, как включить или отключить безопасный вход для Windows 10.

Безопасный вход является дополнительным компонентом на экране входа в Windows 10. Это не мешает кому-либо получить доступ к Вашему компьютеру, если у есть Ваши учетные данные. Вместо этого Windows 10 удаляет поля входа в систему, пока Вы не введете строку ключей. После этого введите свой пароль или PIN-код, как обычно.

Эта функция направлена на предотвращение вредоносных программ. Вредоносный код может находиться в фоновом режиме и подделывать экран входа в Windows 10, чтобы захватить Ваши учетные данные. Поскольку приложения и программы, как правило, не имеют доступа к команде Ctrl + At + Del, Вы можете обойти ложный экран входа в систему с помощью безопасного входа, который активируется при вводе этой команды.

Включить или отключить с помощью команды Netplwiz

Для запуска откройте окно «Выполнить», одновременно нажав клавиши «Windows» и «R» (Windows + R). Появится небольшое всплывающее окно. Введите «netplwiz» (без кавычек) в текстовое поле и затем нажмите кнопку «ОК» (или нажмите клавишу Enter), чтобы продолжить.

Кроме того, Вы можете получить доступ к панели «Учетные записи пользователей», введя «netplwiz» в поле поиска на панели задач и выбрав команду «Выполнить».

Панель учетных записей пользователей появится на экране. Перейдите на вкладку «Дополнительно» (если она не открыта по умолчанию). Найдите параметр «Требовать нажатия Ctrl + Alt + Delete», указанный в разделе «Безопасный вход». Установите флажок для включения или снимите, чтобы отключить.

Включить или отключить использование локальной политики безопасности

Вот еще один метод, который несколько труднее, чем следовать инструкциям по учетным записям. Используйте этот метод, если Вы хотите выбрать трудный маршрут, но избегаете реестра Windows.

Запустите команду «Выполнить», одновременно нажав клавиши «Windows» и «R» (Windows + R). Появится небольшое всплывающее окно. Введите «secpol.msc» (без кавычек) в текстовое поле и затем нажмите кнопку «ОК» (или нажмите клавишу Enter), чтобы продолжить.

Как и раньше, Вы также можете получить доступ к панели «Локальная политика безопасности», введя «secpol.msc» в поле поиска на панели задач и выбрав в результате классическое приложение.

В окне локальной политики безопасности разверните «Локальные политики», находящиеся слева, и выберите подпапку «Параметры безопасности» внизу. Затем прокрутите вниз справа и дважды щелкните запись «Интерактивный вход в систему: не требовать CTRL + ALT + DEL».

Панель свойств записи отобразится на экране, и по умолчанию отобразится вкладка «Параметр локальной безопасности». Нажмите переключатель, чтобы включить или отключить эту функцию. Завершите, нажав кнопку «Применить», а затем кнопку «ОК».

Включить или отключить безопасный вход, используя реестр

Если Вы хотите пойти по хардкорному маршруту, почему бы не отредактировать реестр? Помните, действуйте осторожно: любые внесенные Вами изменения могут вызвать нестабильность системы. Этот вариант для опытных людей, которые любят копаться в Windows.

Запустите команду «Выполнить», одновременно нажав клавиши «Windows» и «R» (Windows + R). Появится небольшое всплывающее окно. Введите «regedit» (без кавычек) в текстовое поле и затем нажмите кнопку «ОК» (или нажмите клавишу Enter), чтобы продолжить.

Вы также можете получить доступ к редактору реестра, введя «regedit» в поле поиска на панели задач и выбрав в результате классическое приложение.

HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion

В папке CurrentVersion выберите запись «Winlogon», чтобы отобразить ее настройки на панели справа. Дважды щелкните запись «DisableCad», чтобы изменить ее значения.

Во всплывающем окне «Изменение параметра DWORD (32 бита)» измените значение данных одним из следующих значений:

Примечание. Если Вы не видите запись «DisableCad» в настройках «Winlogon», щелкните правой кнопкой мыши «Winlogon», выберите «Создать» во всплывающем меню и нажмите «Параметр DWORD (32 бита)» в списке. Назовите этот новый DWORD как «DisableCAD» (без кавычек) и измените его значение.

Читайте также: