Отказать в доступе к этому компьютеру из сети как убрать гостя

Обновлено: 07.07.2024

Эта статья касается машин под управлением Windows 7 Professional, потому что на Home-версиях неврозможно редактировать локальные политики. Или надо лазить глубоко в реестр.

Админам сетей под Windows 7 Professional и Windows XP, делюсь опытом, как устранить проблемы, возникающие при открытии общего доступа к папкам внутри одной сети.
Некоторые пункты я не объясняю подробно, подразумевая, что все админы знают, что при входе в расшаренную папку используется имя "Гость"

Проблема появляется тогда, когда ВРОДЕ всё сделано правильно:
- В Центре управления сетями и общим доступом включено Сетевое обнаружение и Общий доступ к файлам и принтерам.
- Папка на компе расшарена.
- Пользователь с именем "Гость" включен.

но с других машин невозможно зайти на этот комп, а уж тем более в папку.

Решение этой проблемы ниже:

Заходим в Панель управления - Администрирование - Локальные политики безопасности - Локальные политики - Назначение прав пользователя.

Редактируем (или проверяем) всего 4 пункта.

1. Доступ к компьютеру из сети - Гость (добавить)
2. Запретить локальный вход - Гость (добавить)
3. Локальный вход в систему - убрать Гостя
4. Отказать в доступе к этому компьютеру из сети - убрать Гостя

Закрыть общий доступ к папке и расшарить папку заново.
1. Правой кнопкой мыши на папку - Общий доступ - Конкретные пользователи.
2. Добавить пользователя "Все"
3. Добавить пользователя "Гость"

Но иногда остается одна плавающая проблема с общим доступом НА машину с Windows 7 Professioal с компьютера под управлением Windows XP. Она решается так:

Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - Параметры безопасности.

Редактируем один пункт:
Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании.

Конфигурация компьютера
Процессор: Core™2 Quad Q8300 @ 2.50GHz
Материнская плата: MSI G41M-P33 Combo
Память: PQI DDR2 (PC2-6400) 2x2048
HDD: SSD OCZ-AGILITY3 - 120GB
Видеокарта: Gigabyte GeForce GTX660 2048Mb
ОС: Windows 10 Pro x64 (11082)
при попытке доступа выдается запрос пароля, но пользователь задан Гость »
Пуск - Выполнить - secpol.msc - Локальные политики - Параметры безопасности - Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей - установите значение параматра "Обычная - локальные пользователи удостоверяются как они сами"

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Конфигурация компьютера
Процессор: Intel Core i7-3770K
Материнская плата: ASUS P8Z77-V LE PLUS
Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб)
HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб
Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS
Звук: Realtek ALC889 HD Audio
Блок питания: be quiet! Straight Power 11 650W
CD/DVD: ASUS DRW-24B5ST
Монитор: ASUS VG248QE 24"
ОС: Windows 8.1 Pro x64
Индекс производительности Windows: 8,1
Прочее: корпус: Fractal Design Define R4
nmn, в дополнение к вышесказанному могут иметь значение:
Пуск -> Выполнить -> secpol.msc -> Локальные политики -> Назначение прав пользователя -> Доступ к компьютеру из сети и Отказ в доступе к компьютеру из сети.
А также настройки файрвола (брандмауэра).

Добрый день.
У меня полностью аналогичная ситуация, т.е. мучает проблема "Возможно, у вас нет прав на использование этого сетевого ресурса".
Уверен, что эта проблема разрешима, если поназначать одних и тех же пользователей с одинаковыми паролями на всех машинах, но это не совсем удобно и долго по времени.
Гостевая модель доступа мне так же не подходит - нужно разграничить права на разные папки для разных пользователей.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - restrictanonymous - значение 0

С локальными политиками безопасности разобрался (гость отключен, есть пользователь с правами гостя с логином и паролем, для него есть разрешение входа по сети, для него есть разрешения на вход в папку)

Т.е. я хочу, что бы вместо этой надписи ("Возможно, у вас нет прав . ") появлялось приглашение на ввод логина и пароля. Как это можно сделать принудительно?? (если это конечно возможно)

Описывает лучшие практики, расположение, значения, управление политикой и **** соображения безопасности для отказа в доступе к этому компьютеру из параметра политики безопасности сети.

Справочники

Этот параметр безопасности определяет, какие пользователи не имеют доступа к устройству по сети.

Возможные значения

  • Определяемый пользователей список учетных записей
  • Гость

Рекомендации

  • Так как все программы доменных служб Active Directory используют для доступа логотип сети, используйте осторожность при назначении этого пользователя прямо на контроллерах домена.

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию

По умолчанию этот параметр является Гостевой на контроллерах домена и на автономных серверах.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Гость
Параметры по умолчанию для автономного сервера Гость
Действующие параметры по умолчанию для контроллера домена Гость
Действующие параметры по умолчанию для рядового сервера Гость
Действующие параметры по умолчанию для клиентского компьютера Гость

Управление политикой

В этом разделе описываются функции и средства, доступные для управления этой политикой.

Перезагрузка устройства не требуется для того, чтобы этот параметр политики был эффективным.

Этот параметр политики вытесирует доступ к этому компьютеру из параметра сетевой политики, если учетная запись пользователя подчинена обеим политикам. ****

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который перезаписывал параметры на локальном компьютере при следующем обновлении групповой политики:

  1. Параметры локальной политики
  2. Параметры политики сайта
  3. Параметры политики домена
  4. Параметры политики подразделения

Когда локальный параметр серый, он указывает, что GPO в настоящее время контролирует этот параметр.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Пользователи, которые могут войти на устройство по сети, могут перечислять списки имен учетных записей, имен групп и общих ресурсов. Пользователи с разрешением на доступ к общим папкам и файлам могут подключаться к сети и, возможно, просматривать или изменять данные.

Противодействие

Назначьте отказ в доступе к этому компьютеру от пользователя сети к следующим учетным записям:

  • Анонимный логотип
  • Встроенная учетная запись локального администратора
  • Учетная запись local Guest
  • Все учетные записи служб

Важным исключением из этого списка являются учетные записи служб, которые используются для запуска служб, которые должны подключаться к устройству по сети. Например, предположим, что вы настроили общую папку для доступа к веб-серверам и представляете содержимое в этой папке через веб-сайт. Возможно, потребуется разрешить учетной записи, на которую выполняется IIS, войти на сервер с общей папкой из сети. Это право пользователя особенно эффективно, когда необходимо настроить серверы и рабочие станции, на которых обрабатывается конфиденциальную информацию из-за проблем соответствия требованиям нормативных требований.

Если учетная запись службы настроена в свойствах логотипа службы Windows, для правильного запуска необходимо использовать права сетевого логотипа для контроллеров домена.

Возможное влияние

Если настроить доступ **** к этому компьютеру от пользователя сети прямо для других учетных записей, можно ограничить возможности пользователей, которым назначены определенные административные роли в среде. Необходимо убедиться, что делегированная задача не влияет отрицательно.

Решил таки запостить такую тему, как ограничение доступа к компьютеру из сети, я таким образом «закручиваю» компьютеры на администрируемых мною объектах. Что это дает?
В корпоративной сети это дает ряд преимуществ в повышении эффективности защиты сети от несанкционированного доступа, предупреждает распространение вирусов и прочих сетевых угроз, для дома это защищает Ваш ПК, например, при совместном использовании WiFi с соседом, при компроментации пароля от Вашего домашнего WiFi и подключении к нему других ПК/устройств, или при попытке несанкционированного доступа находясь с "кулхацкером" в одной подсети провайдера.
Данная мера, на мой взгляд, крайне необходима для любого компьютера.
В данной статье будет представлен комплексный метод ограничения при помощи встроенного инструментария операционных систем семейства Windows.

Итак, ближе к сути.

Центр управления сетями и общим доступом.

Первым делом заходим "Пуск=>Панель управления=>Центр управления сетями и общим доступом=>Изменить дополнительные параметры общего доступа"

Изменяем (сверяем) настройки, как показано на скриншоте ниже

Там же в "Центре управления сетями и общим доступом" заходим в "Изменение параметров адаптера" выбираем активный адаптер (который служит для подключения к сети/интернету), нажимаем "Свойства" и снимаем галочку на "Служба доступа к файлам и принтерам Microsoft" и нажимаем "Ok".

Если Ваш ПК не работает в корпоративной сети и Вы не подключаетесь к принтерам и папкам, расшаренных на других ПК в локальной сети и/или к NAS-хранилищу, то можно смело отключить и "Клиент для сетей Microsoft"


Локальная политика безопасности.

Запускаем оснастку локальной политики безопасности «Win+R=>secpol.msc=>Enter», и сразу же переходим в «Параметры безопасности=>Локальные политики=>Назначение прав пользователя».
Находим там два пункта и применяем к ним следующие действия:
1. Доступ к компьютеру из сети – удаляем всех имеющихся там пользователей и групп;
2. Отказать в доступе к этому компьютеру из сети – добавляем «Все».

Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данной оснастке закрыт.
На этом этапе всё.

Запускаем Службы: «Win+R=>services.msc=>Enter», находим службу Брандмауэра и убеждаемся, что она запущена, если отключена – запускаем.
Для большей отказоустойчивости, раз уж мы здесь, в свойствах службы на вкладке «Восстановление» выставляем перезапуск служб во всех 3(трех) случаях, а интервал перезапуска ставим на 0(ноль).

Теперь запускаем сам брандмауэр «Win+R=>wf.msc=>Enter»
В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей

После чего должно получиться следующее

Удаляем в правилах входящих подключений все.

Создаем правило в брандмауэре, в данном случае, открываем порты для исходящих соединений:

Если требуется создать правило для ip-адреса, то на втором этапе выбираем тип правила "Настраиваемые":

Если необходимо сделать так, чтобы компьютер пинговался из локальной сети, то создаем правило для протокола ICMP, если нет, то оставляем пустым.
Лично я на рабочих машинах оставляю ICMP и открываю порт TCP 4899 для Radmin'а, а на домашнем ПК вообще не использую никаких правил для входящих подключений, т.е. оставляю это поле пустым.

В правилах исходящих подключений создайте настраиваемые правила следующих назначений:
Правило для портов UDP 53, 67, 68, 123 где:
Порт 53 – DNS;
Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать);
123 – NTP (используется для синхронизации времени).

Настраиваемое правило, в котором необходимо указать ip-адрес роутера

Важно: необходимо в обязательном порядке отслеживать настройки брандмауэра не предмет лишних правил при установке программ, плагинов, драйверов и прочего софта!

Теперь нужно, как говорится, "затянуть гайки".

Идем в "Свойства системы=>Настройка удаленного доступа", снимаем галку на "Разрешить подключение удаленного помощника к этому компьютеру" и попутно проверяем, чтобы был выбран пункт "Не разрешать подключаться к этому компьютеру".

Потом шагаем в "Управление компьютером=>Локальные пользователи и группы=>Пользователи"
На всякий случай, отключаем неактивных пользователей, в частности учетную запись "Гость".
На действующую учетную запись, под которой Вы работаете в системе, установите надежный пароль.

Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данным функциям закрыт.

Снова запускаем Службы: «Win+R=>services.msc=>Enter»
Останавливаем и отключаем следующие службы:
- Обнаружение SSDP;
- Общий доступ к подключению к Интернету (ICS);
- Поставщик домашней группы;
- Публикация ресурсов обнаружения функций;
- Рабочая станция;
- Сервер.

Чтобы не останавливать и не отключать службы руками, можно воспользоваться этим скриптом

Вот так, при помощи несложных манипуляций, а главное, не прибегая к использованию сторонних программ, можно эффективно ограничить доступ к своему компьютеру из сети.

Примечание: опубликованный в данной статье метод защиты применим к операционным системам Windows 7/8/8.1/10.

date

28.09.2021

directory

Active Directory, Windows 10, Windows Server 2016, Групповые политики

comments

комментариев 8

Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash). Кроме того, доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные события не регистрируются на контроллерах домена AD.

Для снижения рисков, администраторы могут изменить имя стандартной локальной учетной записи администратора Windows (Administrator). Для регулярной смены пароля локального администратора на всех компьютерах в домене можно использовать MS LAPS (Local Administrator Password Solution). Но этими решениями не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.

Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить сетевой доступ к компьютеру.

В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности (Well-known group) с известными SID. Одна включает в себя всех локальных пользователей, а вторая всех локальных администраторов.

Теперь для ограничения доступа локальным учетным записям не нужно перечислять все возможные варианты SID локальных учёток, а использовать их общий SID.

Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.

Чтобы убедится, что в Windows 10/Windows Server 2016 локальной учетной записи присвоены две новый группы NT AUTHORITY\Local account (SID S-1-5-113) и NT AUTHORITY\Local account and member of Administrators group (SID S-1-5-114) , выполните команду:

whoami /all - новые локальные well known группы безопасности с S-1-5-113 и S-1-5-114

Эти встроенные группы безопасности можно исопльзовать и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).

Проверить, имеются ли данные группы безопасности в вашей Windows можно по их SID так:

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value
Если скрипт возвращает NT Authority\Local account, значит данная локальная группа (с этим SID) имеется.

Чтобы запретить сетевой доступ под локальным учетным записями, с этими SID-ами в токене, можно воспользоваться политиками из раздела GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

Запрет на вход через RDP для локальных пользователей и администратора

Политика Deny log on through Remote Desktop Services (Запретить вход в систему через службу с удаленного рабочего стола) позволяет указать пользователей и группы, которым явно запрещен удаленный вход на компьютер через RDP. Вы можете запретить RDP доступ к компьютеру для локальных или доменных учетных записей.

По умолчанию RDP доступ в Windows разрешён администраторам и членам локальной группы Remote Desktop Users.

Если вы хотите запретить RDP подключения только локальных пользователей (в том числе локальных администраторов), откройте локальной редактор GPO gpedit.msc (если вы хотите применить эти настройка на компьютерах в домене AD, используйте редактор доменных политик – gpmc.msc ). Перейдите в указанную выше секцию GPO и отредактируйте политику Deny log on through Remote Desktop Services.

Добавьте в политику встроенные локальные группу безопасности Local account and member of Administrators group и Local account. Обновите настройки локальных политик с помощью команды: gpupdate /force.

политика Запретить вход в систему через службу с удаленного рабочего стола

Запрещающая политика имеет приоритет над политикой Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов). Если пользователь или группа будет добавлен в обоих политиках, RDP доступ для него будет запрещен.

Теперь, если вы попытаетесь подключиться к компьютеру по RDP, появится ошибка:

Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов windows 10 ошибка

Запрет сетевого доступа к компьютеру по сети

Вы можете запретить сетевой доступ к компьютеру под локальными учетными данными с помощью политики Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети).

Добавьте в политику Deny access to this computer from the network локальные группы Local account и Local account and member of Administrators group. Также стоит всегда запрещать анонимный доступ и доступ под гостевым аккаунтом.

Для доменной среды рекомендуется с помощью этой политики полностью запретить доступ к рабочим станциям и рядовым серверам домена под учетными записями из групп Domain Admins и Enterprise Administrators. Эти аккаунты должны использоваться только для доступа к контроллерам доменам. Тем самым вы уменьшите риски перехвата хэша административных аккаунтов и эскалации привилегий.

групповая политика Отказать в доступе к этому компьютеру из сети

После применения политики вы не сможете удаленно подключиться к этому компьютеру по сети под любой локальной учетной записью. При попытке подключиться к сетевой папке или подключить сетевой диск с этого компьютера под локальной учетной записью, появится ошибка:

Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать.

Важно. Если вы примените эту политику к компьютеру, который находится в рабочей группе (не присоединен к домену Active Directory), вы сможете войти на такой компьютер только локально.

Запретить локальный вход в Windows

С помощью политики Deny log on locally (Запретить локальных вход) вы можете запретить и интерактивный вход на компьютер/сервер под локальными учетными записями. Перейдите в секцию GPO User Rights Assignment, отредактируйте политику Deny log on locally. Добавьте в нее нужную локальную группу безопасности.

Будьте особо внимательны с запрещающими политиками. При некорректной настройке, вы можете потерять доступ к компьютерам. В крайнем случае сбросить настройки локальной GPO можно так.

GPO Запретить локальных вход под локальными учетными записями

Этот метод входа запрещено использовать

Таким образом, вы можете ограничить доступ под локальными учетными записями на компьютеры и сервера домена, увеличить защищенность корпоративной сети.

Читайте также: