Очень важно обратить внимание на то, что эта политика не действует на контроллерах домена.
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями
Определяет, разрешается ли анонимным пользователям проводить перепись учетных записей
SAM и общих ресурсов. Windows дает возможность анонимным пользователям выполнять определенные операции, например, проводить перепись имен учетных записей домена и сетевых ресурсов. Это удобно, например, если администратору требуется предоставить доступ пользователям в доверенном домене, в котором не поддерживается двустороннее отношение доверия. Если нужно запретить анонимным пользователям перепись учетных записей SAM и общих ресурсов, включите эту политику. По умолчанию: отключен.
Сетевой доступ: не разрешать средству сохранения имен пользователей и паролей сохранять пароли или учетные данные для проверки в домене
Определяет, должно ли средство сохранения имен пользователей и паролей сохранять пароли или учетные данные, чтобы позднее использовать их при проверке подлинности пользователя домена. Если этот параметр включен, средству сохранения имен пользователей и паролей запрещается сохранять пароли и учетные данные. По умолчанию: отключен.
Сетевой доступ: разрешить применение разрешений для всех к анонимным пользователям Определяет, какие дополнительные разрешения предоставляются при анонимном подключении к компьютеру. Windows дает возможность анонимным пользователям выполнять определенные операции, например, проводить перепись имен учетных записей домена и сетевых ресурсов. Это удобно, например, если администратору требуется предоставить доступ пользователям в доверенном домене, в котором не поддерживается двустороннее отношение доверия. По умолчанию из маркера, создаваемого для анонимных подключений, удаляется идентификатор безопасности «Все». Поэтому разрешения, предоставленные группе «Все», не применяются к анонимным пользователям. Если данный параметр установлен, анонимный пользователь получит доступ только к тем ресурсам, для которых ему явным образом предоставлено разрешение. Если эта политика включена, при создании описателя для анонимного подключения в него добавляется идентификатор безопасности «Все». В таком случае анонимные пользователи будут иметь доступ ко всем ресурсам, на которые группе «Все» предоставлены разрешения. По умолчанию: отключен.
Сетевой доступ: разрешать анонимный доступ к именованным каналам
Определяет, каким сеансам связи (каналам) будут назначаться атрибуты и разрешения, допускающие анонимный доступ. По умолчанию: не определен.
Сетевой доступ: пути в реестре доступны через удаленное подключение
Определяет, будут ли пути в реестре доступны для обращения к разделу winreg с целью получения разрешений на доступ к этим путям. По умолчанию: не определен.
Сетевой доступ: разрешать анонимный доступ к общим ресурсам
Определяет, какие сетевые ресурсы доступны анонимным пользователям. По умолчанию: не определен.
Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей
Определяет метод проверки подлинности при входе в сеть с использованием локальных учетных записей. Если этот параметр имеет значение Классический, то при проверке подлинности локальной учетной записи используются предъявляемые при входе в сеть учетные данные. Если параметр имеет значение Только гости, то при входе в сеть с использованием локальной учетной записи последней автоматически сопоставляется гостевая учетная запись. Классическая модель позволяет с высокой степенью точности контролировать доступ к ресурсам. С ее помощью можно дифференцировать типы доступа к одному и тому же ресурсу для различных пользователей. В гостевой модели все пользователи считаются равноправными. Все они проверяются как пользователи группы «Гость» и обладают одинаковыми разрешениями на доступ к каждому конкретному ресурсу – либо «Только чтение», либо «Изменение».
Итак, существуют две модели доступа: «Классическая» – подлинность локальных пользователей проверяется по их учетным данным; «Только гости» – локальные пользователи проверяются как гости.
По умолчанию: «Только гости» в Windows XP Professional.
Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена. Действие параметра не распространяется на интерактивный вход в сеть,
выполняемый в удаленном режиме с использованием таких служб, как Telnet или службы терминалов. Если компьютер не присоединен к домену, данный параметр также определяет внешний вид вкладок Доступ и Безопасность проводника Windows: они настраиваются в соответствии с выбранной моделью доступа и безопасности.
Особого внимания заслуживают следующие особенности данной политики.
• В случае гостевой модели любой пользователь, имеющий доступ к данному компьютеру через сеть (в том числе анонимный пользователь Интернета), получит доступ и к общим ресурсам этого компьютера. Компьютер следует защитить от несанкционированного доступа с помощью брандмауэра подключения к Интернету (ICF) или аналогичного средства.
Точно так же в случае классической модели локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь сможет с помощью такой учетной записи получить доступ к общим системным ресурсам.
• Данная политика неприменима на компьютерах Windows 2000.
Политики сетевой безопасности
С етевая безопасность: не хранить хеш-значений LAN M anager при следующей смене пароля Определяет, сможет ли протокол LAN Manager при очередной смене пароля сохранить хеш-коды для нового пароля. По умолчанию: отключен.
Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы
Определяет, следует ли отключать пользователей, работающих на локальном компьютере после установленного для них допустимого срока. Этот параметр влияет на работу компонента SMB (Server Message Block). Если эта политика включена, то клиентские сеансы с участием сервера SMB будут принудительно прекращаться по истечении периода времени, отведенного клиенту для входа в систему. Если эта политика отключена, установленный сеанс клиента может продолжаться по истечении периода времени, разрешенного для клиента. По умолчанию: включен.
Учетные записи доменов контролируются только одной политикой учетных записей. Она должна быть определена в стандартной политике домена и реализовываться контроллерами этого домена. Контроллер домена всегда получает политику учетных записей из объекта групповой политики «Стандартная политика домена», даже если к подразделению, в котором этот контроллер домена содержится, применяется еще и другая политика учетных записей. Присоединяемые к домену рабочие станции и серверы (т. е. рядовые компьютеры) по умолчанию используют ту же стандартную политику и для своих локальных учетных записей. Однако политики локальных учетных записей рядовых компьютеров могут отличаться от политики учетных записей домена, если они принадлежат подразделению, в котором определена своя политика учетных записей. Параметры Kerberos не применяются к рядовым компьютерам.
Сетевая безопасность: уровень проверки подлинности LAN Manager
Определяет, какие протоколы проверки подлинности типа «запрос/ответ» должны использоваться при входе в сеть. От выбранного варианта зависит уровень протокола проверки подлинности, используемого клиентами, согласуемый уровень безопасности сеанса, а также уровень проверки подлинности, принимаемый серверами.
• Отправлять LM и NTLM ответы: клиенты используют протоколы LM и NTLM для проверки подлинности и никогда не используют протокол NTLMv2 для обеспечения безопасности сеанса; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять LM и NTLM – использовать сеансовую безопасность NTLMv2 при согласовании: клиенты используют протоколы LM и NTLM для проверки подлинности и протокол NTLMv2 для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять только NTLM ответ: клиенты используют протокол NTLM для проверки подлинности и протокол NTLMv2 для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять только NTLMv2 ответ: клиенты используют только протокол NTLMv2 для проверки подлинности, а также для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности по протоколам LM, NTLM и NTLMv2.
• Отправлять только NTLMv2 ответ, отказывать LM: клиенты используют только протокол NTLMv2 для проверки подлинности, а также для обеспечения безопасности сеанса, если сервер поддерживает безопасность сеанса по протоколу NTLMv2; контроллеры домена допускают проверку подлинности только по протоколам NTLM и NTLMv2, отвергая LM.