Používání stejného uživatele s administrátorskými oprávněními pro vše je jednou z nejčastější bezpečnostní chyby V systému Windows, a to jak doma, tak v profesionálním prostředí, je klíčem ke snížení rizik, ochraně soukromí a omezení malwaru oddělení pracovního účtu od účtů s vysokými oprávněními a důkladná znalost interních systémových účtů.
V celém článku krok za krokem uvidíte, jak Vytvářejte a spravujte zabezpečené lokální účty pro každodenní použitíJaké typy účtů existují ve Windows (včetně skrytých systémových účtů), jak je konfigurovat ve Windows 10 a Windows 11, co se změnilo v posledních verzích a jaké zásady a osvědčené postupy byste měli používat, pokud spravujete více počítačů nebo celou učebnu.
Co přesně je lokální účet ve Windows a proč je užitečné ho používat?
Ve Windows se můžete přihlásit pomocí Účet Microsoft nebo s místním účtemÚčet Microsoft je propojen s e-mailovou adresou (Outlook, Hotmail, Live atd.) a integruje se s OneDrive, Microsoft Store, synchronizací nastavení, Xboxem, Office a dalšími cloudovými službami. To vše je skvělé, ale také to znamená větší vystavení datům a závislost na vaší online identitě.
Lokální účet je na druhou stranu účet, který Existuje pouze na daném zařízeníUživatel má složku profilu, dokumenty, obrázky, plochu atd., ale nastavení a soubory nejsou synchronizovány s cloudem Microsoft. Tento přístup nabízí… větší míra soukromí a snižuje plochu útoku v situacích, kdy nepotřebujete nebo nechcete integraci s online službami společnosti.
V prostředích s více uživateli sdílejícími počítač (velká rodina, kancelář, učebna, laboratoř nebo malá firma) zabraňuje vytváření samostatných lokálních profilů... Někteří se dívají na data jiných lidíIzoluje nastavení, historii prohlížeče a nainstalované aplikace pro každého uživatele, což zjednodušuje dodržování zásad ochrany osobních údajů.
Systémy Windows 8, 10 a 11 stále povolují lokální účty stejně jako v předchozích verzích, i když se vás systém snaží k jejich používání donutit. Microsoft se stará o všechnoMezi účtem Microsoft a místním účtem můžete kdykoli přepínat, aniž byste přišli o data, pokud to uděláte správně.
Lokální uživatelské a systémové účty: jaké existují typy a k čemu se používají
Systém Windows automaticky vytvoří řadu výchozí lokální účty Při instalaci systému jsou některé specifické pro uživatele a jiné specifické pro systém, používané interně samotným Windows a určitými službami. Nechovají se stejně ani nemají stejná oprávnění, proto je důležité jim porozumět, abyste se vyhnuli jakémukoli narušení nebo zanechání zranitelností.
Výchozí místní uživatelské účty
Výchozí lokální uživatelské účty jsou vestavěné účty, které systém generované během instalaceNelze je smazat, i když je v některých případech lze přejmenovat nebo zakázat. Všechny se nacházejí v počítači a mají práva pouze nad daným zařízením, bez automatického přístupu k síťovým prostředkům.
Pro zobrazení a správu těchto účtů můžete v edicích Pro a vyšších použít konzoli. Správa zařízení > Lokální uživatelé a skupiny > UživateléOdtud můžete vytvářet vlastní uživatele, měnit hesla, deaktivovat účty atd. V edicích Home se mnoho z těchto úkolů provádí z aplikace Nastavení nebo pomocí příkazů.
Účet správce
Vestavěný účet místního správce je ten, který má totální kontrola nad týmemVaše SID končí na 500 Je to první účet, který se generuje během instalace systému Windows, i když v moderních verzích je obvykle zakázán a pro hlavního uživatele se vytvoří další účet s oprávněními správce.
S tímto účtem můžete upravit jakýkoli soubor, službu, oprávnění nebo nastaveníTo jim umožňuje převzít kontrolu nad zdroji, měnit uživatelská práva a přiřazovat oprávnění. Právě z tohoto důvodu je to velmi atraktivní účet pro útočníky a malware a jeho existence je dobře známá prakticky ve všech verzích Windows.
Z bezpečnostních důvodů nemůžete účet správce smazat, ale můžete přejmenujte ho nebo ho zakažteSpolečnost Microsoft doporučuje nepoužívat tento účet pro běžné přihlašování a co nejvíce omezit počet účtů patřících do skupiny Administrators. Dobrým postupem je vždy pracovat se standardním účtem a používat zvýšená oprávnění (Spustit jako správce a Řízení uživatelských účtů) pouze v případě potřeby.
Účet hosta
Účet hosta je určen pro uživatele příležitostné nebo jednorázové použití Potřebují rychlý přístup k počítači, aniž by si museli vytvářet vlastní účet. Jeho SID končí na 501, má velmi omezená oprávnění a je záměrně určen pro dočasné relace bez rozsáhlých úprav.
Ve výchozím nastavení je účet Guest zakázáno a bez heslaToto představuje vážné riziko, pokud je aktivováno neopatrně, protože může nabídnout anonymní přístup. Je to jediný člen vestavěné skupiny Guests (SID S-1-5-32-546), který má pouze práva potřebná k lokálnímu přihlášení.
Pokud jej z jakéhokoli důvodu povolíte, je vhodné jej co nejvíce omezit a nepovolit jeho používání v síti. zabránit jim v prohlížení protokolů událostí a často kontrolujte svou aktivitu, abyste zabránili jejímu zneužití někým k neúmyslnému ponechání služeb nebo zdrojů otevřených.
Výchozí účet (DSMA)
Výchozí účet, také známý jako Výchozí systémem spravovaný účet (DSMA)Jedná se o standardní systémem spravovaný účet, který je zaveden pro podporu víceuživatelských aplikací (MUMA) a určitých moderních scénářů (např. Xbox nebo prostředí sdílených relací).
Tento účet je obvykle ve výchozím nastavení zakázáno Na stolních počítačích a serverech s Windows a možností práce s počítačem má známý identifikátor RID (503) a patří do speciální skupiny systémem spravovaných účtů (SID S-1-5-32-581). Systém Windows jej sám vytvoří ve Správci bezpečnostních účtů (SAM) při prvním spuštění počítače.
Z hlediska oprávnění se chová jako standardní uživatel, ale je navržen tak, aby aplikace, které musí zůstat na pozadí a reagovat na změny v uživatelské relaci, mohly... běžet v kontextu nezávislém na lidských uživatelíchSpolečnost Microsoft nedoporučuje upravovat výchozí nastavení, protože by to mohlo narušit současné nebo budoucí bezpečnostní scénáře, aniž by to přineslo jakékoli skutečné bezpečnostní výhody.
WDAGUtilityAccount
WDAGUtilityAccount je další vestavěný lokální účet, který používá Ochrana aplikací v programu Windows Defender (Windows Defender Application Guard). Jeho SID je známé (končí na 504) a ve výchozím nastavení nepatří do žádné skupiny.
Tento účet se používá k izolaci prohlížecích nebo spouštěcích prostředí, která systém chrání v kontejnerech. Za normálních okolností byste se ho neměli dotýkat. Systém Windows jej automaticky povolí a nakonfiguruje. když je to potřeba.
Účet WSIA
WSIAccount se objevuje ve Windows 11 a je zaměřen na Aktivity související s webem z uzamčené obrazovky nebo přihlašovací obrazovkyPoužívá se například pro přístup ke stránkám poskytovatele přihlašovacích údajů, když chcete resetovat heslo nebo použít webové ověřování před úplným přihlášením.
Má známý SID končící na 1001 a ve výchozím nastavení je součástí skupiny Users. Opět se jedná o servisní účet, který Nemělo by se používat interaktivně. ani ručně upravovat, pokud to společnost Microsoft nedokumentuje pro konkrétní případ.
Účet HelpAssistant
HelpAssistant je lokální účet, který systém Windows Povoleno pouze během relací vzdálené pomociKdyž uživatel požádá o pomoc prostřednictvím pozvání (e-mailem, souborem atd.), systém vytvoří tento účet s omezenými oprávněními, aby se asistující osoba mohla připojit a ovládat počítač pod dohledem.
Účet zůstane deaktivovaný, dokud nebudou k dispozici žádné čekající žádosti o vzdálenou pomoc. Je spravován službou Správce relací nápovědy ke vzdálené ploše a je součástí skupin souvisejících se vzdálenou plochou a terminálovým serverem (například skupiny s SID S-1-5-13 a S-1-5-14, které zahrnují uživatele služeb Vzdálená plocha a Vzdálené interaktivní přihlašování).
V systému Windows Server není Vzdálená pomoc ve výchozím nastavení nainstalována a je volitelná součástDokud není účet HelpAssistant nainstalován a používán, ve skutečnosti se k němu nedostane.
Lokální systémové účty: SYSTEM, Lokální služba a Síťová služba
Kromě uživatelských účtů má systém Windows několik interní systémové účty které nejsou určeny k přihlášení jako běžného uživatele, ale k umožnění fungování systému a jeho služeb.
Nejsilnější je účet SYSTÉM (SID S-1-5-18). Používá ho jádro operačního systému a řada služeb, které vyžadují maximální oprávnění, včetně instalačních úloh. Nezobrazuje se ve Správci uživatelů ani jej nelze přidat do skupin, ale uvidíte ho v seznamech oprávnění NTFS, kde obvykle... plná kontrola nad všemi soubory místních objemů.
Účet Místní služba (MÍSTNÍ SLUŽBA, SID S-1-5-19) Je navržen tak, aby spouštěl služby s minimálními oprávněními na počítači a anonymními přihlašovacími údaji v síti. Tímto způsobem má útočník menší manévrovací prostor, pokud je služba používající tento účet napadena.
Účet ze své strany Síťová služba (SÍŤOVÁ SLUŽBA, SID S-1-5-20) Spouští služby, které při komunikaci s jinými vzdálenými servery potřebují používat přihlašovací údaje počítače. Služba se tedy v síti prezentuje jako počítač, nikoli jako běžný uživatel, ale lokálně si udržuje relativně omezená oprávnění.
Vytvořte si zabezpečené lokální účty pro každodenní použití ve Windows 10 a Windows 11
Kromě integrovaných účtů je obvyklou praxí vytvářet standardní lokální uživatelé Pro každodenní použití můžete mít jeden nebo více administrátorských účtů, které se používají pouze při instalaci softwaru, úpravě globálních nastavení nebo provádění údržby. Systém Windows nabízí několik způsobů, jak tyto účty vytvořit, v závislosti na tom, zda dáváte přednost grafickému rozhraní nebo příkazovému řádku.
Vytvořit z aplikace Nastavení
Ve Windows 10 a 11 je pro většinu uživatelů nejpřívětivější cestou aplikace Nastavení > ÚčtyOdtud můžete vytvářet jak lokální účty, tak účty založené na Microsoft ID a později změnit jejich typ (Standardní uživatel nebo Správce).
Typický postup je: přejděte do sekce Účty, zadejte Rodina a další uživatelé (ve Windows 10) nebo na Ostatní uživatelé (ve Windows 11) klikněte na Přidat účet a když se systém zeptá na e-mail nebo telefonní číslo, vyberte příslušnou možnost Žádná losovaná data pro začátek sezóny osobněV dalším kroku místo otevření nového e-mailu od Microsoftu zvolte možnost Přidat uživatele bez účtu Microsoft.
Odtud už jen stačí uvést uživatelské jméno a hesloPro bezpečnost zopakujte heslo a nastavte tři bezpečnostní otázky. reakce na zotaveníHeslo je možné nechat prázdné, ale v téměř každém reálném scénáři je to špatný nápad. Po vytvoření se účet zobrazí v sekci ostatní uživatelé a v případě potřeby můžete jeho typ změnit na Správce.
Vytvoření účtu člena rodiny (s účtem Microsoft)
Pokud chcete vytvořit účty pro nezletilé osoby nebo uživatele, na které se chcete obrátit rodičovská kontrola a pravidla pro čas strávený u obrazovkyMůžete použít možnost Rodina. V tomto případě je vyžadován účet Microsoft, protože ovládání je centralizováno prostřednictvím služby Zabezpečení rodiny.
Uživatel s oprávněními správce, který je přihlášen pomocí Microsoft ID, může přejít do sekce Účty > Rodina, přidat člena a určit, zda bude Organizátor nebo člen a propojte svou e-mailovou adresu (nebo vytvořte novou pro dítě). Všechna následná nastavení (filtry, limity, přehledy) se spravují později prostřednictvím webu Microsoft Family Safety.
Vytvoření ze Správy zařízení
V technicky náročnějším prostředí je řízení týmu velmi praktickým nástrojem pro rychle vytvořit více lokálních uživatelů, zejména ve Windows Pro nebo Enterprise.
V kontextové nabídce tlačítka Start otevřete Správa počítače, rozbalte Místní uživatelé a skupiny > Uživatelé a pomocí možnosti Nový uživatelTato sekce definuje uživatelské jméno, volitelné celé jméno, popis a heslo. Můžete požadovat změnu hesla při prvním přihlášení, zabránit uživatelům ve změně hesla nebo nastavit jeho neomezenou platnost.
Po kliknutí na tlačítko Vytvořit zůstane okno otevřené pro případ, že byste potřebovali vytvořit více uživatelů za sebou, což je velmi užitečné v učebnách nebo laboratořích s mnoha studenty. Tato metoda vytváří pouze místní uživatelé, nikoli účty Microsoft, a z vlastností každého uživatele můžete přiřadit členství ve skupině (například Uživatelé nebo Správci).
Vytvořeno pomocí Netplwiz
Netplwiz je klasický nástroj pro Windows. správa účtů a možností přihlášeníSpouští se z nabídky Spustit zadáním příkazu netplwiz a umožňuje přidávat účty, měnit hesla a konfigurovat, zda musí uživatel při přihlašování zadat heslo.
Na kartě Uživatelé klikněte na tlačítko Přidat a průvodce vám nabídne vytvoření účtu Microsoft nebo, pokud je vybrána příslušná možnost, vytvoření účtu místní účet bez MicrosoftuI když je to poněkud skryté, postup je podobný jako v aplikaci Nastavení: jméno, heslo a případně členství ve skupině.
Vytváření z konzole: uživatel net a PowerShell
Při správě mnoha týmů nebo práci v nouzovém režimu je konzole vaším spojencem. S klasickým příkazem net user Uživatele můžete vytvořit jedním řádkem, například:
Operátor síťového uživatele SecurePassword123! /add
Pokud později budete chtít, aby daný účet patřil do určité skupiny, můžete použít:
Operátor /add pro správce net localgroup Pro přiřazení administrátorských oprávnění nebo pro přidání uživatele do skupiny Uživatelé, pokud by se mělo jednat pouze o standardního uživatele. Tato metoda je ideální pro skripty a automatizované nasazení.
V PowerShellu, cmdlet Nový místní uživatel Umožňuje větší kontrolu a moderní syntaxi. Můžete si vytvořit účet a definovat bezpečné heslo převedené na SecureString a poté jej použít. Přidat člena místní skupiny přidat jej do odpovídající skupiny. To je obzvláště užitečné pro správce systému v kombinaci s automatizačními nástroji nebo modulem Microsoft.PowerShell.LocalAccounts.
Nedávné změny ve Windows 11: OOBE, příkazy a vytváření lokálních účtů
V novějších verzích Windows 11, zejména od buildu 24H2 a dále, společnost Microsoft… uzavírání „neoficiálních“ tras obejít požadavek na použití účtu Microsoft během počáteční instalace.
Známý trik OOBE\BYPASSNOFunkce, která donedávna umožňovala vynutit si v průvodci Out-of-Box Experience (OOBE) možnost lokálního účtu, přestala fungovat. Při pokusu o její použití v režimu 24/2 systém jednoduše restartuje průvodce a vrátí vás na stejnou obrazovku, aniž by jako dříve nabízel zástupce lokálního účtu.
Stále však existují účinné alternativy. Jednou z nejčistších je použít na obrazovce následující text, který označuje, že je vyžadováno připojení k internetu: Shift+F10 pro otevření konzole a spustit interní příkaz jako OOBE: spuštění ms-cxh:localonlycož způsobí, že asistent zobrazí cestu k vytvoření lokálního účtu, aniž by ji propojil s e-mailem.
Další klasickou možností je Instalace systému Windows offlinePomoci může také odpojení síťového kabelu nebo vypnutí Wi-Fi před spuštěním průvodce nastavením nebo během něj. V mnoha sestaveních, pokud počítač nerozpozná připojení k internetu, automaticky nabídne možnost vytvoření místního účtu jako součást počátečního procesu nastavení, aniž by bylo nutné provést jakékoli další kroky.
Nakonec je tu vždy možnost Nainstalujte s účtem Microsoft a poté si vytvořte místní účet V Nastavení nebo konzoli přesuňte své denní používání na daný účet a v případě potřeby převeďte účet Microsoft na místní účet v nabídce Účty > Vaše informace > Přihlásit se pomocí místního účtu. Je to trochu složitější, ale plně podporované a stabilní.
Zabezpečení a osvědčené postupy při každodenním používání lokálních účtů
Mít mnoho účtů je zbytečné, pokud je jejich konfigurace laxní. Aby lokální účty skutečně poskytovaly zabezpečení, je třeba je kombinovat. dobré praktiky užívání se správnou konfigurací UAC, oprávnění a skupinových zásad, zejména v podnikovém prostředí.
Používejte standardní účet pro každodenní použití
Obecné doporučení od společnosti Microsoft a všech bezpečnostních expertů je jasné: používejte Standardní účet pro každodenní úkoly (prohlížení, e-mail, kancelářské aplikace, hry atd.) a účty s administrátorskými oprávněními rezervovat pouze pro ty akce, které je skutečně vyžadují, a pokud možno je aktivovat vícefaktorové ověřování.
El Řízení uživatelských účtů (UAC) To hodně pomáhá. I při přihlašování s účtem, který patří do skupiny Administrators, používá Řízení účtů model „schválení administrátorem“: uživatel funguje ve standardním režimu, dokud akce nevyžaduje zvýšení oprávnění. V takovém případě systém zobrazí varování a požádá o potvrzení nebo přihlašovací údaje.
UAC také ovlivňuje chování lokálních účtů při jejich použití pro vzdálený nebo síťový přístupNapříklad při přihlašování přes síť (NET USE, sdílená připojení atd.) může systém Windows vydat standardní uživatelský token bez možnosti zvýšení oprávnění, čímž zabrání tomuto účtu v přístupu k administrativním prostředkům, jako je C$ nebo ADMIN$. Tím se snižuje plocha pro útok pro laterální pohyb po krádeži přihlašovacích údajů.
Omezit vzdálené používání lokálních účtů s administrátorskými právy
Jedním z nejčastějších útoků na sítě Windows je laterální pohyb, který využívá znovu použité hashe hesel na více počítačích. Pokud má lokální administrátorský účet stejné heslo na několika počítačích, může útočník, který na jednom z nich prozradí heslo, použít tyto přihlašovací údaje k šíření na ostatní počítače.
Pro zmírnění tohoto rizika existuje několik doplňkových strategií. První je odmítnout přihlášení ze sítě a přihlašování ke Službám Vzdálené plochy k místním účtům, které jsou členy skupiny Administrators. To se provádí pomocí skupinových zásad s použitím následujících zásad:
- Zakázat tomuto zařízení přístup k síti, nakonfigurovaný pro „Místní účet a člen skupiny Administrators“.
- Odepřít přihlášení prostřednictvím Služby vzdálené plochytaké ukazuje na „Místní účet a člen skupiny Administrators“.
Tyto zásady se používají v nabídce Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Přiřazení uživatelských práv a jsou distribuovány prostřednictvím objektu GPO do organizačních jednotek, které obsahují pracovní stanice a servery, jež chcete chránit.
Dalším klíčovým opatřením je řízení chování UAC při vzdáleném přístupu konfigurací hodnoty registru. LocalAccountTokenFilterPolicy V sekci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Prostřednictvím objektu GPO založeného na předvolbách registru lze tuto hodnotu definovat jako REG_DWORD s daty 0, aby se vynutilo filtrování tokenů a omezilo se zvýšení oprávnění lokálních účtů v síti.
Unikátní a náhodná hesla pro privilegované lokální účty
Opětovné použití stejného hesla místního správce na všech počítačích je obrovské rizikoJakýkoli únik tohoto hesla nebo jeho hash otevírá dveře k řetězové reakci, která by mohla ohrozit všechny identicky nakonfigurované stroje.
Řešení zahrnuje stanovení unikátní a náhodná hesla pro každý lokální účet s oprávněními. To extrémně ztěžuje útoky typu pass-the-hash, protože ukradený hash je platný pouze na počítači, kde byl získán, nikoli na ostatních.
Společnost Microsoft nabízí několik způsobů, jak tuto randomizaci automatizovat. V současnosti je nejvíce doporučovanou metodou implementace LAPS (řešení hesla místního správce)Tento software generuje a rotuje složitá hesla pro účty lokálních správců a ukládá je zašifrovaná v Active Directory, kde k nim mají přístup pouze oprávnění správci. Mezi další možnosti patří získání podnikových nástrojů od správa privilegovaných hesel nebo si vyvinout vlastní skripty, které pravidelně generují silná hesla. Důležité je vyhnout se sdíleným statickým heslům a pokušení „používat stejné, aby si ho všichni pamatovali“.
Ochrana citlivých přihlašovacích údajů a procesů: LSASS a Credential Guard
Systém Windows během procesu ukládá přihlašovací údaje a bezpečnostní tajné kódy. LSASS (Service Subsystem Service of Local Security Authority)který řídí uživatelské relace a validace. Pokud se útočníkovi podaří přečíst paměť LSASS, může extrahovat hashe hesel a Kerberos tikety pro laterální přesun. Dále je vhodné Zkontrolujte, zda nedošlo k úniku vašich přihlašovacích údajů a jednat rychle.
Proto je na moderních pracovních stanicích a serverech vhodné konfigurovat LSASS jako Kontrolka ochrany procesu (PPL)čímž posiluje svou izolaci od nespolehlivých procesů. Mnoho současných systémů navíc umožňuje aktivaci Povědomí stráž, která využívá hardwarovou virtualizaci k izolaci přihlašovacích údajů a tajných dat, čímž také snižuje plochu pro krádež hashů.
Tato opatření spolu s řádnou segmentací lokálních účtů, používáním jedinečných hesel a omezením vzdáleného přihlašování vedou k prostředí, které je mnohem odolnější vůči eskalaci a útokům s laterálním přesunem.
Pokročilá správa lokálních účtů a vzdálená administrace
Na řadičích domény se účty domény spravují prostřednictvím služby Active Directory a obvyklých nástrojů, ale je také možné použít Místní uživatelé a skupiny spravovat účty na vzdálených počítačích, které nejsou řadiči domény, za předpokladu, že síť a zásady umožňují vzdálenou správu.
Kromě grafického rozhraní mají administrátoři k dispozici klasické utility, jako například Uživatel NET.EXE a místní skupina NET.EXE pro správu lokálních uživatelů a skupin pomocí skriptů a modul Microsoft.PowerShell.LocalAccounts pro automatizaci vytváření, úprav a mazání účtů pomocí PowerShellu.
Správně přiřadit uživatelská práva a přístupová oprávnění Je to také zásadní. Práva (jako je zálohování souborů, vypnutí počítače, lokální nebo síťové přihlášení) jsou definována v lokálních nebo doménových bezpečnostních zásadách, zatímco oprávnění se vztahují na konkrétní objekty (soubory, složky, tiskárny) prostřednictvím ACL.
Na řadičích domény nelze pomocí funkce Místní uživatelé a skupiny spravovat lokální účty na samotném řadiči, ale lze ji použít k přímé administraci vzdálených členských počítačů. Toto oddělení pomáhá zachovat dobře definované zabezpečení domény oproti lokálním účtům každého počítače.
Důkladná znalost integrovaných účtů, používání standardních lokálních účtů pro každodenní operace, striktní omezení administrátorských účtů, vynucování zásad omezení vzdáleného přihlašování, ochrana LSASS a zajištění jedinečných hesel tvoří základ pro... lokální účty jsou bezpečný a spolehlivý nástroj doma i v podnikových sítích, učebnách nebo laboratořích, kde mnoho uživatelů sdílí vybavení, ale nemělo by sdílet rizika ani data.
