本地帐户

本文介绍 Windows 操作系统的默认本地用户帐户,以及如何管理内置帐户。

关于本地用户帐户

本地用户帐户在设备上本地定义,并且只能在设备上分配权限和权限。 本地用户帐户是安全主体,用于保护和管理服务或用户对设备上资源的访问。

默认本地用户帐户

默认本地用户帐户是在安装操作系统时自动创建的内置帐户。 无法删除或删除默认本地用户帐户,并且不提供对网络资源的访问权限。

默认本地用户帐户用于根据分配给帐户的权限来管理对本地设备资源的访问权限。 默认本地用户帐户和创建的本地用户帐户位于 “用户” 文件夹中。 “用户”文件夹位于本地 计算机管理 Microsoft 管理控制台 (MMC) 的“本地用户和组”文件夹中。 计算机管理 是可用于管理本地或远程设备的管理工具的集合。

以下部分介绍了默认本地用户帐户。 展开每个部分以获取详细信息。

管理员

默认的本地管理员帐户是用于系统管理的用户帐户。 每台计算机都有一个管理员帐户 (SID S-1-5-domain-500,显示名称管理员) 。 管理员帐户是在 Windows 安装过程中创建的第一个帐户。

管理员帐户可完全控制本地设备上的文件、目录、服务和其他资源。 管理员帐户可以创建其他本地用户、分配用户权限和分配权限。 管理员帐户可以通过更改用户权限随时控制本地资源。

无法删除或锁定默认管理员帐户,但可以重命名或禁用该帐户。

Windows 安装程序禁用内置管理员帐户,并创建另一个作为 Administrators 组成员的本地帐户。

管理员组的成员可以使用提升的权限运行应用,而无需使用 “以管理员身份运行” 选项。 快速用户切换比使用 runas 或不同用户提升更安全。

帐户组成员身份

默认情况下,管理员帐户是 Administrators 组的成员。 最佳做法是限制管理员组中的用户数,因为 Administrators 组的成员对设备具有“完全控制”权限。

无法从管理员组中删除管理员帐户。

安全注意事项

由于已知许多版本的 Windows 操作系统上都存在管理员帐户,因此最好尽可能禁用管理员帐户,使恶意用户更难访问服务器或客户端计算机。

可以重命名管理员帐户。 但是,重命名的管理员帐户继续使用相同的自动分配的安全标识符 (SID) ,恶意用户可能会发现该标识符。 有关如何重命名或禁用用户帐户的详细信息,请参阅 禁用或激活本地用户帐户重命名本地用户帐户

作为安全最佳做法,请使用本地 (非管理员) 帐户登录,然后使用 “以管理员身份运行 ”完成需要比标准用户帐户更高级别权限的任务。 除非完全有必要,否则不要使用管理员帐户登录到计算机。 有关详细信息,请参阅 使用管理凭据运行程序

组策略可用于自动控制本地管理员组的使用。 有关组策略的详细信息,请参阅组策略概述

重要提示

  • 不允许使用空密码
  • 即使管理员帐户已禁用,它仍可用于使用安全模式访问计算机。 在恢复控制台中或在安全模式下,会自动启用管理员帐户。 正常操作恢复后,会禁用该操作。

来宾

来宾帐户允许计算机上没有帐户的偶尔用户或一次性用户暂时登录到具有有限用户权限的本地服务器或客户端计算机。 默认情况下,来宾帐户处于禁用状态,并且密码为空。 由于来宾帐户可以提供匿名访问,因此被视为安全风险。 出于此原因,除非需要使用来宾帐户,否则最佳做法是禁用来宾帐户。

来宾帐户组成员身份

默认情况下,来宾帐户是默认来宾组 的唯一成员,该组 SID S-1-5-32-546允许用户登录到设备。

来宾帐户安全注意事项

启用来宾帐户时,仅授予有限的权限和权限。 出于安全原因,来宾帐户不应通过网络使用,并可供其他计算机访问。

此外,来宾帐户中的来宾用户应该无法查看事件日志。 启用来宾帐户后,最佳做法是经常监视来宾帐户,以确保其他用户无法使用服务和其他资源。 这包括前一个用户无意中留下的资源。

HelpAssistant

HelpAssistant 帐户是在运行远程协助会话时启用的默认本地帐户。 当没有远程协助请求挂起时,会自动禁用此帐户。

HelpAssistant 是用于建立远程协助会话的主帐户。 远程协助会话用于连接到运行 Windows 操作系统的另一台计算机,它通过邀请启动。 对于请求的远程协助,用户通过电子邮件或文件从其计算机向可以提供帮助的人员发送邀请。 接受用户的远程协助会话邀请后,将自动创建默认 HelpAssistant 帐户,以便向提供协助的人员授予对计算机的有限访问权限。 HelpAssistant 帐户由远程桌面帮助会话管理器服务管理。

HelpAssistant 帐户安全注意事项

与默认 HelpAssistant 帐户相关的 SID 包括:

  • SID: S-1-5-<domain>-13,显示名称 终端服务器用户。 此组包括登录到已启用远程桌面服务的服务器的所有用户。
  • SID: S-1-5-<domain>-14,显示名称 远程交互式登录。 此组包括使用远程桌面连接连接到计算机的所有用户。 此组是交互式组的子集。 包含远程交互式登录 SID 的访问令牌也包含交互式 SID。

对于 Windows Server 操作系统,远程协助是默认未安装的可选组件。 必须先安装远程协助,然后才能使用它。

有关 HelpAssistant 帐户属性的详细信息,请参阅下表。

HelpAssistant 帐户属性

属性
Well-Known SID/RID S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon)
类型 用户
默认容器 CN=Users, DC=<domain>
默认成员
的默认成员 域来宾

来宾
受 ADMINSDHOLDER 保护?
移出默认容器是否安全? 可以移出,但我们不建议使用。
将此组的管理委托给非服务管理员是安全的?

DefaultAccount

DefaultAccount 帐户(也称为默认系统托管帐户 (DSMA) )是一种已知的用户帐户类型。 DefaultAccount 可用于运行多用户感知或用户不可知的进程。

默认情况下,DSMA 在桌面版和具有桌面体验的服务器操作系统上处于禁用状态。

DSMA 具有众所周知的 RID。503 因此,DSMA 的安全标识符 (SID) 将具有以下格式的已知 SID: S-1-5-21-\<ComputerIdentifier>-503

DSMA 是已知组 系统托管帐户组的成员,该组的已知 SID 为 S-1-5-32-581

即使在创建帐户本身之前,也可在脱机暂存期间向 DSMA 别名授予对资源的访问权限。 帐户和组是在安全帐户管理器 (SAM) 中首次启动计算机期间创建的。

Windows 如何使用 DefaultAccount

从权限的角度来看,DefaultAccount 是一个标准用户帐户。 需要 DefaultAccount 来运行多用户 manifested-apps (MUMA 应用) 。 MUMA 应用会一直运行,并对登录和注销设备的用户做出反应。 与 Windows 桌面(应用在用户的上下文中运行并在用户注销时终止)不同,MUMA 应用使用 DSMA 运行。

MUMA 应用在共享会话 SKU(如 Xbox)中正常运行。 例如,Xbox shell 是一个 MUMA 应用。 目前,Xbox 自动以来宾帐户身份登录,所有应用都在此上下文中运行。 所有应用都是多用户感知的,并响应用户管理器触发的事件。 应用作为来宾帐户运行。

同样,手机自动以 DefApps 帐户登录,这类似于 Windows 中的标准用户帐户,但具有一些额外的特权。 代理、某些服务和应用作为此帐户运行。

在聚合用户模型中,多用户感知应用和多用户感知代理需要在与用户不同的上下文中运行。 为此,系统会创建 DSMA。

如何在域控制器上创建 DefaultAccount

如果域是在运行 Windows Server 2016 的域控制器创建的,则 DefaultAccount 存在于域中的所有域控制器上。 如果域是使用运行早期版本的 Windows Server 的域控制器创建的,则会在将 PDC 模拟器角色转移到运行 Windows Server 2016 的域控制器后创建 DefaultAccount。 然后,将 DefaultAccount 复制到域中的所有其他域控制器。

有关管理默认帐户 (DSMA) 的建议

Microsoft 不建议更改禁用帐户的默认配置。 帐户处于禁用状态不会有安全风险。 更改默认配置可能会妨碍将来依赖此帐户的方案。

默认本地系统帐户

系统

操作系统和 Windows 下运行的服务使用 SYSTEM 帐户。 Windows 操作系统中有许多服务和进程需要能够在内部登录,例如在 Windows 安装期间。 SYSTEM 帐户设计用于此目的,Windows 管理 SYSTEM 帐户的用户权限。 它是一个内部帐户,不会显示在用户管理器中,并且无法将其添加到任何组。

另一方面,系统帐户确实显示在“安全”菜单“权限”部分的“文件管理器”中的 NTFS 文件系统卷上。 默认情况下,系统会向 SYSTEM 帐户授予对 NTFS 卷上所有文件的完全控制权限。 此处,SYSTEM 帐户具有与管理员帐户相同的功能权限。

注意

向帐户授予管理员组文件权限不会隐式向 SYSTEM 帐户授予权限。 可以从文件中删除 SYSTEM 帐户的权限,但我们不建议删除它们。

网络服务

网络服务帐户是服务控制管理器 (SCM) 使用的预定义本地帐户。 在网络服务帐户的上下文中运行的服务向远程服务器提供计算机的凭据。 有关详细信息,请参阅 NetworkService 帐户

本地服务

LOCAL SERVICE 帐户是服务控制管理器使用的预定义本地帐户。 它在本地计算机上具有最低权限,并在网络上提供匿名凭据。 有关详细信息,请参阅 LocalService 帐户

如何管理本地用户帐户

默认本地用户帐户和创建的本地用户帐户位于“用户”文件夹中。 “用户”文件夹位于“本地用户和组” 中。 有关创建和管理本地用户帐户的详细信息,请参阅 管理本地用户

可以使用本地用户和组仅对本地服务器分配权限,以限制本地用户和组执行某些操作的能力。 权限授权用户对服务器执行某些操作,例如备份文件和文件夹或关闭服务器。 访问权限是与对象(通常是文件、文件夹或打印机)关联的规则。 它规定哪些用户可以以何种方式访问服务器上的对象。

不能在域控制器上使用本地用户和组。 但是,可以使用域控制器上的本地用户和组来面向网络上不是域控制器的远程计算机。

注意

使用 Active Directory 用户和计算机 来管理 Active Directory 中的用户和组。

还可以使用 NET.EXE USER 管理本地用户,并使用 NET.EXE LOCALGROUP 或使用各种 PowerShell cmdlet 和其他脚本技术来管理本地组。

使用管理权限限制和保护本地帐户

管理员可以使用多种方法来防止恶意用户使用被盗的凭据(如被盗的密码或密码哈希)在另一台计算机上对具有管理权限的本地帐户进行身份验证。 这也称为 横向移动

最简单的方法是使用标准用户帐户登录到计算机,而不是使用管理员帐户执行任务。 例如,使用标准帐户浏览 Internet、发送电子邮件或使用字处理器。 如果要执行管理任务(例如安装新程序或更改影响其他用户的设置),则无需切换到管理员帐户。 在执行任务之前,可以使用用户帐户控制 (UAC) 提示你输入权限或管理员密码,如下一部分所述。

可用于限制和保护具有管理权限的用户帐户的其他方法包括:

  • 强制实施远程访问的本地帐户限制
  • 拒绝网络登录到所有本地管理员帐户
  • 为具有管理权限的本地帐户创建唯一密码

以下各节介绍了上述每种方法。

注意

如果禁用了所有管理本地帐户,则这些方法不适用。

强制实施远程访问的本地帐户限制

用户帐户控制 (UAC) 是一项安全功能,可在程序进行需要管理权限的更改时通知你。 UAC 的工作原理是调整用户帐户的权限级别。 默认情况下,UAC 设置为在应用程序尝试更改计算机时通知你,但你可以在 UAC 通知你时进行更改。

UAC 使具有管理权限的帐户可以被视为标准用户非管理员帐户,直到请求和批准完全权限(也称为提升)。 例如,UAC 允许管理员在非管理员的用户会话期间输入凭据,以执行偶尔的管理任务,而无需切换用户、注销或使用 运行方式 命令。

此外,UAC 可能要求管理员在授予这些应用程序运行权限之前专门批准进行系统范围更改的应用程序,即使在管理员的用户会话中也是如此。

例如,当本地帐户使用网络登录(例如,使用 NET.EXE USE () )从远程计算机登录时,会显示 UAC 的默认功能。 在此实例中,会颁发标准用户令牌,该令牌没有管理权限,但无法请求或接收提升。 因此,使用网络登录的本地帐户无法访问 C$或 ADMIN$ 等管理共享,也无法执行任何远程管理。

有关 UAC 的详细信息,请参阅 用户帐户控制

下表显示了用于对远程访问强制实施本地帐户限制的组策略和注册表设置。

否。 设置 详细说明
策略位置 计算机配置\Windows 设置\安全设置\本地策略\安全选项
1 策略名称 用户帐户控制: 用于内置管理员帐户的管理员批准模式
策略设置 已启用
2 策略位置 计算机配置\Windows 设置\安全设置\本地策略\安全选项
策略名称 用户帐户控制: 以管理员批准模式运行所有管理员
策略设置 已启用
3 注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
注册表值名称 LocalAccountTokenFilterPolicy
注册表值类型 DWORD
注册表值数据 0

注意

还可以使用安全模板中的自定义 ADMX 强制实施 LocalAccountTokenFilterPolicy 的默认值。

对远程访问强制实施本地帐户限制

  1. (GPMC) 启动组策略管理控制台

  2. 在控制台树中,展开“<>\域\<>”,然后组策略“对象”,其中是林的名称,而是要在其中设置组策略对象 (GPO)

  3. 在控制台树中,右键单击“组策略”对象“”新建”>

  4. 在“新建 GPO”对话框中,键入“gpo_name>”,然后>键入<“确定”,其中gpo_name是新 GPO 的名称。 GPO 名称指示 GPO 用于限制将本地管理员权限传递给另一台计算机

  5. 在详细信息窗格中,右键单击“gpo_name>”,然后单击>“编辑”<

  6. 按照以下步骤操作,确保 UAC 已启用并且 UAC 限制适用于默认管理员帐户:

    • 导航到计算机配置\Windows 设置\安全设置\本地策略\和安全 >选项
    • 双击“用户帐户控制:在启用管理员审批模式下>>运行所有管理员”确定
    • 双击“用户帐户控制:为内置管理员帐户>>启用确定管理员审批模式”
  7. 按照以下步骤操作,确保将本地帐户限制应用于网络接口:

    • 导航到 “计算机配置”\“首选项”和“Windows 设置”和 >“注册表”
    • 右键单击“注册表”和>“新建>注册表项
    • 在“新建注册表属性”对话框中的“常规”选项卡上,将“操作”框中的设置更改为“替换
    • 确保 Hive 框设置为 HKEY_LOCAL_MACHINE
    • 选择“ (...) ”,浏览到以下位置,选择“ 密钥路径>SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • “值名称” 区域中,键入 LocalAccountTokenFilterPolicy
    • 在“ 值类型 ”框中,从下拉列表中选择 “REG_DWORD ”以更改该值
    • 在“ 值数据 ”框中,确保值设置为 0
    • 验证此配置,确定>
  8. 执行以下操作,将 GPO 链接到第一个 工作站 组织单位, (OU) :

    • 导航到 *Forest*\<Domains>\*Domain*\*OU* 路径
    • 右键单击“工作站>链接现有 GPO
    • 选择创建的 GPO,然后选择 >“确定”
  9. 在第一个 OU 的工作站上测试企业应用程序的功能,并解决新策略导致的任何问题

  10. 创建指向包含工作站的所有其他 OU 的链接

  11. 创建指向包含服务器的所有其他 OU 的链接

拒绝网络登录到所有本地管理员帐户

拒绝本地帐户执行网络登录的功能有助于防止在恶意攻击中重复使用本地帐户密码哈希。 此过程可确保从受入侵的操作系统中窃取的本地帐户的凭据不能用于入侵使用相同凭据的其他计算机,从而有助于防止横向移动。

注意

若要执行此过程,必须首先标识本地默认管理员帐户的名称,该帐户可能不是默认用户名“Administrator”,以及属于本地管理员组成员的任何其他帐户。

下表显示了用于拒绝所有本地管理员帐户的网络登录的组策略设置。

否。 设置 详细说明
策略位置 计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
1 策略名称 拒绝从网络访问这台计算机
策略设置 本地帐户和管理员组的成员
2 策略位置 计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
策略名称 拒绝通过远程桌面服务登录
策略设置 本地帐户和管理员组的成员

拒绝网络登录到所有本地管理员帐户

  1. (GPMC) 启动组策略管理控制台

  2. 在控制台树中,展开“<>\域\<>”,然后组策略“对象”,其中是林的名称,而域是要在其中设置组策略对象 (GPO)

  3. 在控制台树中,右键单击“组策略对象”,然后单击>“新建

  4. 在“新建 GPO”对话框中,键入“gpo_name>”,然后>键入<“确定”,其中gpo_name是新 GPO 的名称指示它用于限制本地管理帐户以交互方式登录到计算机

  5. 在详细信息窗格中,右键单击“gpo_name>”,然后单击>“编辑”<

  6. 将用户权限配置为拒绝管理本地帐户的网络登录,如下所示:

  7. 导航到“计算机配置\Windows 设置\安全设置”和>“用户权限分配

  8. 双击“拒绝从网络访问此计算机

  9. 选择“ 添加用户或组”,键入 “本地帐户”和“管理员”组的成员,然后 >确定

  10. 配置用户权限以拒绝管理本地帐户的远程桌面 (Remote Interactive) 登录,如下所示:

  11. 导航到“计算机配置\策略\Windows 设置和本地策略”,然后选择“用户权限分配

  12. 双击“拒绝通过远程桌面服务登录

  13. 选择“ 添加用户或组”,键入 “本地帐户”和“管理员”组的成员,然后 >确定

  14. 将 GPO 链接到第一个 工作站 OU, 如下所示:

    • 导航到><\域\<>\OU 路径
    • 右键单击 工作站 OU,并 >链接现有 GPO
    • 选择创建的 GPO,然后选择 >“确定”
  15. 在第一个 OU 的工作站上测试企业应用程序的功能,并解决新策略导致的任何问题

  16. 创建指向包含工作站的所有其他 OU 的链接

  17. 创建指向包含服务器的所有其他 OU 的链接

注意

如果工作站和服务器上的默认管理员帐户的用户名不同,则可能需要创建单独的 GPO。

为具有管理权限的本地帐户创建唯一密码

每个帐户的密码应是唯一的。 虽然对于单个用户帐户是真实的,但许多企业对常见的本地帐户(例如默认管理员帐户)具有相同的密码。 当在操作系统部署期间对本地帐户使用相同的密码时,也会发生这种情况。

保持不变或同步更改以保持相同的密码会给组织带来重大风险。 通过对本地帐户使用不同的密码,随机化密码可缓解“传递哈希”攻击,从而妨碍恶意用户使用这些帐户的密码哈希来入侵其他计算机的能力。

密码可以通过以下方式进行随机化:

  • 购买并实施企业工具来完成此任务。 这些工具通常称为“特权密码管理”工具
  • 配置 本地管理员密码解决方案 (LAPS) 来完成此任务
  • 创建并实现自定义脚本或解决方案以随机化本地帐户密码