本機帳戶
本文說明 Windows 作業系統的預設本機用戶帳戶,以及如何管理內建帳戶。
關於本機用戶帳戶
本機用戶帳戶是在本機裝置上定義,而且只能在裝置上指派許可權和許可權。 本機用戶帳戶是安全性主體,可用來保護及管理裝置上資源、服務或使用者的存取權。
默認本機用戶帳戶
默認的本機用戶帳戶是安裝操作系統時自動建立的內建帳戶。 無法移除或刪除預設的本機用戶帳戶,也無法提供網路資源的存取權。
預設的本機用戶帳戶是用來根據指派給帳戶的許可權和許可權來管理本機裝置資源的存取權。 預設的本機用戶帳戶和您建立的本機用戶帳戶位於 [ 使用者 ] 資料夾中。 Users 資料夾位於本機 電腦管理 Microsoft Management 控制台的 [本機使用者和群組] 資料夾 (MMC) 。 計算機管理 是可用來管理本機或遠端裝置的系統管理工具集合。
下列各節將說明預設的本機用戶帳戶。 如需詳細資訊,請展開每個區段。
系統管理員
默認的本機系統管理員帳戶是系統管理的用戶帳戶。 每部計算機都有系統管理員帳戶 (SID S-1-5-domain-500,顯示名稱系統管理員) 。 系統管理員帳戶是在 Windows 安裝期間建立的第一個帳戶。
系統管理員帳戶可完全控制本機裝置上的檔案、目錄、服務和其他資源。 系統管理員帳戶可以建立其他本機使用者、指派用戶權力,以及指派許可權。 系統管理員帳戶可以隨時變更用戶權力和許可權來控制本機資源。
默認系統管理員帳戶無法刪除或鎖定,但可以重新命名或停用。
Windows 安裝程式會停用內建的系統管理員帳戶,並建立另一個屬於 Administrators 群組成員的本機帳戶。
系統管理員群組的成員可以在不使用 [以系統管理員身分執行 ] 選項的情況下 ,以較高的許可權執行應用程式。 快速使用者切換比使用 runas 或不同使用者提升許可權更安全。
帳戶群組成員資格
根據預設,系統管理員帳戶是 Administrators 群組的成員。 最佳做法是限制 Administrators 群組中的用戶數目,因為 Administrators 群組的成員在裝置上具有完全控制許可權。
系統管理員帳戶無法從 Administrators 群組中移除。
安全性考量
由於已知系統管理員帳戶存在於許多版本的 Windows 作業系統上,因此最好盡可能停用系統管理員帳戶,讓惡意使用者更難存取伺服器或客戶端電腦。
您可以重新命名系統管理員帳戶。 不過,重新命名的系統管理員帳戶會繼續使用相同的自動指派安全標識碼 (SID) ,惡意使用者可以探索到此標識符。 如需如何重新命名或停用使用者帳戶的詳細資訊,請參閱 停用或啟用本機用戶帳戶 和 重新命名本機用戶帳戶。
安全性最佳做法是使用本機 (非系統管理員) 帳戶來登入,然後使用以 系統管理員身 分執行來完成需要比標準用戶帳戶更高層級許可權的工作。 除非完全必要,否則請勿使用系統管理員帳戶登入您的計算機。 如需詳細資訊,請 參閱使用系統管理認證執行程式。
群組原則 可用來自動控制本機 Administrators 群組的使用。 For more information about Group Policy, see Group Policy Overview.
重要
- 不允許空白密碼
- 即使系統管理員帳戶已停用,仍可使用安全模式來存取計算機。 在復原主控台或安全模式中,系統管理員帳戶會自動啟用。 當正常作業繼續時,它會停用。
客體
來賓帳戶可讓計算機上沒有帳戶的偶爾或一次性使用者,以有限的用戶權力暫時登入本地伺服器或客戶端計算機。 根據預設,來賓帳戶已停用,且具有空白密碼。 由於來賓帳戶可以提供匿名存取,因此會被視為安全性風險。 基於這個理由,除非需要使用來賓帳戶,否則最佳做法是讓來賓帳戶保持停用狀態。
來賓帳戶群組成員資格
根據預設,來賓帳戶是預設 Guest 群組 SID S-1-5-32-546的唯一成員,可讓使用者登入裝置。
來賓帳戶安全性考慮
啟用來賓帳戶時,只授與有限的許可權和許可權。 基於安全性理由,客體帳戶不應透過網路使用,並可供其他計算機存取。
此外,來賓帳戶中的來賓用戶應該無法檢視事件記錄檔。 啟用來賓帳戶之後,最佳做法是經常監視來賓帳戶,以確保其他使用者無法使用服務和其他資源。 這包括先前用戶無意中保留可用的資源。
HelpAssistant
HelpAssistant 帳戶是執行遠端協助會話時啟用的預設本機帳戶。 當沒有任何遠端協助要求擱置時,此帳戶會自動停用。
HelpAssistant 是用來建立遠端協助會話的主要帳戶。 遠端協助會話是用來連線到另一部執行 Windows 作業系統的電腦,並由邀請起始。 如需請求的遠端協助,用戶會透過電子郵件或檔案,從其電腦傳送邀請給可提供協助的人員。 接受使用者的遠端協助會話邀請之後,系統會自動建立預設的 HelpAssistant 帳戶,讓提供協助的人員能夠有限地存取電腦。 HelpAssistant 帳戶是由遠端桌面說明會話管理員服務所管理。
HelpAssistant 帳戶安全性考慮
與預設 HelpAssistant 帳戶相關的 SID 包括:
- SID:
S-1-5-<domain>-13顯示名稱 終端機伺服器使用者。 此群組包含所有登入已啟用遠端桌面服務之伺服器的使用者。 - SID:
S-1-5-<domain>-14顯示名稱 遠端互動式登錄。 此群組包含使用遠端桌面連線連線到電腦的所有使用者。 此群組是互動式群組的子集。 包含遠端互動式登錄 SID 的存取令牌也包含互動式 SID。
針對 Windows Server 作業系統,遠端協助是預設未安裝的選擇性元件。 您必須先安裝遠端協助,才能使用它。
如需 HelpAssistant 帳戶屬性的詳細資訊,請參閱下表。
HelpAssistant 帳戶屬性
| 屬性 | 值 |
|---|---|
| Well-Known SID/RID | S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon) |
| 類型 | 使用者 |
| 默認容器 | CN=Users, DC=<domain> |
| 默認成員 | 無 |
| 的預設成員 | 網域來賓 訪客 |
| 受 ADMINSDHOLDER 保護? | 否 |
| 安全移出預設容器嗎? | 可以移出,但我們不建議這麼做。 |
| 安全地將此群組的管理委派給非服務管理員? | 否 |
DefaultAccount
DefaultAccount 帳戶也稱為默認系統管理帳戶 (DSMA) ,是已知的使用者帳戶類型。 DefaultAccount 可用來執行多使用者感知或使用者無關的進程。
在桌面版本和具有桌面體驗的伺服器操作系統上,預設會停用 DSMA。
DSMA 有已知的 RID。503 因此,DSMA (SID) 的安全識別碼會有已知的 SID,格式如下: S-1-5-21-\<ComputerIdentifier>-503。
DSMA 是已知群組系統受控帳戶群組的成員,其具有已知的 SID。S-1-5-32-581
即使在建立帳戶本身之前,也可以在離線預備期間授與 DSMA 別名對資源的存取權。 帳戶和群組會在安全性帳戶管理員 (SAM) 內電腦的第一次開機期間建立。
Windows 如何使用 DefaultAccount
從許可權的觀點來看,DefaultAccount 是標準用戶帳戶。 需要 DefaultAccount,才能 () 執行 MULTI-user-manifested-apps。 在所有時間執行的而且會回應使用者登入和註銷裝置的功能。 與 Windows Desktop 不同,在 Windows Desktop 中,應用程式會在使用者的內容中執行,並在使用者註銷時終止,因此,會使用 DSMA 來執行。在 WINDOWS Desktop 中執行的應用程式。
在 Xbox 等共享工作階段 SKU 中,您可使用該應用程式。 例如,Xbox 殼層是一個一個對應的應用程式。 現在,Xbox 會自動以來賓帳戶身分登入,而所有應用程式都會在此內容中執行。 所有應用程式都是多使用者感知,並回應使用者管理員所引發的事件。 應用程式會以來賓帳戶身分執行。
同樣地,Phone 會自動以 DefApps 帳戶登入,這類似於 Windows 中的標準用戶帳戶,但有一些額外的許可權。 訊息代理程式、某些服務和應用程式會以此帳戶執行。
在聚合式使用者模型中,多使用者感知應用程式和多使用者感知訊息代理程序必須在與使用者不同的內容中執行。 基於此目的,系統會建立 DSMA。
如何在域控制器上建立DefaultAccount
如果網域是以執行 Windows Server 2016 的域控制器所建立,則 DefaultAccount 存在於網域中的所有域控制器上。 如果網域是使用執行舊版 Windows Server 的域控制器所建立,則會在 PDC 模擬器角色傳送到執行 Windows Server 2016 的域控制器之後建立 DefaultAccount。 接著,DefaultAccount 會復寫到網域中的所有其他域控制器。
管理預設帳戶 (DSMA) 的建議
Microsoft 不建議變更預設組態,因為該帳戶已停用。 讓帳戶處於停用狀態沒有任何安全性風險。 變更預設組態可能會阻礙依賴此帳戶的未來案例。
默認本機系統帳戶
系統
操作系統和在 Windows 下執行的服務會使用 SYSTEM 帳戶。 Windows 作業系統中有許多服務和程式需要能夠在內部登入,例如在 Windows 安裝期間。 SYSTEM 帳戶是針對該用途所設計,而 Windows 會管理 SYSTEM 帳戶的用戶權力。 這是不會顯示在使用者管理員中的內部帳戶,而且無法新增至任何群組。
另一方面,SYSTEM 帳戶會出現在 [安全性] 功能表的 [許可權] 部分之 [檔管理器] 的 NTFS 檔案系統磁碟區上。 根據預設,系統帳戶會被授與NTFS磁碟區上所有檔案的「完全控制」許可權。 在這裡,SYSTEM 帳戶具有與系統管理員帳戶相同的功能許可權和許可權。
注意
若要授與帳戶系統管理員群組檔案許可權,系統管理員不會隱含授與 SYSTEM 帳戶的許可權。 您可以從檔案中移除 SYSTEM 帳戶的許可權,但我們不建議移除這些許可權。
網路服務
NETWORK SERVICE 帳戶是服務控制管理員 (SCM) 所使用的預先定義本機帳戶。 在 NETWORK SERVICE 帳戶內容中執行的服務會將電腦的認證呈現給遠端伺服器。 如需詳細資訊,請參閱 NetworkService 帳戶。
LOCAL SERVICE
LOCAL SERVICE 帳戶是服務控制管理員所使用的預先定義本機帳戶。 其在本機計算機上具有最低許可權,並在網路上顯示匿名認證。 如需詳細資訊,請參閱 LocalService 帳戶。
如何管理本機用戶帳戶
預設的本機用戶帳戶和您建立的本機用戶帳戶位於 [使用者] 資料夾中。 [使用者] 資料夾位於 [本機使用者和群組] 中。 如需建立和管理本機用戶帳戶的詳細資訊,請 參閱管理本機使用者。
您可以使用本機使用者和群組,只指派本地伺服器的許可權,以限制本機使用者和群組執行特定動作的能力。 正確授權使用者在伺服器上執行特定動作,例如備份檔案和資料夾或關閉伺服器。 訪問許可權是與對象相關聯的規則,通常是檔案、資料夾或印表機。 它會規範哪些使用者可以存取伺服器上的物件,以及以何種方式存取物件。
您無法在網域控制器上使用本機使用者和群組。 不過,您可以在域控制器上使用本機使用者和群組,以非網路上域控制器的遠端電腦為目標。
注意
您可以使用 Active Directory 使用者和電腦 來管理 Active Directory 中的使用者和群組。
您也可以使用 NET.EXE USER 來管理本機使用者,並使用 NET.EXE LOCALGROUP 或使用各種 PowerShell Cmdlet 和其他腳本技術來管理本機群組。
使用系統管理許可權來限制和保護本機帳戶
系統管理員可以使用許多方法來防止惡意使用者使用遭竊的認證,例如遭竊的密碼或密碼哈希,一部計算機上的本機帳戶無法用來在另一部具有系統管理許可權的計算機上進行驗證。 這也稱為 橫向移動。
最簡單的方法是使用標準用戶帳戶登入您的電腦,而不是使用系統管理員帳戶來進行工作。 例如,使用標準帳戶流覽因特網、傳送電子郵件,或使用文字處理器。 當您想要執行系統管理工作,例如安裝新程式或變更會影響其他使用者的設定時,您不需要切換至系統管理員帳戶。 您可以使用使用者帳戶控制 (UAC) ,在執行工作之前提示您輸入許可權或系統管理員密碼,如下一節所述。
其他可用來限制及保護具有系統管理許可權之用戶帳戶的方法包括:
- 強制執行本機帳戶限制以進行遠端訪問
- 拒絕所有本機系統管理員帳戶的網路登入
- 為具有系統管理許可權的本機帳戶建立唯一密碼
下列各節將說明這些方法。
注意
如果停用所有系統管理本機帳戶,則不適用這些方法。
強制執行本機帳戶限制以進行遠端訪問
用戶帳戶控制 (UAC) 是一項安全性功能,可在程式進行需要系統管理許可權的變更時通知您。 UAC 的運作方式是調整用戶帳戶的許可權等級。 根據預設,UAC 會設定為在應用程式嘗試對計算機進行變更時通知您,但您可以在 UAC 通知您時變更。
UAC 可讓具有系統管理許可權的帳戶被視為標準使用者非系統管理員帳戶,直到要求並核准完整許可權,也稱為提高許可權為止。 例如,UAC 可讓系統管理員在非系統管理員的使用者會話期間輸入認證,以執行偶爾的系統管理工作,而不需要切換使用者、註銷或使用執行 身分 命令。
此外,UAC 可以要求系統管理員明確核准應用程式,這些應用程式會先進行全系統的變更,然後才獲得執行許可權,即使在系統管理員的使用者會話中也是如此。
例如,當本機帳戶使用網路登入 (從遠端電腦登入時,會顯示UAC的預設功能,例如使用 NET.EXE USE) 。 在此情況下,它會發出沒有系統管理許可權的標準使用者令牌,但無法要求或接收提高許可權。 因此,使用網路登入登入的本機帳戶無法存取 C$、ADMIN$等系統管理共用,或執行任何遠端管理。
如需UAC的詳細資訊,請參閱 用戶帳戶控制。
下表顯示用來強制執行遠端訪問本機帳戶限制的 群組原則 和登錄設定。
| 否。 | 設定 | 詳細描述 |
|---|---|---|
| 原則位置 | 電腦設定\Windows 設定\安全性設定\本機原則\安全性選項 | |
| 1 | 原則名稱 | 使用者帳戶控制: 內建的 Administrator 帳戶的管理員核准模式 |
| 原則設定 | Enabled | |
| 2 | 原則位置 | 電腦設定\Windows 設定\安全性設定\本機原則\安全性選項 |
| 原則名稱 | 使用者帳戶控制: 所有系統管理員均以管理員核准模式執行 | |
| 原則設定 | Enabled | |
| 3 | 登錄機碼 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
| 登錄值名稱 | LocalAccountTokenFilterPolicy | |
| 登錄值類型 | DWORD | |
| 登錄值數據 | 0 |
注意
您也可以使用安全性範本中的自定義 ADMX,強制執行 LocalAccountTokenFilterPolicy 的預設值。
強制執行遠端訪問的本機帳戶限制
- 啟動 #D2CE22DEAEE5C484EA756F8903C9684CD Management Console (GPMC)
- 在主控台樹中,展開 < [樹>系\網域\<網域>],然後 群組原則 [物件],其中樹系是樹系的名稱,而 domain 是您要設定 群組原則 物件的網域名稱 (GPO)
- 在主控台樹中,以滑鼠右鍵按兩下 [群組原則 物件>新增]
- 在 [新增 GPO] 對話框中,輸入 gpo_name>,然後輸入< OK,>其中 gpo_name是新 GPO 的名稱。 GPO 名稱表示 GPO 是用來限制本機系統管理員許可權不被轉移到另一部計算機
- 在詳細數據窗格中,以滑鼠右鍵按兩下 [gpo_name>],然後按兩下 < [>編輯]
- 請遵循下列步驟,確定 UAC 已啟用,且 UAC 限制適用於預設系統管理員帳戶:
- 流覽至 [計算機設定\Windows 設定\安全性設定\本機原則],以及 >[安全性選項]
- 按兩下 [使用者帳戶控制]:在 [已啟用 管理員 核准模式>中執行所有系統管理員確定]>
- 按兩下 [使用者帳戶控制:管理員 內建系統管理員帳戶>的核准模式已啟用>確定]
- 請遵循下列步驟,確定已將本機帳戶限制套用至網路介面:
- 流覽至 [計算機設定\喜好設定] 和 [Windows 設定],以及 [ >登錄]
- 以滑鼠右鍵按兩下 [登錄] 和 [ >新增>登錄專案]
- 在 [ 新增登錄屬性 ] 對話框的 [ 一般 ] 索引標籤上,將 [ 動作 ] 方塊中的設定變更為 [取代]
- 確定 [Hive] 方塊 已設定為 [HKEY_LOCAL_MACHINE
- 選取 [ (...) ,流覽至下列位置以選取 [金鑰路徑>] :
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - 在 [ 值名稱] 區域中,輸入
LocalAccountTokenFilterPolicy - 在 [ 值類型] 方塊中,從下拉式清單中選 取 [REG_DWORD ] 以變更值
- 在 [ 值數據] 方塊中,確定值設定為 0
- 確認此設定,並 >確定
- 執行下列動作,將 GPO 連結至第一個 工作站 組織單位 (OU) :
- 瀏覽至
*Forest*\<Domains>\*Domain*\*OU*路徑 - 以滑鼠右鍵按下 工作站 > 連結現有的 GPO
- 選取您建立的 GPO,然後選取 [ >確定]
- 在第一個 OU 的工作站上測試企業應用程式的功能,並解決新原則造成的任何問題
- 建立包含工作站的所有其他 OU 連結
- 建立包含伺服器的所有其他 OU 連結
拒絕所有本機系統管理員帳戶的網路登入
拒絕本機帳戶執行網路登入的能力,有助於防止本機帳戶密碼哈希在惡意攻擊中重複使用。 此程式可確保來自遭入侵操作系統之本機帳戶的遭竊認證無法用來危害使用相同認證的其他計算機,以協助防止橫向移動。
注意
若要執行此程式,您必須先識別本機的默認系統管理員帳戶名稱,這可能不是預設用戶名稱 「系統管理員」,以及屬於本機 Administrators 群組成員的任何其他帳戶。
下表顯示用來拒絕所有本機系統管理員帳戶之網路登入的 群組原則 設定。
| 否。 | 設定 | 詳細描述 |
|---|---|---|
| 原則位置 | 計算機設定\Windows 設定\安全性設定\本機原則\用戶權力指派 | |
| 1 | 原則名稱 | 拒絕從網路存取這台電腦 |
| 原則設定 | 本機帳戶和 Administrators 群組的成員 | |
| 2 | 原則位置 | 計算機設定\Windows 設定\安全性設定\本機原則\用戶權力指派 |
| 原則名稱 | 拒絕透過遠端桌面服務登入 | |
| 原則設定 | 本機帳戶和 Administrators 群組的成員 |
拒絕所有本機系統管理員帳戶的網路登入
- 啟動 #D2CE22DEAEE5C484EA756F8903C9684CD Management Console (GPMC)
- 在主控台樹中,展開 < [樹>系\網域\<網域>],然後 群組原則 [物件],其中樹系是樹系的名稱,而 domain 是您要設定 群組原則 物件的網域名稱 (GPO)
- 在主控台樹中,以滑鼠右鍵按兩下 [群組原則 物件] 和 [>新增]
- 在 [新增 GPO] 對話框中,輸入 gpo_name>,然後>輸入 <OK,其中 gpo_name 是新 GPO 的名稱,表示其正用來限制本機系統管理帳戶以互動方式登入計算機
- 在詳細數據窗格中,以滑鼠右鍵按兩下 [gpo_name>],然後按兩下 < [>編輯]
- 設定用戶權力以拒絕系統管理本機帳戶的網路登入,如下所示:
- 流覽至 [計算機設定\Windows 設定\安全性設定],以及 >[用戶權力指派]
- 按兩下 [拒絕從網络存取這部計算機]
- 選 取 [新增使用者或群組],輸入 [本機帳戶] 和 [系統管理員] 群組的成員,然後 >[確定]
- 設定使用者權力以拒絕系統管理本機帳戶的遠端桌面 (遠端互動式) 登入,如下所示:
- 流覽至 [計算機設定\原則\Windows 設定和本機原則],然後選取 [ 用戶權力指派]
- 按兩下 [拒絕透過遠端桌面服務登入]
- 選 取 [新增使用者或群組],輸入 [本機帳戶] 和 [系統管理員] 群組的成員,然後 >[確定]
- 將 GPO 連結至第一個 工作站 OU,如下所示:
- 流覽至樹><系\網域\<網域>\OU 路徑
- 以滑鼠右鍵按兩下 工作站 OU,然後 >連結現有的 GPO
- 選取您建立的 GPO,然後選取 [ >確定]
- 在第一個 OU 的工作站上測試企業應用程式的功能,並解決新原則造成的任何問題
- 建立包含工作站的所有其他 OU 連結
- 建立包含伺服器的所有其他 OU 連結
注意
如果工作站和伺服器上預設系統管理員帳戶的用戶名稱不同,您可能必須建立個別的 GPO。
為具有系統管理許可權的本機帳戶建立唯一密碼
每個個別帳戶的密碼都應該是唯一的。 雖然個別用戶帳戶也是如此,但許多企業對於一般本機帳戶都有相同的密碼,例如預設的系統管理員帳戶。 這也發生在操作系統部署期間,本機帳戶使用相同的密碼時。
保留不變或同步變更以維持相同密碼的密碼,會對組織造成重大風險。 隨機化密碼可減少本機帳戶使用不同密碼的「哈希傳遞」攻擊,這會妨礙惡意使用者使用這些帳戶的密碼哈希來危害其他計算機的能力。
密碼可以透過下列方式隨機化:
- 購買和實作企業工具以完成這項工作。 這些工具通常稱為「特殊許可權密碼管理」工具
- 設定 LAPS) (本機系統管理員密碼解決方案 以完成這項工作
- 建立和實作自定義腳本或解決方案,以隨機化本機帳戶密碼
意見反應
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱 https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應