Какой файл необходимо создать для запрета входа в систему непривилегированных пользователей

Обновлено: 15.01.2025

Непривилегированные пользователи не имеют нормального домашнего каталога. Для многих из них в качестве домашнего каталога указан каталог /nonexistent, хотя некоторые из них, например sshd, имеют специальный домашний каталог /var/empty. Наличие домашнего каталога, недоступного для чтения и записи, ограничивает возможности учетной записи, которых, впрочем, вполне достаточно для работы демона. Эти пользователи могут являться владельцами некоторых файлов в системе, но обычно они не имеют права на запись в них.

Точно так же никто и никогда не должен входить в систему под этими учетными записями. Если учетная запись bind зарезервирована для сервера DNS, никто не должен входить в систему под учетной записью bind! Для такой учетной записи должен быть определен такой командный процессор, который запрещает регистрацию в системе, например /usr/sbin/nologin. Каким образом все это повышает уровень безопасности? Давайте рассмотрим на примере.

У него нет домашнего каталога и нет права создавать каталоги. Это означает, что любые файлы, которые ему понадобятся, должны размещаться в общедоступных каталогах, таких как /tmp или /var/tmp, что демаскирует злоумышленника. Конфигурационный файл веб-сервера Apache принадлежит пользователю root или группе администраторов веб-сервера, но пользователь www не принадлежит этой группе. У злоумышленника может быть доступ к веб-серверу, но нет возможности изменить его конфигурацию. Он не сможет изменить файлы, так как пользователь www не владеет ими. В действительности пользователь www вообще не имеет никакого доступа к системе. Взломав веб-сервер, злоумышленник теперь должен взломать систему или веб-приложение.

Однако следует понимать, что использование непривилегированных учетных записей не решает всех проблем безопасности. Получив доступ к веб-серверу под учетной записью www, злоумышленник может просматривать содержимое исходных файлов веб-приложения. Если приложение написано неграмотно или в его исходных текстах, в открытом виде, хранятся пароли доступа к базам данных, это грозит существенными неприятностями. Однако, если вы своевременно обновляете систему, злоумышленнику придется немало потрудиться, чтобы проникнуть в саму систему FreeBSD.

Учетная запись nobody

В течение многих лет системные администраторы использовали учетную запись nobody в качестве типичной непривилегированной учетной записи. Под этой учетной записью они запускали веб-серверы, прокси-серверы и другие программы. Для безопасности это было гораздо лучше, чем запускать те же программы с правами root, но не так хорошо, как иметь отдельные учетные записи для каждого демона. Если злоумышленнику удавалось взломать одну из таких программ, он получал доступ сразу к ним ко всем. У нашего гипотетического злоумышленника, взломавшего веб-сервер, сразу появлялся бы доступ не только к веб-серверу, но и ко всем программам, запущенным с привилегиями этого пользователя! Если вы используете NFS, помните, что по умолчанию учетная запись удаленного пользователя root отображается в учетную запись nobody. В общем случае использование непривилегированных учетных записей должно помочь минимизировать возможный ущерб в случае успешного вторжения.

Для нужд тестирования вы можете использовать учетную запись nobody, но не используйте ее для развертывания служб на рабочих серверах. Используйте отдельные непривилегированные учетные записи.

Пример непривилегированной учетной записи

Ниже перечислены параметры типичной непривилегированной учетной записи:

Эти параметры сделают непривилегированную учетную запись действительно непривилегированной. С помощью утилиты adduser(8) вы легко сможете создать учетную запись без пароля, с нужным домашним каталогом и соответствующим командным интерпретатором.

Пароли и аутентификация – это понятия, с которыми сталкивается каждый пользователь, работающий в среде Linux. Данные темы охватывают ряд различных конфигурационных файлов и инструментов.

Данное руководство рассматривает некоторые базовые файлы, такие как «/etc/passwd» и «/etc/shadow», а также такие инструменты для настройки проверки подлинности, как команды «passwd» и «adduser».

Для демонстрации примеров используется выделенный сервер Ubuntu 12.04 , но любой современный дистрибутив Linux работает таким же образом.

Что такое файл «/etc/passwd»?

Для начала нужно рассмотреть файл под названием «/etc/passwd», который на самом деле не содержит паролей.

Когда-то этот файл хранил хешированные пароли всех пользователей в системе. Тем не менее, по соображениям безопасности позже эта ответственность была перенесена в отдельный файл.

Итак, что же находится в файле «/etc/passwd»?

less /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
. . .

Первое, на что стоит обратить внимание: этот файл доступен для непривилегированных пользователей.

То есть, любой пользователь системы может читать данный файл. Вот почему все пароли были перенесены в другой файл.

Рассмотрим формат файла.

Чтение файла «/etc/passwd»

Каждая строка файла содержит информацию о входе всех пользователей системы. Некоторые из этих пользователей могут быть созданы для работы демонов и фоновых служб.

Чтобы объяснить, какая именно информация содержится в строках данного файла, нужно подробно рассмотреть одну строку.

Поля информации разделяются двоеточием (:). Каждая строка типичного Linux-файла «/etc/passwd» содержит 7 полей:

1. Root: имя пользователя;
2. х: место для информации о паролях; пароль можно найти в файле «/etc/shadow».
3. 0: ID пользователя. Каждый пользователь имеет уникальный идентификатор, благодаря которому система распознает его. ID root-пользователя всегда 0;
4. 0: ID группы. Каждая группа имеет уникальный идентификатор. По умолчанию у каждого пользователя есть главная группа. Опять же, ID root-группы всегда 0;
5. root: поле для примечаний. Данное поле можно использовать для описания пользователя или его функций. Оно может содержать что угодно, начиная от контактной информации пользователя и заканчивая описанием сервисов, для которых была создана учетная запись;
6. /root: домашний каталог. Для обычных пользователей домашним каталогом является «/home/username», для root-пользователя это «/root»;
7. /bin/bash: оболочка пользователя. Данное поле содержит оболочку, которая будет создана, или команды, которые будут выполняться при входе пользователя в систему.

По мере добавления пользователей с помощью таких команд, как «adduser» и «useradd», или с установкой большего количества сервисов этот файл будет расти. Информация о новом пользователе будет добавлена в конце данного файла.

В большинстве случаев этот файл не нужно редактировать вручную, так как для управления ним существуют специальные инструменты, обеспечивающие использование правильного синтаксиса.

Что такое «/etc/shadow»?

Фактические данные о паролях хранятся в файле с именем «/etc/shadow».

Данный файл на самом деле не содержит паролей в виде простого текста. Вместо этого, он использует функцию выведения ключей для создания случайных данных. Вот что хранится в данном файле.

Функция выведения ключей – это алгоритм, создающий при вводе одних и тех же данных определенный хэш. Такой же алгоритм выполняется на пароль, который дается в процессе аутентификации, и это значение сравнивается со значением в этом файле.

Имейте в виду, данный файл, в отличие от файла «/etc/passwd», не доступен дл прочтения непривилегированными пользователями.

Пользователь root имеет привилегии читать и писать в файлах; группа «shadow», содержащая пользователей, которым необходима аутентификация, имеет права на чтение.

Чтение файла «/etc/shadow»

Чтобы открыть файл «/etc/shadow», введите:

sudo less /etc/shadow
root:$6$mJD3Rsj4$xUa7jru6EEGTXnhwTfTT26/j8M5XiQvUl6UH32cfAWT/6W9iSI5IuIw5OOw4khwrsOHPyMwfCLyayfYiVdhAq0:15952:0:99999:7.
daemon:*:15455:0:99999:7.
bin:*:15455:0:99999:7.
sys:*:15455:0:99999:7.
sync:*:15455:0:99999:7.
games:*:15455:0:99999:7.
man:*:15455:0:99999:7.
. . .

Как и в файле «/etc/passwd», каждая строка содержит информацию об отдельном пользователе, а каждое поле отделяется символом двоеточия.

Примечание: символ звездочки (*) во втором поле строк значит, что данная учетная запись не может войти в систему. Обычно это используется для сервисов.

Для примера можно рассмотреть одну строку данного файла:

Файл «/etc/shadow» содержит следующие поля:

1. daemon: имя пользователя;
2. *: соль и хешированный пароль; данное поле можно просмотреть, войдя как root. Как указано выше, звездочка значит, что данная учетная запись не может быть использована для входа в систему.
3. 15455: последнее изменение пароля. Данное значение ограничивается датой начала «Unix-эпохи» (1 января 1970).
4. 0: допустимое количество дней для смены пароля. 0 в данном поле значит, что таких ограничений нет.
5. 99999: количество дней до необходимости смены пароля. Значение 99999 указывает на то, что ограничения на продолжительность использования одного пароля не установлены.
6. 7: количество дней до предупреждения об истечении срока использования пароля. Если требуется сменить пароль, пользователь будет извещен о данной необходимости за указанное количество дней.
7. [blank]: последние три поля нужны для того, чтобы указать количество дней до деактивации учетной записи. Последнее поле не используется.

Изменение пароля

Для изменения паролей пользователей используется команда «passwd».

По умолчанию данная команда изменяет пароль текущего пользователя и не требует особых привилегий.

Чтобы изменить пароль другого пользователя, нужны привилегии администратора. Для этого используется следующий синтаксис:

sudo passwd username

Будет запрошен пароль для команды «sudo», затем можно будет ввести новый пароль и подтвердить его.

Если сравнить значение хэш в файле «/etc/shadow», можно увидеть, что после ввода команды passwd оно изменилось.

Создание нового пользователя

Нового пользователя можно создать при помощи нескольких команд.

Самый простой способ – использовать команду «adduser». В системах Ubuntu данная команда связана со скриптом «perl», который обрабатывает создание пользователя.

Команду можно вызвать следующим образом:

adduser demo
Adding user `demo' .
Adding new group `demo' (1000) .
Adding new user `demo' (1000) with group `demo' .
Creating home directory `/home/demo' .
Copying files from `/etc/skel' .
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for demo
Enter the new value, or press ENTER for the default
Full Name []: test
Room Number []: room
Work Phone []: work phone
Home Phone []: home phone
Other []: other
Is the information correct? [Y/n]

На данном этапе появится несколько вопросов, которые помогут внести необходимую информацию в файлы «/etc/passwd» и «/etc/shadow».

Можно просмотреть внесенную в файл «/etc/passwd» запись, введя:

tail -1 /etc/passwd
demo:x:1000:1000:test,room,work phoneme phone,other:/home/demo:/bin/bash

Как можно видеть, данная команда использует поле для примечаний в своих интересах. Остальные поля заполнены должным образом.

Можно запустить похожую команду для того, чтобы просмотреть изменения, внесенные в файл «/etc/shadow».

sudo tail -1 /etc/shadow
demo:$6$XvPCmWr4$HXWmaGSeU5SrKwK2ouAjc68SxbJgUQkQ.Fco9eTOex8232S7weBfr/CMHQkullQRLyJtCAD6rw5TVOXk39NAo/:15952:0:99999:7.

Итоги

При помощи этих простых инструментов можно изменить регистрационную информацию системы.

После внесения изменений важно проверить, можете ли вы войти в систему. Также необходимо проверить права на идентификационные файлы, чтобы сохранить функциональность сервера и обеспечить ему безопасность.

Управление автоматическим входом в графическую среду.

При включении нужно указать имя (логин) пользователя, от имени которого будет производиться автоматический вход в систему после загрузки.

astra-bash-lock

Управление блокировкой интерпретатора команд bash. Аналогична блокировке других интерпретаторов команд, но вынесена в отдельную блокировку, т.к. доставляет больше неудобств, в том числе для служб, работающих в фоновом режиме.

В частности, после блокировки интерпретатора bash становится невозможным вход непривилегированных пользователь, использующих bash в качестве командной оболочки, в консольную сессию.

Не распространяет своё действие на пользователей из группы astra-admin. Изменение режима блокировки вступает в действие немедленно.

astra-commands-lock

Управление блокировкой запуска пользователями следующих программ:

Программы блокируются для пользователей с помощью выставления на них прав доступа 750 (rwx r-x - - -). Эти программы необходимо блокировать при обработке в одной системе информации разных уровней конфиденциальности, т.к. с их помощью можно организовать скрытый канал передачи информации между уровнями.
Изменение режима блокировки вступает в действие немедленно.

astra-console-lock

Управление блокировкой доступа к консоли и терминалам для пользователей, не входящих в группу astra-console. При необходимости группа astra-console автоматически создается и при этом в неё включаются пользователи, состоящие в группе astra-admins на момент включения этой функции.
Изменение режима блокировки вступает в действие немедленно.

astra-digsig-control

Позволяет из командной строки включать и выключать режим замкнутой программной среды (ЗПС) в исполняемых файлах. Команда astra-digsig-control enable включает режим ЗПС, команда astra-digsig-control disable выключает режим ЗПС.

Изменения будут применены после перезагрузки.

astra-docker-isolation

Переводит сервис docker с высокого уровня целостности на уровень целостности 2. Для этого в каталоге /etc/systemd размещаeтся override-файл. Изменения вступают в силу после перезапуска сервиса docker. Если служба docker не установлена, включение или отключение изоляции docker недоступно.

astra-format-lock

Включает или отключает запрос пароля администратора при форматировании съемных носителей. По умолчанию включено (пароль запрашивается).

astra-hardened-control

Включает/отключает в загрузчике grub2 загрузку ядра hardened по умолчанию, если такое ядро присутствует в системе.

Данный переключатель работает только в системах, использующих загрузчик grub2.

astra-ilev1-control

Переводит некоторые сетевые сервисы с высокого уровня целостности на уровень 1, для чего в каталоге /etc/systemd размещаются override-файлы для соответствующих сервисов. Изменения касаются следующих сервисов:

Если указанные сервисы не были установлены в момент включения этой функции, то функция автоматически применится и к вновь установленным сервисам. Для изменения уровня целостности работающего сервиса требуется его перезапуск. Выполнить перезапуск указанных сервисов можно путем перезагрузки системы, или командой:

sudo systemctl restart apache2 dovecot exim4

astra-interpreters-lock

Блокирует запуск пользователями командных интерпретаторов:

Блокировка не позволяет пользователям исполнять в системе произвольный код в обход ЗПС. Не распространяется на пользователей из группы astra-admin.

Изменение режима блокировки вступает в действие немедленно.

astra-lkrg-control

Если установлен пакет lkrg, настраивает автозагрузку модуля ядра lkrg при загрузке системы (на этапе загрузки initrd) и загружает модуль lkrg сразу после включения функции astra-lkrg-control. При отключении функции astra-lkrg-control модуль lkrg удаляется из автозагрузки и выгружается из ядра. lkrg - это экспериментальный модуль, обеспечивающий обнаружение некоторых уязвимостей и защиту пространства памяти ядра от модификации. Может конфликтовать с драйверами виртуализации, например, virtualbox.

astra-macros-lock

Блокирует исполнение макросов в документах libreoffice. Для этого из меню программ libreoffice удаляются соответствующие пункты, а файлы, отвечающие за работу макросов, перемещаются или делаются недоступными пользователю. Блокировка макросов решает две задачи - защищает от выполнения вредоносного кода при открытии документов и не позволяет злонамеренному пользователю исполнять произвольный код через механизм макросов.
Изменение режима блокировки вступает в действие немедленно.

astra-mac-control

Включает или отключает возможность работы приложений с ненулевым уровнем конфиденциальности. Состояние по умолчанию - включено. Изменения применяются после перезагрузки.

Отключение возможности работы приложений с файловыми объектами, имеющими ненулевую метку конфиденциальности, не равносильно удалению таких объектов. Файловые объекты, имеющие ненулевую метку конфиденциальности после отключения возможности работы с ними сохраняются. Доступ к таким объектам не может быть получен штатными средствами ОС, но доступ к ним может быть получен при наличии неконтролируемого физического доступа к ПК, позволяющему использовать нештатные средства.

astra-mic-control

Включает или отключает механизм контроля целостности в ядре, изменяя значение параметра parsec.max_ilev командной строки ядра. После отключении механизма контроля целостности и перезагрузки целостность на файловой системе сбрасывается на нулевые значения. После включения механизма контроля целостности и перезагрузки на объектах файловой системы восстанавливаются принятые по умолчанию значения целостности (высокий уровень целостности на каталоги /dev, /proc, /run, /sys). При включении этой функции возможно указать значение максимальной целостности, отличное от принятого по умолчанию (63), что требуется для специальных применений (Брест).

Механизм контроля целостности в ядре по умолчанию включён.

astra-modban-lock

Блокирует загрузку неиспользуемых модулей ядра. Неиспользуемыми считаются те модули, которые не загружены в момент включения функции.
Изменение режима блокировки вступает в действие немедленно.

astra-modeswitch

Переключает и отображает режимы работы систем защиты информации ОС:

• Базовый;
• Усиленный;
• Максимальный.

При изменении уровня защищенности (режимов работы ОС):

В сторону снижения уровня защищенности:
автоматически отключаются опции, которые для данного уровня защищенности недоступны;

Функции, недоступные в выбранном режиме, невозможно будет включить:

Режим работы системы защиты

Дополнительные опции команды:

• list - вывести список доступных режимов;
• get - вывести текущий режим в числовом представлении;
• getname - вывести текущий режим в текстовом представлении;

set <v> - установить режим, указанный параметром <v> (число или текст). Допустимые значения для задания режимов:

Режим работы системы защиты	Текстовое значение	Числовое значение
Базовый	base	0
Усиленный	advanced	1
Максимальный	maxinum	2

astra-mount-lock

Запрещает монтирование съемных носителей с помощью службы fly-reflex-service/fly-admin-reflex непривилегированным пользователям.
Изменение режима монтирования вступает в действие немедленно.

astra-noautonet-control

Отключает автоматическое конфигурирование сетевых подключений, блокируя работу служб NetworkManager, network-manager и connman, а также отключает элемент управления сетью в трее графического интерфейса. Изменение режима блокировки вступает в действие немедленно.

astra-nobootmenu-control

Отключает отображение меню загрузчика grub2. Это затрудняет вмешательство пользователя в процесс загрузки и несколько ускоряет загрузку.

Данный переключатель работает только в системах, использующих загрузчик grub2.

astra-nochmodx-lock

Блокирует возможность установки на файлы бита разрешения исполнения (chmod +x), чем не позволяет пользователям привнести в систему посторонний исполняемый код. Запрет распространяется в том числе и на пользователей из группы astra-admin, но не распространяется на root. Изменение режима вступает в действие немедленно.

astra-overlay

Включает overlay на корневой файловой системе (ФС). Фактическое содержимое корневой ФС монтируется в overlay одновременно с файловой системой, хранящейся в памяти. После этого все изменения файлов сохраняются только в памяти, а файловая система, хранящаяся на носителе, остается без изменений. После перезагрузки все изменения теряются, и система каждый раз загружается в исходном состоянии. Эта функция может применяться в тех случаях, когда носитель, на котором расположена корневая ФС, аппаратно защищен от записи, либо необходимо программно защитить ее от изменений.

astra-ptrace-lock

Устанавливает максимальные ограничения на использование механизма ptrace, выставляя параметр kernel.yama.ptrace_scope в значение 3. Значение устанавливается сразу при включении этой функции и настраивается сохранение этого значения после перезагрузки. Функция не может быть отключена без перезагрузки.

astra-secdel-control

Включает режим безопасного удаления файлов на разделах с файловыми системами, присутствующими в файле /etc/fstab. Поддерживаются следующие форматы файловых систем:

Когда функция astra-secdel-control включена, при удалении файлов содержимое файлов затирается, чтобы его нельзя было восстановить. В обычных условиях при удалении файлы логически помечаются как удаленные, но их содержимое остается на носителе, пока не будет затерто новыми данными. Изменение режима работы вступает в действие после следующего монтирования файловой системы (в т.ч. после перезагрузки ОС).

astra-shutdown-lock

Блокирует выключение компьютера пользователями, не являющимися суперпользователями. Для этого права доступа на исполняемый файл /bin/systemctl меняются на 750 (rwx - - - - - -) и меняются параметры в fly-dmrc, после чего команды systemctl могут выполняться только от имени суперпользователя (sudo systemctl . ). Дополнительно отключается возможность перезагрузки ПК комбинацией клавиш Ctrl-Alt-Del.

Изменение режима блокировки вступает в действие немедленно.

astra-sudo-control

Включает требование ввода пароля при использовании sudo. По умолчанию не требуется вводить пароль при вызове sudo. Это повышает удобство, но в некоторых случаях может быть небезопасно. Состояние "включено" означает, что будет требоваться пароль, "выключено" - не будет требоваться. Изменение режима блокировки вступает в действие немедленно.

astra-sumac-lock

Блокирует работу утилит sumac и fly-sumac. Если эта функция включена, даже те пользователи, у которых есть привилегия PARSEC_CAP_SUMAC, не смогут использовать команду sumac. Для этого устанавливаются права доступа 000 на исполняемый файл sumac и библиотеку libsumacrunner.so. Изменение режима блокировки вступает в действие немедленно.

astra-swapwiper-control

Включает функцию очистки разделов подкачки при завершении работы ОС. Для этого вносятся изменения в конфигурационный файл /etc/parsec/swap_wiper.conf. Изменение режима блокировки вступает в действие немедленно.

astra-sysrq-lock

Отключает функции системы, доступные при нажатии клавиши SysRq, т.к. их использование пользователем может быть небезопасно. Для этого изменяется значение параметра kernel.sysrq. Значение параметра сохраняется в файл /etc/sysctl.d/999-astra.conf.

По умолчанию эта функция безопасности включена, т.е. клавиша SysRq не работает.

Изменение режима блокировки вступает в действие немедленно.

astra-ufw-control

Включает межсетевой экран ufw. Если уже включен firewalld (другой межсетевой экран), то ufw не будет включен, т.к. при одновременном включении они вызывают конфликты.
Изменение режима работы вступает в действие немедленно.

astra-ulimits-control

Включает ограничения на использование пользователями некоторых ресурсов системы, чтобы предотвратить нарушение доступности системы в результате исчерпания ресурсов. Настройка ограничений производится путем внесения изменений в файл /etc/security/limits.conf. На пользователей, уже вошедших в систему, изменение режима не влияет и вступает в действие после следующего входа пользователя.

Аналог графической утилиты "Монитор безопасности". При вызове без параметров отображает компактную сводку о состоянии функций безопасности.

Дополнительные параметры команды:

• list - выводит машиночитаемый список всех контролируемых функций безопасности;
• status - выводит сводку о состоянии функций безопасности (так же, как и при вызове без параметров);
• status N - выводит состояние функции безопасности по номеру N, где N -- это id функции функции безопасности, получаемое из вывода опции list;
• switches - выводит в машиночитаемом виде список переключателей безопасности, предназначенный для отображения в графических утилитах администрирования.

Для каждой функции возможны следующиесостояния:

• ВКЛЮЧЕНО/ВЫКЛЮЧЕНО
• ВКЛЮЧАЕТСЯ/ВЫКЛЮЧАЕТСЯ
• ЧАСТИЧНО

Состояние "ВКЛЮЧАЕТСЯ" обозначает, что функция находится в процессе включения или будет включена после перезагрузки, но в настоящий момент еще не активна. Состояние "ВЫКЛЮЧАЕТСЯ" имеет обратный смысл. Например, после отключения блокировки ptrace она переходит в состояние "ВЫКЛЮЧАЕТСЯ", т.к. она не может быть выключена в процессе работы системы, но отключится после перезагрузки.

Состояние "ЧАСТИЧНО" обозначает, что функция включена, но не все параметры, контролируемые этой функцией, соответствуют заданным по умолчанию. Например, состояние "ЧАСТИЧНО" для функции "МКЦ файловой системы" обозначает, что функция фключена, но метки целостности на некоторых файловых объектах не соответствуют заданной системной конфигурации (см. ниже).

Включенное состояние функций безопасности означает повышенную безопасность, т.е. состояние, когда некий потенциально небезопасный функционал ОС запрещен.

"норма" - метка целостности файлового объекта соответствует заданной;

В своей работе мне довольно часто приходится создавать учетные записи, предназначенные для каких либо технических задач (запуск скриптов, отправка почтовых уведомлений и т.п.). Поскольку эти учетные записи не предназначены для обычной работы, то, в целях безопасности, они не должны иметь возможность входа на сервер.

Запретить вход в систему для определенных учетных записей можно с помощью групповых политик. Для этого откроем оснастку управления групповыми политиками и создадим новый GPO.

Затем откроем созданный GPO для редактирования и перейдем в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment. Здесь нас интересуют два параметра:

Для активации политики необходимо включить (define) ее и указать пользователей или группы, для которых необходимо запретить вход. Использовать группы более удобно, чем добавлять пользователей по одному, поэтому я создал группу DenyInteractiveLogon, которую и добавлю в данные политики.

В результате должна получиться такая картина.

Политика готова, надо проверить ее действие. Для этого в оснастке ADUC находим группу DenyInteractiveLogon, добавляем в нее специально созданную сервисную учетку service_user

В заключение пара важных моментов, о которых надо помнить при использовании запретов:

• Политика предназначена для компьютеров, поэтому назначать ее надо на подразделения, в которых находятся компьютеры, а не пользователи. В принципе можно особо не заморачиваться и назначить политику на весь домен, все равно запрет будет действовать только на указанные в политике группы;
• Данная политика довольно опасна в неумелых руках. К примеру, если указать в ней группу Domain Users, то никто из доменных пользователей не сможет войти на свой компьютер, а если добавить группу Everyone, то запрет подействует на все без исключения учетные записи. Поэтому, выбирая объекты для запрета будьте внимательны, чтобы не запретить вход обычным пользователям;
• По возможности для технических целей старайтесь использовать управляемые учетные записи служб (managed service accounts), они более безопасны в использовании.

Читайте также:

  
• Skype учетная запись не существует
  
• Несовершеннолетний достигший 16 лет может быть объявлен полностью дееспособным каким кодеком
  
• Как сделать скриншот на телевизоре lg oled
  
• Можно ли с материнского капитала снять деньги на ноутбук
  
• Как обновить приложение альфа банка на планшете