Hoe blokkeer ik externe netwerktoegang voor lokale gebruikersaccounts in Windows?

Ja, het beheren van lokale accounts op Windows in een domeinomgeving kan een behoorlijke hoofdpijn opleveren. Lokale beheerdersaccounts worden meestal gebruikt voor snelle probleemoplossing of toegang op afstand, maar als meerdere apparaten dezelfde gebruikersnaam en hetzelfde wachtwoord delen, is het alsof je de achterdeur wijd open laat staan. Zeker met het risico op een pass-the-hash-aanval is dat niet bepaald een topbeveiligingsoplossing. Bovendien kan het een nachtmerrie zijn om te achterhalen wie toegang heeft gehad tot wat, omdat deze lokale aanmeldingen niet worden geregistreerd op je domeincontrollers. Niet ideaal als je streeft naar verantwoording.

Een goede stap is dus om het standaard lokale beheerdersaccount een andere naam te geven. Dit is een vrij eenvoudige stap, maar het helpt om de toegang onopvallend te houden. U kunt dit doen via Lokale gebruikers en groepen in Computerbeheer of via een groepsbeleidsobject (GPO) als u meerdere computers beheert. Voor het beveiligen van toegang op afstand zijn tools zoals Microsofts Local Administrator Password Solution ( KB 2871997 ) erg handig om wachtwoorden in het netwerk te rouleren. Maar dat lost het grotere probleem niet op: alle lokale accounts die mogelijk bestaan. Laten we eerlijk zijn, Windows is niet perfect in het centraliseren van de controle over al deze accounts.

Hoe u lokale accounts de toegang tot het netwerk kunt ontzeggen

Methode 1: Gebruik het beleid ‘Toegang weigeren’ met SIDs.

Dit klinkt misschien wat technisch, maar het werkt wel degelijk om die lokale accounts te blokkeren. Waarom? Omdat Windows specifieke beveiligings-ID’s (SID’s) toewijst. Twee belangrijke SID’s om te kennen zijn S-1-5-113 voor alle lokale accounts en S-1-5-114 voor lokale beheerders. Deze groepen worden tijdens het inloggen aan het toegangstoken van de gebruiker toegevoegd en u kunt hen de netwerktoegang ontzeggen door deze SID’s toe te voegen aan het beleid “Toegang tot deze computer vanaf het netwerk weigeren”.

Hier is een snelle en eenvoudige opdracht om te controleren of uw lokale beheerdersaccount wordt toegevoegd aan deze groepen op Windows 10/Server 2016:

Whoami /all

Deze opdracht geeft een overzicht van de groepen waarvan u lid bent, inclusief groepen met de SID’s S-1-5-113 en S-1-5-114. Als deze groepen worden weergegeven, is het token correct ingesteld. Zo niet, dan moet u mogelijk de update uitvoeren om deze groepen correct te activeren.

Aan de andere kant kunt u controleren of deze SID’s bestaan ​​door een PowerShell-script uit te voeren, zoals:

$objSID = New-Object System. Security. Principal. SecurityIdentifier("S-1-5-113") $objAccount = $objSID. Translate([System. Security. Principal. NTAccount]) Write-Output $objAccount. Value

Als het NT Authority\Local account retourneert, bent u klaar. Anders moet u mogelijk die SID’s handmatig aanmaken of de beveiligingsgroepen van uw systeem controleren.

Methode 2: Groepsbeleid configureren om netwerktoegang te weigeren

Zodra die groepen zijn bevestigd, kunt u ze toevoegen aan het netwerkbeleid ‘Toegang tot deze computer weigeren’ onder Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Toewijzing van gebruikersrechten. Hiermee wordt netwerkaanmelding uitgeschakeld voor alle lokale accounts die tot die groepen behoren.

Let op: als je al een beleid hebt ingesteld dat bepaalde groepen toegang op afstand verleent, heeft dit weigeringsbeleid voorrang op dat beleid. Het instellen hiervan kan dus, als je niet voorzichtig bent, verbindingen op afstand verbreken. Op sommige machines is mogelijk een herstart of een `gpupdate /force` nodig om deze instelling van kracht te laten worden.

Beperk de toegang tot extern bureaublad voor lokale accounts.

Als toegang via Extern bureaublad een probleem vormt, kan het beleid ‘ Aanmelden via Extern bureaubladservices weigeren’ voorkomen dat lokale en domeinaccounts op afstand verbinding maken. Open hiervoor gpedit.msc (of via Active Directory als u meerdere computers beheert) en ga naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Toewijzing van gebruikersrechten. Zoek ‘Aanmelden via Extern bureaubladservices weigeren ‘ en voeg de groepen ‘Lokaal account en lid van de beheerdersgroep’ en ‘Lokaal account’ toe.

Vergeet niet om het programma uit te voeren gpupdate /forcena het aanbrengen van wijzigingen. Dit betekent uiteraard dat externe RDP-sessies voor die accounts worden geweigerd, waardoor potentieel risicovolle toegang op afstand wordt voorkomen. Houd er rekening mee dat dit in sommige configuraties uw gebruikelijke beheerdersaanmelding kan blokkeren, dus test dit eerst.

Beperk de netwerktoegang vanuit lokale accounts.

Vervolgens kunt u de instelling ‘Toegang tot deze computer via het netwerk weigeren’ op een vergelijkbare manier gebruiken door uw lokale groepen toe te voegen. Dit voorkomt dat lokale accounts mappen delen of schijven op afstand koppelen. Precies wat u wilt als u computers goed wilt beveiligen.

In een domeinomgeving kan dit beleid ook worden toegepast op accounts met hoge privileges, zoals domeinbeheerders en bedrijfsbeheerders, om aanvalsmogelijkheden te beperken. Wanneer het is geactiveerd, blokkeert het alle netwerkaanmeldingen voor deze lokale accounts, wat een goede verdediging is tegen pogingen tot privilege-escalatie.

Maar let op: als je dit toepast op een pc die geen deel uitmaakt van een domein, kun je waarschijnlijk helemaal niet meer op afstand inloggen, alleen lokaal. En als je een fout maakt, kun je volledig worden buitengesloten, dus test het altijd eerst op een testmachine!

Lokale aanmelding weigeren met het gebruikersrechtenbeleid

Voor wie nog een stap verder wil gaan, is het beleid ‘ Lokaal aanmelden weigeren’ een uitkomst. Hiermee voorkomt u dat specifieke lokale groepen interactief kunnen inloggen op een Windows-computer. Ga naar GPO > Gebruikersrechten toewijzen > Lokaal aanmelden weigeren en voeg de groepen toe die u wilt beperken.

Waarschuwing: wees hier extra voorzichtig. Als je jezelf per ongeluk blokkeert, kan herstel lastig zijn. Het is meestal bedoeld voor specifieke beveiligingsscenario’s, niet voor dagelijks gebruik. En op een machine die is aangesloten op een domein, moet je mogelijk ook de accountbeperkingen in Active Directory controleren.

Al met al geven deze beleidsregels je goede controle over hoe lokale accounts werken wat betreft netwerk- en toegang op afstand. Maar overdrijf het niet, anders sluit je jezelf buiten – en dat zou erg vervelend zijn.

Samenvatting

  • Het hernoemen van het standaard lokale beheerdersaccount helpt de toegang te verbergen.
  • Gebruik SIDs S-1-5-113 en S-1-5-114 om lokale accounts in beleidsregels te targeten.
  • Configureer ‘ Toegang tot deze computer vanuit het netwerk weigeren voor lokale groepen’ om netwerkaanmeldingen te blokkeren.
  • Stel ‘ Aanmelden via Remote Desktop Services weigeren’ in om externe sessies te beperken.
  • Wees voorzichtig met lokale inlogbeperkingen; eerst testen voorkomt dat je wordt buitengesloten.

Samenvatting

Het implementeren van deze beperkingen is niet altijd even eenvoudig, vooral als je meerdere apparaten beheert. Maar door de netwerktoegang van lokale accounts en externe aanmeldingen waar nodig te blokkeren, verhoog je de beveiliging aanzienlijk, met name tegen privilege-escalatie of ongeautoriseerde toegang. Sommige van deze maatregelen lijken misschien wat overdreven, maar aangezien Windows het niet altijd gemakkelijk maakt om lokale accounts centraal te beheren, is dit de oplossing als beveiliging prioriteit heeft. Grappig hoe Microsoft het zo ingewikkeld maakt, hè?

Hopelijk scheelt dit iemand een paar uur. Vergeet niet om alles eerst op één computer te testen – beter voorkomen dan jezelf per ongeluk buitensluiten van je netwerk!