Перейти к содержимому

Как заблокировать учетную запись windows 10

  • автор:

KB5020282 — блокировка учетных записей, доступная для встроенных локальных администраторов

Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Embedded Standard 7 ESU Windows Embedded POSReady 7 ESU Windows Server 2012 Windows Embedded 8 Standard Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows Embedded 8.1 Industry Enterprise Windows Embedded 8.1 Industry Pro Windows 10 Windows 10, version 1607, all editions Windows Server 2016, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core 2019 LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022 Еще. Меньше

Сводка

Атаки методом подбора — один из трех основных способов атаки на компьютеры Windows на сегодняшний день. Однако устройства Windows в настоящее время не позволяют блокировать встроенные локальные учетные записи администратора. Это создает сценарии, в которых без надлежащей сегментации сети или наличия службы обнаружения вторжений встроенная локальная учетная запись администратора может быть подвержена неограниченной атаке методом подбора, чтобы попытаться определить пароль. Это можно сделать с помощью протокола удаленного рабочего стола (RDP) по сети. Если пароли не являются длинными или сложными, время, необходимое для выполнения такой атаки, становится тривиальным с использованием современных ЦП и GPU.

Чтобы предотвратить дальнейшие атаки методом подбора, мы реализуем блокировки учетных записей администратора. Начиная с 11 октября 2022 г. или более поздних накопительных обновлений Windows, будет доступна локальная политика для включения встроенных локальных блокировок учетных записей администратора. Эту политику можно найти в разделе «Политика локального компьютера \Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетной записи\Политики блокировки учетных записей».

Разрешить блокировку учетной записи администратора

Для существующих компьютеров установка для этого значения значения « Включено» с помощью локального объекта групповой политики или объекта групповой политики домена позволит заблокировать встроенную учетную запись локального администратора. В таких средах также следует рассмотреть возможность настройки трех других политик в разделе «Политики блокировки учетных записей». Мы рекомендуем установить для них значение 10/10/10. Это означает, что учетная запись будет заблокирована после 10 неудачных попыток в течение 10 минут, а блокировка будет длиться 10 минут. После этого учетная запись будет разблокирована автоматически.

Примечание Новое поведение блокировки влияет только на вход в сеть, например на попытки RDP. Вход в консоль по-прежнему будет разрешен в течение периода блокировки.

Для новых компьютеров Windows 11 версии 22H2 или всех новых компьютеров, которые включают накопительные обновления Windows от 11 октября 2022 г. до начальной установки, эти параметры будут заданы по умолчанию при настройке системы. Это происходит при первом создании экземпляра базы данных SAM на новом компьютере. Таким образом, если был настроен новый компьютер, а затем установлены обновления за октябрь, он не будет защищен по умолчанию. Для этого требуются параметры политики, как описано выше. Если вы не хотите, чтобы эти политики применялись к новому компьютеру, можно задать эту локальную политику или создать групповую политику для применения параметра Disabled (Разрешить блокировку учетной записи администратора).

Кроме того, теперь мы применяем сложность пароля на новом компьютере, если используется встроенная локальная учетная запись администратора. Пароль должен содержать по крайней мере два из трех основных типов символов (строчные, прописные и числовые). Это поможет защитить эти учетные записи от компрометации из-за атаки методом подбора. Однако если вы хотите использовать менее сложный пароль, вы по-прежнему можете задать соответствующие политики паролей в разделе «Политика локального компьютера\Конфигурация компьютера \Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей».

Дополнительные сведения

Добавленные изменения поддерживают флаг DOMAIN_LOCKOUT_ADMINS и DOMAIN_PASSWORD_COMPLEX для встроенной локальной учетной записи администратора. Дополнительные сведения см . DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).

DOMAIN_LOCKOUT_ADMINS

Учетная запись была заблокирована

Если при попытке входа в учетную запись вы получили сообщение о том, что она заблокирована, это значит, что с ней связаны действия, которые могут нарушать наши Условия использования.

Разблокировка учетной записи Майкрософт

Чтобы разблокировать учетную запись, войдите, чтобы получить защитный код.

  • Вы можете использовать любой номер телефона для запроса защитного кода.
  • Номер телефона не обязательно должен быть связан с вашей учетной записью.
  • Телефон не обязательно должен быть смартфоном или подключенным к Интернету, он просто должен иметь возможность получать текстовые сообщения.
  • Возможно, вам придется создать новый пароль. Ознакомьтесь с советами о том, как создать надежный пароль.

Выберите параметр, который описывает ваш опыт

Я не вижу вариант «Далее» при входе

Если при входе вы не видите вариант Далее, ваша учетная запись была заблокирована из-за подозрительной активности или нарушения Условий использования Майкрософт.

Чтобы получить помощь по восстановлению учетной записи, выберите в окне ссылку, которая начинается с aka.ms/. Следуйте полученным инструкциям. Как только мы получим ваши сведения, мы рассмотрим запрос на разблокировку вашей учетной записи.

  • После отправки формы агент службы поддержки службой безопасности в Интернете Майкрософт будет рассмотрит ее и свяжется с вами по электронной почте. Не отправляйте дополнительные запросы, так как это может увеличить время ответа.
  • В целях защиты вашей учетной записи и ее содержимого нашим агентам поддержки и специалистам можно отправлять ссылки для сброса паролей или получать доступ к учетным записям и изменять их сведения только после отправки формы восстановления учетной записи.

Мне не пришел код безопасности

Вы можете использовать любой номер телефона, на который можно получать текстовые сообщения. Он не должен быть связан с вашей учетной записью.

Мы не будем использовать или сообщать номер телефона, а отправленный на него код истечет через 10 минут.

Это означает, что вы можете использовать телефон друга или коллеги, не ставя под угрозу безопасность своей учетной записи.

Самый быстрый способ разблокировать свою учетную запись — запросить и ввести защитный код в Интернете. Если вы еще не пробовали этот способ, советуем начать с него.

Текстовое сообщение с кодом.

Совет: Если защитный код не работает, убедитесь, что вы вводите цифры из текста сообщения, а не из его заголовка.

Если отображается сообщение об ошибке «Превышено ограничение на использование» при запросе кода безопасности, это может означать, что номер телефона был использован слишком много раз в течение короткого периода времени, или что мы обнаружили что-то подозрительное о номере телефона.

Причины блокировки и отключения учетных записей

Учетную запись Майкрософт обычно блокируют, если владелец учетной записи нарушает условия нашего соглашения об использовании служб Майкрософт. Далее приведены наиболее распространенные причины блокировки учетных записей, однако не всегда блокировка происходит по этим причинам.

Вредоносные программы, фишинг и другие вредоносные действия

Корпорация Майкрософт запрещает использовать свои службы для выполнения следующих действий.

  • Вредоносные программы — отправка намеренно нежелательного или потенциально опасного кода или программного обеспечения.
  • Фишинг — кража конфиденциальных данных других пользователей путем их обмана или спуфинга.
  • Вмешательство в работу сетей, служб и других систем Майкрософт, а также их повреждение или спуфинг.

Спам может принимать различные формы. Не используйте сети Майкрософт для отправки или публикации нежелательных сообщений электронной почты, комментариев, сообщений, фотографий, отзывов или любого другого содержимого.

  • Не отправляйте незапрошенное рекламное или коммерческое содержимое.
  • Не отправляйте содержимое пользователям, которых вы не знаете, или слишком большому числу пользователей одновременно.
  • Не используйте программы, сценарии и боты для создания учетных записей Майкрософт.
  • Не подделывайте или не используйте повторно сведения в разных учетных записях при регистрации.
  • Не создавайте и не используйте несколько учетных записей с целью нарушения политик Майкрософт.

Как временно заблокировать другую учетную запись в Windows 10

В Windows 10 вы можете добавить несколько учетных записей для совместного использования устройства с другими людьми – таким образом, каждый может иметь личное и настраиваемое пространство со своим рабочим столом, закладками браузера и отдельными файлами.

Когда учетная запись больше не нужна, с помощью приложения «Параметры» также очень легко удалить пользователя вместе с его настройками и файлами, но если вам нужно только временно заблокировать кого-то, вы не найдете такой опции. Однако, это не означает, что вам нужно удалять учетную запись, чтобы временно запретить кому-либо доступ к устройству, поскольку всё ещё можно использовать утилиту управления компьютером и командную строку для временного отключения учетной записи.

В этом руководстве по Windows 10 мы расскажем, как отключить учетную запись пользователя, когда вы делитесь своим компьютером с несколькими пользователями и планируете восстановить доступ в будущем.

Как временно отключить учетную запись через утилиту управления

В Windows 10 Pro или Enterprise вы можете использовать утилиту управления компьютером для управления различными аспектами учетной записи, включая возможность ограничения доступа к учетной записи.

  1. Откройте Пуск.
  2. Найдите Управление компьютером и щелкните верхний результат, чтобы открыть консоль. Совет: вы также можете использовать сочетание клавиш Win + X и выбрать «Управление компьютером».
  3. Найдите следующий путь: Служебные программы → Локальные пользователи и группы → Пользователи Управление учетными записями в консоли
  4. Дважды щелкните учетную запись, которую вы хотите отключить. (Если учетная запись пользователя использует учетную запись Microsoft, обратите внимание, что имя будет содержать только первые пять букв адреса электронной почты. Если вы хотите, чтобы учетная запись использовала пользовательское имя, вы можете обратиться к этому руководству.
  5. На вкладке «Общие» установите флажок Отключить учетную запись . Параметр отключения учетной записи в Windows 10
  6. Нажмите Применить и ОК .

После выполнения этих действий учетная запись больше не будет доступна и не будет отображаться в качестве доступной учетной записи на экране входа.

Если вы хотите отменить изменения, чтобы снова включить учетную запись, просто следуйте тем же инструкциям, но на шаге № 5 обязательно снимите флажок Отключить учетную запись .

Как блокировать учетную запись Windows 10 в командной строке

Если вам удобнее пользоваться командами или ваше устройство работает под управлением Windows 10 Home, вы можете использовать командную строку, чтобы отключить или включить учетную запись Windows 10.

Деактивация пользователя Windows 10 с помощью командной строки

  1. Откройте командную строку.
  2. Введите следующую команду, чтобы получить список всех доступных учетных записей, добавленных на ваш компьютер, и нажмите Enter : net user
  3. Введите следующую команду, чтобы отключить учетную запись и нажмите Enter : net user username /active:no В приведенной выше команде замените username именем учетной записи, доступ к которой вы хотите ограничить.

После выполнения указанных действий отключенная вам и учетная запись больше не будет доступна и не будет отображаться на экране входа.

В любой момент вы можете снова включить учетную запись Windows 10, используя те же инструкции, но на шаге № 5 используйте команду net user username /activate:yes.

В то время как мы ориентируем это руководство для Windows 10, вы можете использовать те же инструкции для отключения или включения учетной записи в Windows 8.1 и Windows 7.

Учетные записи: блокирование учетных записей Майкрософт

Описание рекомендаций, расположения, значений, управления и безопасности для параметра политики безопасности Учетные записи: блокировка учетных записей Майкрософт .

В Windows 10 версии 1703 и более поздних эта политика больше не действует, так как изменился процесс добавления учетных записей Майкрософт. Для Windows 10 версии 1703 и более поздних версий вместо этой политики используйте политику «Блокировать все проверки подлинности учетной записи пользователя Майкрософт потребителя», расположенную в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Учетная запись Майкрософт.

Справочные материалы

Этот параметр запрещает использование приложения «Параметры» для добавления учетной записи Майкрософт для проверки подлинности единого входа (SSO) для служб Майкрософт и некоторых фоновых служб или использования учетной записи Майкрософт для единого входа в другие приложения или службы. Дополнительные сведения см. в разделе Учетные записи Майкрософт.

Если этот параметр включен, существует два варианта:

  • Пользователи не могут добавлять учетные записи Майкрософт , это означает, что существующие подключенные учетные записи по-прежнему могут входить на устройство (и отображаться на экране входа). Однако пользователи не могут использовать приложение «Параметры» для добавления новых подключенных учетных записей (или подключения локальных учетных записей к учетным записям Майкрософт).
  • Пользователи не могут добавлять учетные записи Майкрософт или входить в нее, что означает, что пользователи не могут добавлять новые подключенные учетные записи (или подключать локальные учетные записи к учетным записям Майкрософт) или использовать существующие подключенные учетные записи с помощью параметров.

Если вы отключите или не настроите эту политику (рекомендуется), пользователи смогут использовать учетные записи Майкрософт в Windows.

Возможные значения

  • Эта политика отключена
  • Пользователи не могут добавлять учетные записи Майкрософт
  • Пользователи не могут добавлять учетные записи Майкрософт или выполнять вход с помощью учетных записей Майкрософт

По умолчанию этот параметр не определен на контроллерах домена и отключен на автономных серверах.

Рекомендации

  • Если этот параметр политики отключен или не настроен на клиентском компьютере, пользователи смогут использовать свою учетную запись Майкрософт, локальную учетную запись или учетную запись домена для сеанса входа в Windows. Это также позволяет пользователю подключить локальную учетную запись или учетную запись домена к учетной записи Майкрософт. Эта возможность подключения обеспечивает удобный вариант для пользователей.
  • Если необходимо ограничить использование учетных записей Майкрософт в организации, выберите параметр Пользователи не могут добавить учетные записи Майкрософт , чтобы пользователи не могли использовать приложение «Параметры» для добавления новых подключенных учетных записей.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Не определено
Параметры по умолчанию для автономного сервера Отключено
Действующие параметры по умолчанию контроллера домена Отключено
Действующие параметры по умолчанию для рядового сервера Отключено
Действующие параметры по умолчанию для клиентского компьютера Отключено

Управление политикой

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой.

Необходимость перезапуска

Нет. Изменения этой политики вступает в силу без перезапуска устройства, когда они сохраняются локально или распространяются через групповая политика.

Вопросы безопасности

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеры, а также возможные негативные последствия реализации контрмеры.

Уязвимость

Хотя учетные записи Майкрософт защищены паролем, они также могут быть более подвержены риску за пределами предприятия. Кроме того, если владельца учетной записи Майкрософт трудно различить, аудит и криминалистика становятся более сложными.

Противодействие

Требовать только учетные записи домена на предприятии, ограничив использование учетных записей Майкрософт. Выберите параметр Пользователи не могут добавить учетные записи Майкрософт , чтобы пользователи не могли создавать новые учетные записи Майкрософт на устройстве, переключать локальную учетную запись на учетную запись Майкрософт или подключать учетную запись домена к учетной записи Майкрософт.

Возможное влияние

Более высокий контроль над учетными записями в организации обеспечивает более безопасные возможности управления, включая процедуры сброса паролей.

Похожие публикации:
  1. Как удалить неиспользуемые пакеты linux
  2. Как удалить приложение с sberbox
  3. Маркер автозаполнения появляется когда курсор устанавливают
  4. Что быстрее c или c

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *