Korištenje istog korisnika s administratorskim privilegijama za sve je jedna od najčešće sigurnosne greške U Windowsu, kako kod kuće tako i u profesionalnom okruženju, odvajanje vašeg svakodnevnog radnog računa od računa s visokim privilegijama i temeljito razumijevanje internih sistemskih računa ključno je za smanjenje rizika, zaštitu privatnosti i suzbijanje zlonamjernog softvera.
Kroz ovaj članak ćete korak po korak vidjeti kako Kreirajte i upravljajte sigurnim lokalnim računima za svakodnevnu upotrebuKoje vrste računa postoje u Windowsu (uključujući skrivene sistemske račune), kako ih konfigurirati u Windowsu 10 i Windowsu 11, šta se promijenilo u novijim verzijama i koje politike i najbolje prakse biste trebali primijeniti ako upravljate više računara ili cijelom učionicom.
Šta je tačno lokalni račun u Windowsu i zašto je korisno koristiti ga?
U Windowsu se možete prijaviti pomoću Microsoft račun ili s lokalnim računomMicrosoft račun je povezan s email adresom (Outlook, Hotmail, Live, itd.) i integrira se s OneDriveom, Microsoft Storeom, sinhronizacijom postavki, Xboxom, Officeom i drugim cloud uslugama. Sve je ovo odlično, ali također znači veću izloženost podacima i oslanjanje na vaš online identitet.
S druge strane, lokalni račun je račun koji Postoji samo na tom uređajuKorisnik ima svoju mapu profila, dokumente, slike, radnu površinu itd., ali postavke i datoteke nisu sinhronizirane s Microsoftovim oblakom. Ovaj pristup nudi... veći stepen privatnosti i smanjuje površinu napada u scenarijima gdje vam nije potrebna ili ne želite integraciju s online uslugama kompanije.
U okruženjima s više korisnika koji dijele računar (velika porodica, kancelarija, učionica, laboratorija ili malo preduzeće), kreiranje odvojenih lokalnih profila sprječava Neki gledaju podatke drugih ljudiIzoluje postavke, historiju pregledanja i instalirane aplikacije za svakog korisnika, pojednostavljujući usklađenost s pravilima zaštite podataka.
Windows 8, 10 i 11 i dalje dozvoljavaju lokalne račune baš kao i u prethodnim verzijama, iako vas sistem pokušava natjerati da ih koristite. Microsoft je odgovoran za sveMožete se prebacivati između Microsoft računa i lokalnog računa u bilo kojem trenutku, bez gubitka podataka ako to učinite ispravno.
Lokalni korisnički i sistemski računi: koje vrste postoje i za šta se koriste
Windows automatski kreira niz zadani lokalni računi Kada instalirate sistem, neki su specifični za korisnika, a drugi su specifični za sistem, koje interno koristi sam Windows i određene usluge. Ne ponašaju se na isti način niti imaju iste dozvole, tako da je važno razumjeti ih kako biste izbjegli kvarove ili ostavljanje ranjivosti.
Zadani lokalni korisnički računi
Zadani lokalni korisnički računi su ugrađeni računi koje sistem generirano tokom instalacijeNe mogu se izbrisati, iako se u nekim slučajevima mogu preimenovati ili onemogućiti. Svi se nalaze na računaru i imaju prava samo nad tim uređajem, bez automatskog pristupa mrežnim resursima.
Za pregled i upravljanje ovim računima, u Pro izdanjima i novijim verzijama možete koristiti konzolu. Administracija uređaja > Lokalni korisnici i grupe > KorisniciOdatle možete kreirati prilagođene korisnike, mijenjati lozinke, onemogućiti račune itd. U Home izdanjima, mnogi od ovih zadataka se izvršavaju iz aplikacije Postavke ili pomoću naredbi.
Administratorski račun
Ugrađeni lokalni administratorski račun je onaj koji ima potpuna kontrola nad timomVaš SID završava na 500 To je prvi račun koji se generira tokom instalacije Windowsa, iako je u modernim verzijama obično onemogućen i za glavnog korisnika se kreira drugi račun s administratorskim dozvolama.
S ovim računom možete mijenjati bilo koju datoteku, uslugu, dozvolu ili postavkuOvo im omogućava da preuzmu kontrolu nad resursima, mijenjaju korisnička prava i dodjeljuju privilegije. Upravo zbog toga, to je vrlo atraktivan račun za napadače i zlonamjerni softver, a njegovo postojanje je dobro poznato u gotovo svim verzijama Windowsa.
Iz sigurnosnih razloga ne možete izbrisati administratorski račun, ali možete preimenujte ga ili ga onemogućiteMicrosoft preporučuje da se ovaj račun ne koristi za redovne prijave i da se što više ograniči broj računa koji pripadaju grupi Administratori. Dobra praksa je uvijek raditi sa standardnim računom i koristiti povišene privilegije (Pokreni kao administrator i Kontrola korisničkog računa) samo kada je to potrebno.
Gostujući račun
Gostujući račun je namijenjen korisnicima povremena ili jednokratna upotreba Potreban im je brz pristup računaru bez kreiranja vlastitog računa. Njegov SID završava na 501, ima vrlo ograničena ovlaštenja i po dizajnu je namijenjen za privremene sesije bez opsežnog prilagođavanja.
Podrazumevano, gostujući račun dolazi onemogućeno i bez lozinkeOvo predstavlja ozbiljan rizik ako se aktivira nepažljivo, jer može ponuditi anonimni pristup. To je jedini član ugrađene grupe Gosti (SID S-1-5-32-546), koji ima samo prava potrebna za lokalnu prijavu.
Ako ga iz bilo kojeg razloga omogućite, preporučljivo je da ga ograničite koliko god je to moguće, ne dozvoljavajući njegovo korištenje preko mreže. spriječiti ih da pregledavaju zapisnike događaja i često pregledavajte svoje aktivnosti kako biste spriječili da ih neko iskoristi za nenamjerno ostavljanje usluga ili resursa otvorenima.
Zadani račun (DSMA)
Zadani račun, također poznat kao Zadani sistemski upravljani račun (DSMA)To je standardni sistemski upravljani račun koji je uveden za podršku aplikacijama za više korisnika (MUMA) i određenim modernim scenarijima (npr. Xbox ili okruženja dijeljenih sesija).
Ovaj račun je obično onemogućeno prema zadanim postavkama Na Windows desktop računarima i serverima sa desktop iskustvom, ima poznati RID (503) i pripada posebnoj grupi sistemski upravljanih računa (SID S-1-5-32-581). Windows ga sam kreira u Upravitelju sigurnosnih računa (SAM) prilikom prvog pokretanja računara.
Sa stanovišta dozvola, ponaša se kao standardni korisnik, ali je dizajniran tako da aplikacije koje moraju ostati u pozadini, reagujući na promjene korisničke sesije, mogu... izvršavaju se u kontekstu nezavisnom od ljudskih korisnikaMicrosoft savjetuje da se ne mijenjaju zadane postavke, jer bi to moglo narušiti trenutne ili buduće sigurnosne scenarije, a da se pritom ne pruže ikakve stvarne sigurnosne prednosti.
WDAGUtilityAccount
WDAGUtilityAccount je još jedan ugrađeni lokalni račun koji koristi Zaštita aplikacija Windows Defender (Windows Defender Application Guard). Njegov SID je poznat (završava se na 504) i, prema zadanim postavkama, ne pripada nijednoj grupi.
Ovaj račun se koristi za izolaciju okruženja za pregledavanje ili izvršavanje koje sistem štiti u kontejnerima. Pod normalnim okolnostima, ne biste ga trebali dirati. Windows ga automatski omogućava i konfiguriše. kada je to potrebno.
WSIAccount
WSIAccount se pojavljuje u Windowsu 11 i usmjeren je na Aktivnosti povezane s webom sa zaključanog ekrana ili ekrana za prijavuKoristi se, na primjer, za pristup stranicama pružatelja vjerodajnica kada želite resetirati lozinku ili koristiti web-baziranu autentifikaciju prije potpune prijave.
Ima poznati SID koji završava na 1001 i, prema zadanim postavkama, dio je grupe Korisnici. Opet, to je servisni račun koji Ne bi se trebalo koristiti interaktivno. niti ručno mijenjati osim ako Microsoft to ne dokumentira za određeni slučaj.
Račun Pomoćnika za pomoć
HelpAssistant je lokalni račun koji Windows Omogućeno samo tokom sesija daljinske pomoćiKada korisnik zatraži pomoć putem pozivnice (putem e-pošte, datoteke itd.), sistem kreira ovaj račun s ograničenim dozvolama tako da osoba koja pomaže može povezati se i kontrolirati računar pod nadzorom.
Račun ostaje onemogućen sve dok ne postoje zahtjevi za udaljenu pomoć na čekanju. Njime upravlja servis Upravitelj sesija pomoći za udaljenu radnu površinu i dio je grupa povezanih s udaljenom radnom površinom i terminalnim serverom (na primjer, grupe sa SID-om S-1-5-13 i S-1-5-14, koje uključuju korisnike servisa udaljene radne površine i interaktivnog udaljenog prijavljivanja).
U Windows Serveru, Daljinska pomoć nije instalirana po zadanim postavkama i opcionalna komponentaHelpAssistant račun zapravo ne dolazi u obzir dok se ne instalira i ne počne koristiti.
Lokalni sistemski računi: SISTEM, Lokalni servis i Mrežni servis
Pored korisničkih računa, Windows ima i nekoliko interni sistemski računi koji nisu namijenjeni za prijavu kao običnog korisnika, već za omogućavanje funkcionisanja sistema i njegovih usluga.
Najmoćniji je račun SYSTEM (SID S-1-5-18). Koristi ga jezgro operativnog sistema i brojne usluge koje zahtijevaju maksimalne dozvole, uključujući zadatke instalacije. Ne pojavljuje se u Upravitelju korisnika niti se može dodati grupama, ali ćete ga vidjeti na listama dozvola NTFS-a, gdje obično ima potpuna kontrola nad svim datotekama lokalnih volumena.
Račun Lokalna usluga (LOKALNA USLUGA, SID S-1-5-19) Dizajniran je za pokretanje servisa s minimalnim privilegijama na računaru i anonimnim pristupnim podacima na mreži. Na ovaj način, ako je servis koji koristi ovaj račun kompromitovan, napadač ima manje prostora za manevrisanje.
U međuvremenu, račun Mrežna usluga (MREŽNA USLUGA, SID S-1-5-20) Pokreće servise koji trebaju koristiti vlastite pristupne podatke računara prilikom komunikacije s drugim udaljenim serverima. Na taj način, servis se mreži predstavlja kao računar, a ne kao običan korisnik, ali lokalno održava relativno ograničene privilegije.
Kreirajte sigurne lokalne račune za svakodnevnu upotrebu u Windowsu 10 i Windowsu 11
Pored integriranih računa, uobičajena praksa je kreiranje standardni lokalni korisnici Za svakodnevnu upotrebu možete imati jedan ili više administratorskih računa koji se koriste samo kada trebate instalirati softver, mijenjati globalne postavke ili obavljati održavanje. Windows nudi nekoliko načina za kreiranje ovih računa, ovisno o tome da li preferirate grafički interfejs ili komandnu liniju.
Kreiraj iz aplikacije Postavke
U Windowsu 10 i 11, naj"korisnički prilagođenija" ruta za većinu korisnika je aplikacija Postavke > RačuniOdatle možete kreirati i lokalne račune i račune zasnovane na Microsoft ID-u, a kasnije promijeniti njihov tip (Standardni korisnik ili Administrator).
Tipičan tok je: idite na Račune, unesite Porodica i ostali korisnici (na Windowsu 10) ili na Ostali korisnici (u Windowsu 11), kliknite na Dodaj račun i, kada sistem zatraži e-poštu ili broj telefona, odaberite opciju Nemam podatke za prijavu ove osobeU sljedećem koraku, umjesto otvaranja nove Microsoft e-pošte, odaberite Dodaj korisnika bez Microsoft računa.
Odatle, samo trebate naznačiti korisničko ime i lozinkuPonovite lozinku radi sigurnosti i postavite tri sigurnosna pitanja. odgovori na oporavakMoguće je ostaviti polje za lozinku prazno, ali to je loša ideja u gotovo svakom scenariju iz stvarnog svijeta. Nakon kreiranja, račun se pojavljuje u odjeljku ostali korisnici, a po potrebi možete promijeniti njegov tip u Administrator.
Kreiranje porodičnog računa (pomoću Microsoft računa)
Ako želite kreirati račune za maloljetnike ili korisnike na koje želite primijeniti roditeljski nadzor i pravila za vrijeme provedeno pred ekranomMožete koristiti opciju Porodica. U ovom slučaju, potreban je Microsoft račun jer je kontrola centralizirana putem usluge Porodična sigurnost.
Korisnik s administratorskim privilegijama koji je prijavljen pomoću Microsoft ID-a može otići na Računi > Porodica, dodati člana i naznačiti hoće li biti Organizator ili član i povežite svoju adresu e-pošte (ili kreirajte novu za dijete). Sve naknadne postavke (filteri, ograničenja, izvještaji) se kasnije upravljaju putem web stranice Microsoft Family Safety.
Kreiranje iz Upravljanja uređajima
U tehnički zahtjevnijim okruženjima, Upravljanje timom je vrlo praktičan alat za brzo kreiranje više lokalnih korisnika, posebno u Windows Pro ili Enterprise verzijama.
Iz kontekstnog menija dugmeta Start otvorite Upravljanje računarom, proširite Lokalni korisnici i grupe > Korisnici i koristite opciju za Novi korisnikOvaj odjeljak definira korisničko ime, opcionalno puno ime, opis i lozinku. Možete zahtijevati promjenu lozinke prilikom prve prijave, spriječiti korisnike da mijenjaju svoju lozinku ili je postaviti da nikada ne ističe.
Nakon što kliknete na Kreiraj, prozor ostaje otvoren u slučaju da trebate kreirati više korisnika zaredom, što je vrlo korisno u učionicama ili laboratorijama s mnogo studenata. Ova metoda kreira samo lokalni korisnici, a ne Microsoft računi, i iz svojstava svakog korisnika možete dodijeliti članstvo u grupi (na primjer, Korisnici ili Administratori).
Kreirano uz pomoć Netplwiza
Netplwiz je klasični Windows alat za upravljanje računima i opcijama prijavePokreće se iz menija Run upisivanjem naredbe netplwiz i omogućava vam dodavanje računa, promjenu lozinki i konfiguriranje mora li korisnik unijeti lozinku prilikom prijave.
Na kartici Korisnici kliknite Dodaj i čarobnjak će ponuditi kreiranje Microsoft računa ili, ako je odabrana odgovarajuća opcija, lokalni račun bez MicrosoftaIako je donekle skriven, postupak je sličan onome u aplikaciji Postavke: ime, lozinka i, ako je primjenjivo, članstvo u grupi.
Kreiranje iz konzole: net user i PowerShell
Kada upravljate više timova ili radite u sigurnom načinu rada, konzola je vaš saveznik. S klasičnom komandom neto korisnik Korisnika možete kreirati jednom linijom, na primjer:
mrežni korisnik operator SecurePassword123! /add
Ako kasnije želite da taj račun pripada određenoj grupi, možete koristiti:
net localgroup Administratori operator /add Za dodjeljivanje administratorskih privilegija ili dodavanje u grupu Korisnici ako treba biti samo standardni korisnik. Ova metoda je idealna za skripte i automatizirane implementacije.
U PowerShellu, cmdlet New-LocalUser Omogućava veću kontrolu i modernu sintaksu. Možete kreirati račun i definirati sigurnu lozinku pretvorenu u SecureString, a zatim koristiti Dodaj člana lokalne grupe da ga dodate odgovarajućoj grupi. Ovo je posebno korisno za sistem administratore kada se kombinuje sa alatima za automatizaciju ili modulom Microsoft.PowerShell.LocalAccounts.
Nedavne promjene u Windowsu 11: OOBE, naredbe i kreiranje lokalnih računa
U novijim verzijama Windowsa 11, posebno od verzije 24H2 nadalje, Microsoft je zatvaranje "nezvaničnih" ruta kako bi se zaobišla potreba za korištenjem Microsoft računa tokom početne instalacije.
Dobro poznati trik OOBE\BYPASSNROFunkcija koja je do nedavno omogućavala prisilno korištenje opcije lokalnog računa u čarobnjaku za Out-of-Box Experience (OOBE) prestala je s radom. Prilikom pokušaja korištenja u 24/2, sistem jednostavno ponovo pokreće čarobnjak i vraća vas na isti ekran, bez ponude prečice lokalnog računa kao prije.
Međutim, i dalje postoje efikasne alternative. Jedna od najčistijih je korištenje sljedećeg na ekranu koji označava da je potrebna internet veza: Shift+F10 za otvaranje konzole i izvršite internu komandu poput OOBE: početak ms-cxh:localonlyšto omogućava asistentu da prikaže putanju za kreiranje lokalnog računa bez povezivanja s e-poštom.
Još jedna klasična opcija je Instalirajte Windows van mrežeIsključivanje mrežnog kabla ili onemogućavanje Wi-Fi mreže prije ili tokom čarobnjaka za podešavanje također može pomoći. U mnogim verzijama, ako računar ne detektuje internet vezu, automatski nudi opciju kreiranja lokalnog računa kao dio početnog procesa podešavanja, bez potrebe za dodatnim koracima.
Konačno, uvijek postoji mogućnost Instalirajte s Microsoft računom, a zatim kreirajte lokalni račun Iz Postavki ili konzole premjestite svoju dnevnu upotrebu na taj račun i, ako želite, pretvorite Microsoft račun u lokalni račun iz Računi > Vaši podaci > Prijavite se s lokalnim računom. Malo je složenije, ali je u potpunosti podržano i stabilno.
Sigurnost i najbolje prakse u svakodnevnom korištenju lokalnih računa
Imati mnogo računa je beskorisno ako je njihova konfiguracija loša. Da bi lokalni računi zaista pružili sigurnost, potrebno ih je kombinovati. dobre prakse korištenja s ispravnom konfiguracijom UAC-a, dozvola i grupnih politika, posebno u korporativnim okruženjima.
Koristite standardni račun za svakodnevnu upotrebu
Opća preporuka Microsofta i bilo kojeg sigurnosnog stručnjaka je jasna: koristite Standardni račun za svakodnevne zadatke (pretraživanje, e-pošta, uredske aplikacije, igre itd.) i rezervirajte račune s administratorskim privilegijama samo za one radnje koje ih zaista zahtijevaju i, kad god je to moguće, aktivirajte ih višefaktorska autentifikacija.
El Kontrola korisničkog računa (UAC) Ovo mnogo pomaže. Čak i kada se prijavljujete s računom koji pripada grupi Administratori, UAC primjenjuje model "administratorskog odobrenja": korisnik funkcionira u standardnom načinu rada dok neka radnja ne zahtijeva podizanje privilegija, u kojem trenutku sistem prikazuje upozorenje i traži potvrdu ili vjerodajnice.
UAC također utiče na ponašanje lokalnih računa kada se koriste za udaljeni ili mrežni pristupNa primjer, prilikom prijave putem mrežne prijave (NET USE, dijeljene veze itd.), Windows može izdati standardni korisnički token bez mogućnosti podizanja ovlasti, sprječavajući taj račun da pristupi administrativnim resursima kao što su C$ ili ADMIN$. Ovo smanjuje površinu napada za lateralno kretanje nakon krađe akreditiva.
Ograničite udaljenu upotrebu lokalnih računa s administratorskim pravima
Jedan od najčešćih napada na Windows mreže je lateralno kretanje, iskorištavanje ponovo korišteni hashovi lozinki na više računara. Ako lokalni administratorski račun ima istu lozinku na nekoliko računara, napadač koji kompromituje jedan može koristiti te akreditive za širenje na ostale.
Da bi se ublažio ovaj rizik, postoji nekoliko komplementarnih strategija. Prva je zabrani prijavu s mreže i Usluge udaljene radne površine se prijavljuju na lokalne račune koji su članovi grupe Administratori. To se radi putem grupnih pravila, koristeći sljedeće politike:
- Zabrani mrežni pristup ovom uređaju, konfiguriran za "Lokalni račun i član grupe Administratori".
- Zabrani prijavu putem Usluga udaljene radne površinetakođer pokazuje na "Lokalni račun i član grupe Administratori".
Ove politike se primjenjuju u Konfiguracija računara > Postavke Windowsa > Sigurnosne postavke > Lokalne politike > Dodjela korisničkih prava i distribuiraju se putem GPO-a organizacijskim jedinicama koje sadrže radne stanice i servere koje želite zaštititi.
Druga ključna mjera je kontrola ponašanja UAC-a pri udaljenom pristupu konfiguriranjem vrijednosti registra. LocalAccountTokenFilterPolicy Pod HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Pomoću GPO-a zasnovanog na postavkama registra, ova vrijednost se može definirati kao REG_DWORD s podacima 0 kako bi se nametnulo filtriranje tokena i ograničilo povećanje privilegija lokalnih računa preko mreže.
Jedinstvene i nasumične lozinke za privilegovane lokalne račune
Ponovna upotreba iste lokalne administratorske lozinke na svim računarima je ogroman rizikBilo kakvo curenje te lozinke, ili njenog heša, otvara vrata lančanoj reakciji za kompromitovanje svih identično konfigurisanih mašina.
Rješenje uključuje uspostavljanje jedinstvene i nasumične lozinke za svaki lokalni račun s privilegijama. Ovo izuzetno otežava napade tipa "pass-the-hash", jer ukradeni hash vrijedi samo na mašini na kojoj je dobijen, a ne i na ostalima.
Microsoft nudi nekoliko načina za automatizaciju ove randomizacije. Najpreporučljivija metoda danas je implementacija LAPS (rješenje lozinke lokalnog administratora)Ovaj softver generira i rotira složene lozinke za lokalne administratorske račune i pohranjuje ih šifrirane u Active Directoryju, dostupne samo ovlaštenim administratorima. Druge opcije uključuju nabavku poslovnih alata od upravljanje privilegovanim lozinkama ili razviti prilagođene skripte koje periodično generiraju jake lozinke. Važno je izbjegavati dijeljene statičke lozinke i iskušenje da se "koristi ista koju svi pamte".
Zaštita osjetljivih vjerodajnica i procesa: LSASS i Credential Guard
Windows pohranjuje vjerodajnice i sigurnosne tajne tokom procesa LSASS (Usluga podsistema lokalnog sigurnosnog autoriteta)koji kontrolira korisničke sesije i validacije. Ako napadač uspije pročitati memoriju LSASS-a, može izdvojiti heševe lozinki i Kerberos tikete za lateralno kretanje. Nadalje, preporučljivo je Provjerite jesu li vaši akreditivi procurili i brzo reagovati.
Stoga je na modernim radnim stanicama i serverima preporučljivo konfigurirati LSASS kao Svjetlo za zaštitu procesa (PPL)pojačavajući njegovu izolaciju od nepouzdanih procesa. Osim toga, mnogi trenutni sistemi omogućavaju aktivaciju Čuvari pouzdanosti, koji koristi virtualizaciju zasnovanu na hardveru za izolaciju akreditiva i tajni, smanjujući također površinu za krađu heša.
Ove mjere, zajedno s pravilnom segmentacijom lokalnih računa, korištenjem jedinstvenih lozinki i ograničavanjem udaljenih prijava, rezultiraju okruženjem koje je mnogo otpornije na eskalaciju i napade lateralnog kretanja.
Napredno upravljanje lokalnim računima i udaljena administracija
Na kontrolerima domena, domenski računi se upravljaju putem Active Directoryja i uobičajenih alata, ali je moguće koristiti i Lokalni korisnici i grupe upravljati računima na udaljenim računarima koji nisu kontroleri domena, pod uslovom da mreža i politike dozvoljavaju udaljenu administraciju.
Pored GUI-ja, administratori imaju klasične uslužne programe kao što su NET.EXE KORISNIK i NET.EXE LOKALNAGRUPA za upravljanje lokalnim korisnicima i grupama pomoću skripti i modul Microsoft.PowerShell.LocalAccounts za automatizaciju kreiranja, izmjene i brisanja računa pomoću PowerShell-a.
Ispravno dodijelite korisnička prava i dozvole za pristup Također je fundamentalno. Prava (kao što su pravljenje sigurnosnih kopija datoteka, isključivanje računara, prijavljivanje lokalno ili preko mreže) definirana su u lokalnim ili domenskim sigurnosnim politikama, dok se dozvole primjenjuju na određene objekte (datoteke, mape, štampače) putem ACL-ova.
Na kontrolerima domena, Lokalni korisnici i grupe ne mogu se koristiti za upravljanje lokalnim računima na samom kontroleru, ali se mogu koristiti za usmjeravanje administracije na udaljene računare članove. Ovo odvajanje pomaže u održavanju dobro definirana sigurnost domene u odnosu na lokalne račune svake mašine.
Sveukupno, temeljno razumijevanje integriranih računa, korištenje standardnih lokalnih računa za svakodnevno poslovanje, strogo ograničavanje administratorskih računa, provođenje politika ograničenja udaljenog prijavljivanja, zaštita LSASS-a i osiguravanje jedinstvenih lozinki postavlja temelje za... Lokalni računi su siguran i pouzdan alat i kod kuće i u poslovnim mrežama, učionicama ili laboratorijama gdje mnogi korisnici dijele opremu, ali ne bi trebali dijeliti rizike ili podatke.
