Доступ к диспетчеру учетных данных от имени доверенного вызывающего

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Доступ к диспетчеру учетных данных от имени доверенного вызывающего.

Справочные материалы

Параметр политики Доступ к диспетчеру учетных данных от имени доверенного вызывающего используется диспетчером учетных данных во время резервного копирования и восстановления. Эта привилегия не должна предоставляться учетным записям, поскольку она предоставляется только службе Winlogon. Сохраненные учетные данные пользователей могут быть взломаны, если эта привилегия предоставляется другим субъектам.

Константа: SeTrustedCredManAccessPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Не изменяйте значение по умолчанию для этого параметра политики.

Расположение

\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Не определено

Действующие параметры рядового сервера по умолчанию

Не определено

Действующие параметры клиентского компьютера по умолчанию

Не определено

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Если учетная запись имеет это право, пользователь учетной записи может создать приложение, которое вызывает диспетчер учетных данных и возвращает учетные данные для другого пользователя.

Меры противодействия

Не указывайте параметр политики Доступ к диспетчеру учетных данных от имени доверенного вызывающего для учетных записей помимо диспетчера учетных данных.

Возможные последствия

Нет. По умолчанию используется конфигурация «Не определено».

Связанные разделы

Назначение прав пользователя

 

 

Показ: