Работа в режиме компонента операционной системы
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Работа в режиме компонента операционной системы.
Справочные материалы
Параметр политики Работа в режиме компонента операционной системы определяет, может ли процесс олицетворять любого пользователя и, следовательно, получать доступ к ресурсам, права на доступ к которым также есть у пользователя. Как правило, это право пользователя требуется только низкоуровневым службам проверки подлинности. Потенциальный доступ не ограничен ресурсами, связанными с пользователем по умолчанию. Вызывающий процесс может запросить добавление произвольных дополнительных прав к токену доступа. Вызывающий процесс может также создать токен доступа, который не предоставляет базовое удостоверение для аудита в журналах системных событий.
Константа: SeTcbPrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
Не назначайте это право всем учетным записям пользователей. Назначайте его только доверенным пользователям.
Если служба запрашивает это право пользователя, настройте службу для входа в систему с помощью учетной записи Local System, которая содержит это право по своей природе. Не создавайте отдельную учетную запись и не назначайте ей это право пользователя.
Расположение
\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта.
Параметры политики домена.
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Право пользователя Работа в режиме компонента операционной системы является очень мощным инструментом. Пользователи с этим правом могут полностью контролировать устройство и удалять следы своей деятельности.
Меры противодействия
Предоставляйте право пользователя Работа в режиме компонента операционной системы минимальному числу учетных записей. При обычных обстоятельствах его не следует назначать даже группе "Администраторы". Если служба запрашивает это право пользователя, настройте службу для входа в систему с помощью учетной записи Local System, которая изначально содержит это право. Не создавайте отдельную учетную запись и не назначайте ей это право пользователя.
Возможные последствия
Влияние должно быть минимальным либо отсутствовать вообще, поскольку право пользователя Работа в режиме компонента операционной системы в редких случаях требуется другим учетным записям, кроме учетной записи Local System.