Настройка квот памяти для процесса

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Настройка квот памяти для процесса.

Справочные материалы

Это право определяет, кто может изменять максимальный объем памяти, используемый процессом. Это право полезно для настройки системы на основе группы или пользователя.

Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и локальной политике безопасности рабочих станций и серверов.

Константа: SeIncreaseQuotaPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  1. Предоставьте право Настройка квот памяти для процесса только тем пользователям, которым возможность настройки квот памяти требуются для выполнения их обязанностей.

  2. Если это право необходимо для учетной записи пользователя, его можно назначить учетной записи локального компьютера, а не учетной записи домена.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Назначение прав пользователя\

Значения по умолчанию

По умолчанию это право имеют члены групп "Администраторы", "Локальная служба", "Сетевая служба".

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Администраторы

Локальная служба

Сетевая служба

Политика контроллера домена по умолчанию

Администраторы

Локальная служба

Сетевая служба

Параметры автономного сервера по умолчанию

Администраторы

Локальная служба

Сетевая служба

Действующие параметры контроллера домена по умолчанию

Администраторы

Локальная служба

Сетевая служба

Действующие параметры рядового сервера по умолчанию

Администраторы

Локальная служба

Сетевая служба

Действующие параметры клиентского компьютера по умолчанию

Администраторы

Локальная служба

Сетевая служба

 

Управление политикой

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта.

  3. Параметры политики домена.

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Пользователь с правом Настройка квот памяти для процесса может уменьшить объем памяти, доступный для любого процесса, что приведет к снижению работоспособности или отказу важных для бизнеса сетевых приложений. Злоумышленник может воспользоваться этим правом и инициировать атаку типа "отказ в обслуживании".

Меры противодействия

Предоставляйте право Настройка квот памяти для процесса только пользователям, которым оно необходимо для выполнения их обязанностей, например администраторам приложений, которые обслуживают системы управления базами данных, или администраторам доменов, которые управляют службой каталогов и поддерживающей ее инфраструктурой.

Возможные последствия

В организациях, где пользователям не назначены роли с ограниченными правами, могут возникнуть трудности с реализацией этой меры противодействия. Кроме того, если вы установили необязательные компоненты, например ASP.NET или IIS, может потребоваться назначить право Настройка квот памяти для процесса дополнительным учетным записям, необходимым этим компонентам. Для работы служб IIS необходимо явным образом назначить это право учетным записям IWAM_<имя_компьютера>, "Сетевая служба" и "Служба". В противном случае эта мера не затронет большинство компьютеров. Если это право необходимо для учетной записи пользователя, его можно назначить учетной записи локального компьютера, а не учетной записи домена.

Связанные разделы

Назначение прав пользователя

 

 

Показ: