Сетевой сервер (Майкрософт): попытка S4U2Self получить информацию об утверждении
Содержит описание рекомендаций, расположения, значений, управления и вопросов безопасности для параметра политики безопасности Сетевой сервер (Майкрософт): пытаться использовать S4U2Self для получения информации об утверждении.
Справка
Этот параметр безопасности поддерживает клиентские устройства с версиями Windows, выпущенными до Windows 8, которые пытаются получить доступ к файловому ресурсу, требующему заявку пользователя. Этот параметр определяет, будет ли локальный файловый сервер пытаться использовать функцию Kerberos Service-for-User-to-Self (S4U2Self) для получения заявок субъекта клиента сети из домена учетной записи клиента. Этот параметр следует включать, только если файловый сервер использует утверждения пользователей для управления доступом к файлам и будет поддерживать субъекты клиентов, чьи учетные записи могут находиться в домене, содержащем клиентские компьютеры и контроллеры домена с версиями Windows, предшествующими Windows 8 или Windows Server 2012.
Если этот параметр безопасности включен, файловый сервер Windows проверяет маркер доступа субъекта клиента сети, прошедшего проверку подлинности, и определяет наличие сведений об утверждениях. Если утверждения отсутствуют, файловый сервер использует функцию Kerberos S4U2Self, чтобы связаться с контроллером домена Windows Server 2012 в домене учетной записи клиента и получить маркер доступа, поддерживающий утверждения, для субъекта клиента. Поддерживающий утверждения маркер может потребоваться для получения доступа к файлам или папкам, к которым применяется политика управления доступом на основании утверждений.
Если этот параметр отключен, файловый сервер Windows не будет пытаться получить маркер доступа, поддерживающий утверждения, для субъекта клиента.
Возможные значения
По умолчанию
Файловый сервер Windows будет проверять маркер доступа субъекта клиента сети, прошедшего проверку подлинности, и определять наличие сведений об утверждениях.
Включено
Аналогично значению По умолчанию.
Отключено
Не определено
Аналогично значению Отключено.
Рекомендации
Этому параметру следует установить значение По умолчанию, чтобы файловый сервер автоматически оценивал необходимость утверждений для пользователя. Вам следует явно установить этому параметру значение Включено только при наличии локальных политик доступа к файлам, включающих утверждения пользователей.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Этот параметр следует включать, только если файловый сервер использует утверждения пользователей для управления доступом к файлам и будет поддерживать субъекты клиентов, чьи учетные записи могут находиться в домене, содержащем клиентские компьютеры и контроллеры домена с версиями Windows, предшествующими Windows 8 или Windows Server 2012.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Нет. Включение этого параметра позволяет вам пользоваться функциями Windows Server 2012 и Windows 8 для определенных сценариев, чтобы использовать поддерживающие утверждения маркеры для доступа к файлам или папкам, к которым применяется политика управления доступом на основании утверждений, в версиях операционных систем Windows, предшествующих Windows Server 2012 и Windows 8.
Меры противодействия
Не применимо.
Возможные последствия
Нет.