Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам.
Справочные материалы
Этот параметр политики включает или отключает команду SET консоли восстановления, которая позволяет задавать следующие переменные среды консоли восстановления.
AllowWildCards. Включает поддержку подстановочных символов для некоторых команд, например команды DEL.
AllowAllPaths. Разрешает доступ ко всем файлам и папкам на устройстве.
AllowRemovableMedia. Позволяет копировать файлы на съемный носитель, например на дискету.
NoCopyPrompt. Убирает запрос, который, как правило, отображается перед перезаписью существующего файла.
Вы можете забыть извлечь съемный носитель, например компакт-диск или дискету с конфиденциальными данными или приложениями, который злоумышленник сможет украсть. Или вы можете случайно оставить загрузочный диск в компьютере после использования консоли восстановления. Если устройство перезагружается по какой-либо причине, а в BIOS настроена загрузка сначала со съемного носителя, затем с жесткого диска, сервер будет загружен со съемного диска. Это приведет к тому, что сетевые службы сервера будут недоступны.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Установите для параметра Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам значение Отключено. Пользователи, которые запустили сервер с помощью консоли восстановления и выполнили вход под встроенной учетной записью администратора, не смогут копировать файлы и папки на дискету.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве.
Конфликты политики
Нет.
Программы командной строки
Включение этого параметра безопасности делает доступной команду SET консоли восстановления, что позволяет задавать следующие переменные среды консоли восстановления.
AllowWildCards: включает поддержку подстановочных символов для некоторых команд (например, команды DEL).
AllowAllPaths: разрешает доступ ко всем файлам и папкам на устройстве.
AllowRemovableMedia: разрешает копировать файлы на съемный носитель, например на дискету.
NoCopyPrompt: устраняет запрос на перезапись существующего файла.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Злоумышленник, который может вызвать перезагрузку системы в консоль восстановления, может похитить конфиденциальные данные, не оставив при этом никаких следов в журналах аудита и доступа.
Меры противодействия
Отключите параметр Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам.
Возможные последствия
Пользователи, которые запустили сервер с помощью консоли восстановления и выполнили вход под встроенной учетной записью администратора, не смогут копировать файлы и папки на дискету.