Параметры системы: необязательные подсистемы
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Параметры системы: необязательные подсистемы.
Справочные материалы
Этот параметр политики определяет, какие подсистемы поддерживают ваши приложения. Вы можете использовать этот параметр безопасности, чтобы определить столько подсистем, сколько требуется для вашей среды.
Подсистема представляет риск для безопасности, связанный с процессами, которые могут продолжать работать между сеансами входа. Если пользователь запускает процесс, а затем выходит из системы, следующий пользователь, выполнивший вход в систему, может получить доступ к процессу, запущенному предыдущим пользователем. Это опасно, так как процесс, запущенный первым пользователем, может сохранять системные права первого пользователя, поэтому действия второго пользователя с использованием этого процесса будут осуществляться с правами первого пользователя. Это затрудняет отслеживание авторов процессов и объектов, что является ключевым аспектом расследования инцидентов постфактум.
Возможные значения
Определенный пользователем список подсистем
Не определено
Рекомендации
- Установите для этого параметра пустое значение. Значением по умолчанию является POSIX, поэтому приложения, которые зависят от подсистемы POSIX, перестанут работать. Например, службы Майкрософт для UNIX 3.0 устанавливают обновленную версию подсистемы POSIX. Сбросьте этот параметр политики в групповой политике на всех серверах, которые используют службы для UNIX 3.0.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
POSIX |
Действующие параметры контроллера домена по умолчанию |
POSIX |
Действующие параметры рядового сервера по умолчанию |
POSIX |
Действующие параметры клиентского компьютера по умолчанию |
POSIX |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Подсистема POSIX является стандартом IEEE, который определяет набор служб операционной системы. Подсистема POSIX необходима в том случае если сервер поддерживает приложения, использующие эту подсистему.
Подсистема POSIX представляет риск для безопасности, связанный с процессами, которые могут продолжать работать между сеансами входа. Если пользователь запускает процесс, а затем выходит из системы, есть вероятность, что следующий пользователь, выполнивший вход в систему на компьютере, сможет получить доступ к процессу, запущенному предыдущим пользователем. Это позволит второму пользователю предпринять ряд действий с процессом, используя привилегии первого пользователя.
Меры противодействия
Задайте для параметра Параметры системы: необязательные подсистемы пустое значение. Значением по умолчанию является POSIX.
Возможные последствия
Приложения, которые зависят от подсистемы POSIX, перестанут работать. Например, службы Майкрософт для UNIX (SFU) устанавливают обновленную версию подсистемы POSIX, которая является обязательной, поэтому вам необходимо перенастроить этот параметр в групповой политике для всех серверов, использующих SFU.