Создание маркерного объекта

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Создание маркерного объекта.

Справка

Этот параметр безопасности определяет, с помощью каких учетных записей процесс может создавать маркеры и затем получать доступ к локальным ресурсам при использовании NtCreateToken() или других API.

При входе пользователя в систему на локальном устройстве или подключении к удаленному устройству по сети Windows создает для него маркер доступа. Затем система проверяет маркер, чтобы определить уровень прав пользователя. Когда вы отменяете право, это изменение немедленно записывается, но не отражается в маркере доступа пользователя до следующего входа в систему или подключения.

Константа: SeCreateTokenPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Это право пользователя используется операционной системой для внутренних целей. Если этого не требуется, не назначайте это право пользователю, группе или процессу, отличному от Local System.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Это право пользователя используется операционной системой для внутренних целей. По умолчанию оно не назначается группам пользователей.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Local System

Действующие параметры рядового сервера по умолчанию

Local System

Действующие параметры клиентского компьютера по умолчанию

Local System

 

Управление политикой

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Внимание  

С помощью учетной записи пользователя, которой предоставлено это право, можно получить полный контроль над системой, что может привести ко взлому системы. Настоятельно рекомендуем не назначать это право учетным записям пользователей.

 

Чтобы определить уровень прав пользователя, Windows обращается к его маркеру доступа. Последние создаются при входе пользователя в систему на локальном устройстве или при подключении к удаленному устройству по сети. Когда вы отменяете право, это изменение немедленно записывается, но не отражается в маркере доступа пользователя до следующего входа в систему или подключения. Вошедшие пользователи, которые могут создавать или изменять маркеры, могут изменить уровень доступа любой учетной записи на компьютере. Они могут повысить свои права или создать условия для атаки типа "отказ в обслуживании".

Меры противодействия

Не назначайте право Создание маркерного объекта пользователям. Процессам, которым требуется это право, следует использовать учетную запись Local System, которой по умолчанию предоставлено это право, а не отдельную учетную запись пользователя, которой оно назначено.

Возможные последствия

Нет. По умолчанию используется конфигурация «Не определено».

Связанные разделы

Назначение прав пользователя

 

 

Показ: