Создание глобальных объектов

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Создание глобальных объектов.

Справка

Этот параметр политики определяет, какие пользователи могут создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать отдельные объекты для их сеансов, не имея данного права.

Глобальный объект — это объект, который создается для использования различными процессами или потоками, даже теми, которые не запущены в сеансе пользователя. Службы удаленных рабочих столов используют глобальные объекты в своих процессах, чтобы упростить процедуру подключения и получения доступа.

Константа: SeCreateGlobalPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Перечисленные ниже учетные записи по умолчанию

Рекомендации

  • Не назначайте это право учетным записям пользователей.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию это право предоставлено членам группы "Администраторы", а также учетным записям "Локальная служба" и "Сетевая служба" в поддерживаемых версиях Windows. Служба включена для обеспечения обратной совместимости с предыдущими версиями Windows.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Локальная служба

Сетевая служба

Служба

Параметры автономного сервера по умолчанию

Администраторы

Локальная служба

Сетевая служба

Служба

Действующие параметры контроллера домена по умолчанию

Администраторы

Локальная служба

Сетевая служба

Служба

Действующие параметры рядового сервера по умолчанию

Администраторы

Локальная служба

Сетевая служба

Служба

Действующие параметры клиентского компьютера по умолчанию

Администраторы

Локальная служба

Сетевая служба

Служба

 

Управление политикой

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Внимание  

С помощью учетной записи пользователя, которой предоставлено это право, можно получить полный контроль над системой, что может привести ко взлому системы. Настоятельно рекомендуем не назначать это право учетным записям пользователей.

 

Чтобы определить уровень прав пользователя, Windows обращается к его маркеру доступа. Последние создаются при входе пользователя в систему на локальном устройстве или при подключении к удаленному устройству по сети. Когда вы отменяете право, это изменение немедленно записывается, но не отражается в маркере доступа пользователя до следующего входа в систему или подключения. Пользователи, которые могут создавать или изменять маркеры, могут изменить уровень доступа любого вошедшего пользователя. Они могут повысить уровень своих прав или создать условие для атаки типа "отказ в обслуживании".

Меры противодействия

Не назначайте право Создание маркерного объекта пользователям. Процессам, которым требуется это право, следует использовать учетную запись Local System, которой по умолчанию предоставлено это право, а не отдельную учетную запись пользователя, которой оно назначено.

Возможные последствия

Нет. По умолчанию используется конфигурация политики домена "Не определено".

Связанные разделы

Назначение прав пользователя

 

 

Показ: