Отладка программ
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Отладка программ.
Справка
Этот параметр политики определяет, какие пользователи могут подключаться к процессам или открывать их, даже в отношении тех процессов, которыми они не владеют. Это право не нужно назначать разработчикам, выполняющим отладку собственных приложений. Оно необходимо разработчикам, которые выполняют отладку новых системных компонентов. Это право пользователя обеспечивает доступ к важным компонентам операционной системы.
Константа: SeDebugPrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Чтобы снизить уровень уязвимости в системе безопасности, назначайте его только доверенным пользователям.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию это право предоставлено членам группы "Администраторы".
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Администраторы |
Параметры автономного сервера по умолчанию |
Администраторы |
Действующие параметры контроллера домена по умолчанию |
Администраторы |
Действующие параметры рядового сервера по умолчанию |
Администраторы |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователь, которому предоставлено право Отладка программ, может получить конфиденциальные данные, хранящиеся в памяти устройства, а также доступ к ядру или структурам приложения. В некоторых типах атак это право используется для извлечения хэшированных паролей и другой секретной информации, а также для внедрения вредоносных программ. По умолчанию право Отладка программ назначается только администраторам, что позволяет снизить риск использования этой уязвимости.
Меры противодействия
Удалите учетные записи всех пользователей и групп, которым не требуется право Отладка программ.
Возможные последствия
Если отозвать это право, никто не сможет отлаживать программы. Однако лишь в редких случаях требуется реализовать такую возможность на рабочих устройствах. При возникновении проблем, требующих отладки приложения на рабочем сервере, последний можно временно переместить в другое организационное подразделение и назначить право Отладка программ отдельной групповой политике для этого подразделения.