Отказать во входе в качестве службы
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Отказать во входе в качестве службы.
Справка
Этот параметр политики определяет, каким пользователям запрещено входить в приложения-службы на устройстве.
Служба — это тип приложения, которое выполняется в системе в фоновом режиме без пользовательского интерфейса. Она осуществляет основные функции операционной системы, такие как работа файловых и веб-серверов, ведение журнала событий, печать, шифрование и создание отчетов об ошибках.
Константа: SeDenyServiceLogonRight
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
При назначении этого права пользователя необходимо убедиться, что результат будет таким, каким вы его запланировали.
В домене измените этот параметр для соответствующего объекта групповой политики (GPO).
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описаны компоненты и инструменты, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
На устройстве, которое входит в домен, в том числе контроллере домена, эта политика может быть переопределена политикой домена, в результате чего вы не сможете изменить параметр локальной политики.
Этот параметр политики может конфликтовать с параметром Вход в качестве службы и отменять его действие.
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
С помощью учетных записей, которые могут входить в приложение-службу, можно настроить и запустить новые неавторизованные службы, такие как клавиатурный шпион и другие вредоносные программы. Преимущество указанной меры противодействия в некоторой степени омрачается тем, что устанавливать и настраивать службы могут только пользователи с правами администратора, и злоумышленник, который уже получил этот уровень доступа, может настроить запуск службы с помощью системной учетной записи.
Меры противодействия
Рекомендуется не назначать право Отказать во входе в качестве службы учетным записям. Это конфигурация по умолчанию. Организации, которые серьезно подходят к вопросам безопасности, могут назначать это право группам и учетным записям, когда они уверены, что им никогда не потребуется входить в приложение-службу.
Возможные последствия
Если назначить право Отказать во входе в качестве службы определенным учетным записям, службы могут не запуститься. Кроме того, это может привести к отказу в обслуживании.