Олицетворение клиента после проверки подлинности
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Олицетворение клиента после проверки подлинности.
Справка
Данный параметр политики определяет, каким программам разрешено олицетворять пользователя или другую указанную учетную запись и действовать от имени этого пользователя. Если для данного типа олицетворения требуется это право пользователя, неавторизованный пользователь не сможет подключить клиент (например, при помощи именованных каналов или RPC) к службе, которую он создал для олицетворения этого клиента. (Такое действие может повысить разрешения неавторизованного пользователя до административного уровня или уровня системы.)
Олицетворение — это способность запускать поток в контексте безопасности, отличающемся от контекста процесса, к которому принадлежит этот поток. Олицетворение предназначено для удовлетворения требований к безопасности, которые клиентские и серверные приложения предъявляют. Если служба запущена в контексте безопасности клиента, то она в некоторой степени и является этим клиентом. Один из потоков службы использует маркер доступа, который представляет учетные данные клиента для доступа к объектам, доступным этому клиенту.
В основном олицетворение используется для того, чтобы проверка права доступа выполнялась по удостоверению клиента. При использовании удостоверения клиента для проверки доступа может возникнуть ограничение или расширение прав доступа в зависимости от того, какие разрешения имеет клиент.
У служб, которые диспетчер служб запускает, есть встроенная группа служб, которая добавляется по умолчанию к их маркерам доступа. У COM-серверов, запущенных COM-инфраструктурой и настроенных на работу под определенной учетной записью, также есть группа служб, которая добавляется к их маркерам доступа. В результате при запуске эти процессы назначаются для этого права пользователя.
Константа: SeImpersonatePrivilege.
Возможные значения
Пользовательский список учетных записей
Значения по умолчанию
Не определено
Рекомендации
Пользователь может олицетворить маркер доступа, если выполняется любое из указанных ниже условий.
Маркер доступа, который пользователю нужно олицетворить, предназначен для этого пользователя.
В этом сеансе пользователь вошел в сеть с помощью учетных данных, предназначенных для создания маркера доступа.
Запрашиваемый уровень ниже, чем "Олицетворение" (например, "Аноним" или "Идентификация").
Исходя из этого, пользователям обычно не нужно данное право.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
Значения по умолчанию для этого параметра на контроллерах домена и изолированных серверах: "Администраторы", "Локальная служба", "Сетевая служба" и "Служба".
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Администраторы Локальная служба Сетевая служба Служба |
Параметры автономного сервера по умолчанию |
Администраторы Локальная служба Сетевая служба Служба |
Действующие параметры контроллера домена по умолчанию |
Администраторы Локальная служба Сетевая служба Служба |
Действующие параметры рядового сервера по умолчанию |
Администраторы Локальная служба Сетевая служба Служба |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы Локальная служба Сетевая служба Служба |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Злоумышленник, у которого есть право пользователя Имитация клиента после проверки подлинности, может создать службу, подключить к ней клиент, а затем олицетворить компьютер, чтобы повысить свой уровень доступа до уровня этого устройства.
Меры противодействия
Убедитесь, что право пользователя Имитация клиента после проверки подлинности на рядовых серверах назначено только администраторам и группам служб ("Локальная служба", "Сетевая служба" и "Служба").
Возможные последствия
В большинстве случаев данная конфигурация не оказывает никакого влияния. Если вы установили дополнительные компоненты, например ASP.NET или IIS, возможно, вам понадобится назначить право пользователя Имитация клиента после проверки подлинности для дополнительных учетных записей, которые требуются для этих компонентов (например, IUSR_<ComputerName>, IIS_WPG, ASP.NET или IWAM_<ComputerName>).