Загрузка и выгрузка драйверов устройств

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Загрузка и выгрузка драйверов устройств.

Справка

Этот параметр политики определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств. Это право не требуется, если подписанный драйвер для нового оборудования уже существует в файле driver.cab на устройстве. Драйверы устройств выполняются как привилегированный код.

Windows поддерживает спецификации Plug and Play, определяющие, как компьютер может обнаружить и настроить новое оборудование, а затем автоматически устанавливающие драйвер устройства. До появления технологии Plug and Play пользователям требовалось вручную настраивать устройства перед их подключением к устройству. Эта модель позволяет пользователю подключить оборудование, после чего Windows выполняет поиск соответствующего пакета драйверов и автоматически настраивает его для работы с другими устройствами.

Поскольку драйвер устройства выполняется как часть операционной системы с неограниченным доступом ко всему компьютеру, необходимо разрешить установку только авторизованных драйверов устройств.

Константа: SeLoadDriverPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Значения по умолчанию

  • Не определено

Рекомендации

  • Из-за угрозы безопасности не назначайте это право пользователя пользователю, группе или процесс, которым, по вашему мнению, не требуется доступ ко всей системе.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию этот параметр имеет значение "Администраторы" и "Операторы печати" на контроллерах домена и "Администраторы" на изолированных серверах.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Операторы печати

Параметры автономного сервера по умолчанию

Администраторы

Действующие параметры контроллера домена по умолчанию

Администраторы

Операторы печати

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Драйверы устройств выполняются как привилегированный код. Пользователь с правом Загрузка и выгрузка драйверов устройств может случайно установить вредоносную программу, маскирующуюся под драйвер устройства. Администраторам следует быть осторожными и устанавливать только драйверы с подтвержденными цифровыми подписями.

Примечание  

Для установки нового драйвера локального принтера или для управления локальным принтером и настройки параметров по умолчанию, таких как дуплексная печать, необходимо это право пользователя или нужно быть членом локальной группы "Администраторы".

 

Меры противодействия

Не назначайте право Загрузка и выгрузка драйверов устройств пользователям или группам, кроме группы "Администраторы" на рядовых серверах. На контроллерах домена назначайте это право только группе "Администраторы домена".

Возможные последствия

Если удалить право Загрузка и выгрузка драйверов устройств для группы "Операторы печати" или других учетных записей, вы сможете ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде. Следует убедиться в отсутствии негативных последствий для делегированных задач.

Связанные разделы

Назначение прав пользователя

 

 

Показ: