Вход в качестве службы
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Вход в качестве службы.
Справка
Этот параметр политики определяет, какие учетные записи службы могут зарегистрировать процесс в качестве службы. Выполнение процесса под учетной записью службы исключает необходимость человеческого вмешательства.
Константа: SeServiceLogonRight
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Число учетных записей, которым предоставлено это право пользователя, должно быть минимальным.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию этот параметр имеет значение "Сетевая служба" на контроллерах домена и автономных серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Сетевая служба |
Действующие параметры рядового сервера по умолчанию |
Сетевая служба |
Действующие параметры клиентского компьютера по умолчанию |
Сетевая служба |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметр политики Отклонить вход в качестве службы имеет приоритет над этим параметром политики, если учетная запись пользователя регулируется обеими политиками.
Параметры групповой политики применяются в указанном ниже порядке, который переопределит параметры на локальном устройстве во время следующего обновления групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Право пользователя Вход в качестве службы позволяет учетным записям запускать сетевые службы или службы, которые непрерывно работают на компьютере, даже если никто не вошел в консоль. Риск уменьшается тем фактом, что только пользователи с правами администратора могут установить и настроить службы. Злоумышленник, который уже получил уровень доступа, сможет настроить запуск службы с учетной записью "Локальная система".
Меры противодействия
Согласно определению учетной записи "Сетевая служба" назначено право Вход в качестве службы. Это право не предоставляется через параметр групповой политики. Следует свести к минимуму число других учетных записей, которым предоставлено это право пользователя.
Возможные последствия
На большинстве компьютеров ограничение права пользователя Вход в качестве службы встроенными учетными записями "Локальная система", "Локальная служба" и "Сетевая служба" служит конфигурацией по умолчанию, не имеющей никаких негативных последствий. Но если установлены дополнительные компоненты, такие как ASP.NET или IIS, может потребоваться назначить право пользователя Вход в качестве службы дополнительным учетным записям, необходимым этим компонентам. Для служб IIS необходимо явно предоставить это право учетной записи пользователя ASPNET.