Изменение метки объекта
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Изменение метки объекта.
Справка
Эта привилегия определяет, какие учетные записи пользователей могут изменять метку целостности объектов, таких как файлы, разделы реестра или процессы, принадлежащие другим пользователям. Процессы, выполняемые под учетной записью пользователя, могут понижать уровень метки объекта, принадлежащей этому пользователю, без указанной привилегии.
Метка целостности используется в функции контроля целостности учетных данных Windows (WIC), появившейся в Windows Server 2008 и Windows Vista. Функция WIC назначает одну из шести возможных меток объектам в системе, не позволяя процессам с низким уровнем целостности изменять процессы с более высоким уровнем целостности. Несмотря на схожесть с разрешениями папок и файлов NTFS, которые являются произвольными элементами управления объектами, уровни целостности WIC — это обязательные элементы управления, предоставляемые и применяемые операционной системой. В следующем списке приведены уровни целостности в порядке возрастания:
Ненадежный. Назначается по умолчанию процессам с анонимным входом.
Низкий. Назначается по умолчанию процессам, взаимодействующим с Интернетом.
Средний. Назначается по умолчанию стандартным учетным записям пользователей и любому объекту, явно не обозначенному более низким или высоким уровнем целостности.
Высокий. Назначается по умолчанию учетным записям администраторов и процессам, запрашивающим выполнение с правами администратора.
Системный. Назначается по умолчанию для служб ядра Windows и основных служб.
Установщик. Используется программами установки для установки программного обеспечения. Важно убедиться, что на компьютеры устанавливается только доверенное программное обеспечение, так как объекты, которым назначен уровень целостности "Установщик", могут устанавливать, изменять и удалять все другие объекты.
Константа: SeRelabelPrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Не предоставляйте это право пользователя никаким группам.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию этот параметр имеет значение «Не определено» на контроллерах домена и автономных серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Любой пользователь с правом Изменение метки объекта может повышать или понижать уровень целостности файла или процесса до такой степени, что его смогут удалить процессы с более низким уровнем целостности. Любое из этих трех состояний позволяет без труда обойти защиту функции контроля целостности учетных данных Windows, делая систему уязвимой к атакам вредоносного программного обеспечения.
Если вредоносному программному обеспечению установлен повышенный уровень целостности, такой как "Доверенный установщик" или "Системный", то у учетных записей администраторов не будет достаточного уровня целостности, чтобы удалить программу из системы. В этом случае право Изменение метки объекта выполняется принудительно, чтобы обновить метку объекта. Однако обновление метки необходимо выполнять при помощи процесса с тем же или более высоким уровнем целостности, что и у объекта, метку которого требуется обновить.
Меры противодействия
Не предоставляйте это право никаким группам. При необходимости можно реализовать его на короткое время для доверенного пользователя для выполнения определенной задачи в организации.
Возможные последствия
Нет. По умолчанию используется конфигурация «Не определено».