Изменение параметров среды изготовителя

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Изменение значений среды встроенного ПО.

Справка

Этот параметр безопасности определяет, кто может изменять значения среды изготовителя. Значения среды изготовителя — это параметры, хранящиеся в энергонезависимой памяти компьютеров, отличных от 32-разрядных (x86). Результат применения параметра зависит от процессора.

На 32-разрядных (x86) компьютерах, единственным значением среды встроенного ПО, которое можно изменить путем назначения этого права пользователя, является параметр Последняя удачная конфигурация, который следует изменять только системе.

На компьютерах с процессорами Itanium в энергонезависимой памяти хранится информация о загрузке. Пользователям необходимо назначать это право для запуска bootcfg.exe и изменения параметра Операционная система по умолчанию с помощью компонента Запуск и восстановление на вкладке Дополнительно в окне Свойства системы.

Точные значения среды изготовителя определяются встроенным загрузочным ПО. Расположение этих значений также указывается встроенным ПО. Например, в системе на базе UEFI энергонезависимая память содержит значения среды изготовителя, указывающие параметры загрузки системы.

Это право пользователя требуется для установки или обновления Windows на любом компьютере.

Константа: SeSystemEnvironmentPrivilege

Возможные значения

• Пользовательский список учетных записей

• Администраторы

• Не определено

Рекомендации

• Убедитесь, что право пользователя Изменение параметров среды изготовителя назначено только локальной группе администраторов.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Значение по умолчанию для этого параметра на контроллерах домена и автономных серверах — «Администраторы».

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Этот параметр безопасности не определяет, кто может изменять значения среды системы и пользователей, отображаемые на вкладке Дополнительно в окне Свойства системы.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

1. Параметры локальной политики

2. Параметры политики сайта

3. Параметры политики домена

4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любой, кому назначено право пользователя Изменение параметров среды изготовителя, может настраивать параметры аппаратного компонента и тем самым вызвать в нем сбой, что может привести к повреждению данных или состоянию "отказ в обслуживании".

Меры противодействия

Убедитесь, что право пользователя Изменение параметров среды изготовителя назначено только локальной группе администраторов.

Возможные последствия

Нет. По умолчанию следует назначать право пользователя Изменение параметров среды изготовителя только членам локальной группы администраторов.

Связанные разделы

Назначение прав пользователя