Отключение компьютера от стыковочного узла

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Отключение компьютера от стыковочного узла.

Справочные материалы

Этот параметр безопасности определяет, может ли пользователь отключать портативное устройство от стыковочного узла без выполнения входа в систему. Этот параметр политики затрагивает только сценарии, связанные с портативным компьютером и соответствующим стыковочным узлом.

Если это право пользователя назначено учетной записи пользователя (или если пользователь является членом назначенной группы), соответствующий пользователь должен выполнить вход в систему перед отключением портативного устройства от соответствующего стыковочного узла. В противном случае в качестве меры безопасности пользователь не сможет выполнить вход после отключения устройства от стыковочного узла. Если эта политика не назначена, пользователь может отключить портативное устройство от стыковочного узла без выполнения входа в систему, а затем может запустить устройство и выполнить вход в систему в отключенном состоянии.

Константа: SeUndockPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Назначайте это право пользователя только тем учетным записям, которым разрешено использовать портативное устройство.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Хотя этот сценарий для портативного устройства, как правило, не применяется к серверам, по умолчанию для этого параметра задано значение "Администраторы на контроллерах домена и автономных серверах".

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Параметры автономного сервера по умолчанию

Администраторы

Действующие параметры контроллера домена по умолчанию

Администраторы

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любой пользователь с правом Отключение компьютера от стыковочного узла может выполнить вход и отключить портативное устройство от соответствующего стыковочного узла. Если этот параметр не указан, право на отключение предоставляется всем пользователям. Однако ценность реализации этой меры противодействия уменьшается за счет следующих факторов.

  • Если злоумышленники могут перезагрузить устройство, они могут отключить его от стыковочного узла после запуска BIOS, но до загрузки операционной системы.

  • Этот параметр не влияет на серверы, так как они, как правило, не подключены к стыковочным узлам.

  • Злоумышленник может украсть устройство вместе со стыковочным узлом.

  • Если устройство можно механически отстыковать, то пользователь может физически отключить его независимо от использования функции Windows для управления отстыковкой.

Меры противодействия

Убедитесь, что право Отключение компьютера от стыковочного узла назначено только локальной группе администраторов и учетной записи пользователя, которому выделено устройство.

Возможные последствия

По умолчанию это право предоставлено только локальной группе администраторов. Другим учетным записям пользователей это право должно предоставляться отдельно при возникновении соответствующей необходимости. Если пользователи вашей организации не являются членами локальной группы администраторов на своих портативных устройствах, они не могут отключить свои портативные устройства от стыковочных узлов без предварительного завершения работы. Поэтому может иметь смысл назначить привилегию Отключение компьютера от стыковочного узла локальной группе "Пользователи" на портативных устройствах.

Связанные разделы

Назначение прав пользователя

 

 

Показ: