Замена маркера уровня процесса
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Замена маркера уровня процесса.
Справочные материалы
Этот параметр политики определяет, какие родительские процессы могут заменить маркер доступа, связанный с дочерним процессом.
В частности, параметр Замена маркера уровня процесса определяет, какие учетные записи пользователей могут вызывать интерфейс прикладного программирования (API) CreateProcessAsUser(), чтобы одна служба могла запустить другую. Примером процесса, который использует это право пользователя, является планировщик задач, в котором право пользователя распространяется на любые процессы, которые могут управляться планировщиком задач.
Маркер доступа — это объект, который описывает контекст безопасности процесса или потока. Сведения, указанные в маркере, включают удостоверение и привилегии учетной записи пользователя, связанной с процессом или потоком. Благодаря этому праву пользователя маркер доступа любого дочернего процесса, работающего от имени соответствующей учетной записи пользователя, будет заменен на маркер уровня процесса.
Константа: SeAssignPrimaryTokenPrivilege
Возможные значения
Пользовательский список учетных записей
По умолчанию
Не определено
Рекомендации
- Убедитесь, что на рядовых серверах право пользователя Замена маркера уровня доступа предоставлено только учетным записям «Локальная служба» и «Сетевая служба».
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию этот параметр имеет значение «Сетевая служба» и «Локальная служба» на контроллерах домена и автономных серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Сетевая служба Локальная служба |
Параметры автономного сервера по умолчанию |
Сетевая служба Локальная служба |
Действующие параметры контроллера домена по умолчанию |
Сетевая служба Локальная служба |
Действующие параметры рядового сервера по умолчанию |
Сетевая служба Локальная служба |
Действующие параметры клиентского компьютера по умолчанию |
Сетевая служба Локальная служба |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователи с правом пользователя Замена маркера уровня процесса могут запускать процессы от имени другого пользователя, если они знают учетные данные этого пользователя.
Меры противодействия
Убедитесь, что на рядовых серверах право пользователя Замена маркера уровня доступа предоставлено только учетным записям «Локальная служба» и «Сетевая служба».
Возможные последствия
На большинстве компьютеров ограничение права пользователя Замена маркера уровня процесса встроенными учетными записями «Локальная служба» и «Сетевая служба» является конфигурацией по умолчанию, не имеющей никаких негативных последствий. Однако если вы установили дополнительные компоненты, такие как ASP.NET или IIS, может понадобиться назначить право пользователя Замена маркера уровня процесса некоторым дополнительным учетным записям. Например, для работы IIS требуется, чтобы это право пользователя было явным образом предоставлено учетным записям «Служба», «Сетевая служба» и IWAM_<ComputerName>.