Завершение работы системы
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Завершение работы системы.
Справочные материалы
Этот параметр безопасности определяет, может ли пользователь, выполнивший локальный вход на устройство, завершить работу Windows.
Завершение работы контроллеров домена делает их недоступными для выполнения таких функций, как обработка запросов на вход в систему, обработка параметров групповой политики и ответ на LDAP-запросы. Завершение работы контроллеров домена, которым были назначены роли хозяина операций (также известные как роли FSMO), может отключить ключевые функциональные возможности домена, например обработку запросов новых паролей на вход, которая выполняется хозяином эмулятора основного контроллера домена (PDC).
Для включения поддержки гибернации, определения параметров управления питанием и отмены завершения работы требуется право пользователя Завершение работы системы.
Константа: SeShutdownPrivilege
Возможные значения
Пользовательский список учетных записей
По умолчанию
Не определено
Рекомендации
Убедитесь, что только администраторы и операторы архива обладают правом пользователя Завершение работы системы на рядовых серверах и что только администраторы обладают этим правом пользователя на контроллерах домена. Удаление этих групп по умолчанию может ограничить возможности пользователей, которым назначены определенные административные роли в организации. Убедитесь, что это не повлияет на делегированные им задачи.
Возможность завершения работы контроллеров домена должна быть ограничена очень узким кругом доверенных администраторов. Несмотря на то, что для завершения работы системы необходима возможность выполнить вход на сервер, следует быть очень осторожным при разрешении учетным записям и группам завершать работу контроллера домена.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию значение этого параметра — группы «Администраторы», «Операторы архива», «Операторы сервера» и «Операторы печати» на контроллерах домена и группы «Администраторы» и «Операторы архива» на автономных серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Администраторы Операторы архива Операторы сервера Операторы печати |
Параметры автономного сервера по умолчанию |
Администраторы Операторы архива |
Действующие параметры контроллера домена по умолчанию |
Администраторы Операторы архива Операторы сервера Операторы печати |
Действующие параметры рядового сервера по умолчанию |
Администраторы Операторы архива |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы Операторы архива Пользователи |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Это право пользователя не равнозначно параметру Принудительное удаленное завершение работы. Дополнительные сведения см. в разделе Принудительное удаленное завершение работы.
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Возможность завершения работы контроллеров домена должна быть ограничена очень узким кругом доверенных администраторов. Несмотря на то, что для права пользователя Завершение работы системы требуется возможность входа на сервер, следует быть очень осторожным при разрешении учетным записям и группам завершать работу контроллера домена.
При завершении работы контроллера домена он перестает быть доступным для обработки запросов на вход, обработки параметров групповой политики и ответа на LDAP-запросы. При завершении работы контроллеров домена, которым назначены роли хозяина операций, можно отключить ключевые функции домена, такие как обработка запросов новых паролей на вход, которая выполняется хозяином PDC.
Для остальных ролей сервера, особенно тех, где право входа на сервер имеют не только администраторы (например, в случае серверов узла сеансов удаленных рабочих столов), критически важно удалить это право пользователя для тех пользователей, которые не имеют законных оснований перезагружать сервера.
Меры противодействия
Убедитесь в том, что право пользователя Завершение работы системы на рядовых серверах назначено только группам «Администраторы» и «Операторы архива» и что только группа «Администраторы» обладает этим правом пользователя на контроллерах домена.
Возможные последствия
Удаление этих групп по умолчанию из списка обладающих правом пользователя Завершение работы системы может ограничить делегированные возможности назначенных ролей в вашей среде. Необходимо убедиться в отсутствии негативного влияния на делегированные действия.