Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям.
Справка
Этот параметр политики определяет, доступен ли компакт-диск одновременно для локальных и удаленных пользователей. Если вы включите этот параметр политики, то доступ к съемным компакт-дискам будет разрешен только пользователям, интерактивно вошедшим в систему. Если этот параметр политики отключен и никто из пользователей не вошел в систему интерактивно, то компакт-диск будет доступен по сети.
Включение этого параметра политики дает небольшие преимущества для безопасности, так как он не позволяет пользователям в сети получать доступ к диску, только если какой-либо пользователь выполнил вход в локальную консоль системы. Кроме того, дисководы компакт-дисков не становятся общедоступными сетевыми дисками автоматически. Необходимо намеренно сделать такой диск общедоступным. Это важно, когда администраторы устанавливают программное обеспечение или копируют данные с компакт-диска и при этом необходимо запретить пользователям в сети запускать приложения или просматривать данные с этого диска.
Когда этот параметр политики включен, пользователи, подключающиеся к серверу по сети, не смогут использовать установленные на нем дисководы компакт-дисков, если какой-либо пользователь вошел в локальную консоль сервера. Этот параметр политики не следует включать в системах, используемых в качестве проигрывателей компакт-дисков для пользователей в сети.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Рекомендации зависят от ваших требований к безопасности и доступу пользователей к дисководам компакт-дисков.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Удаленный пользователь может получить доступ к установленному компакт-диску с конфиденциальной информацией. Это небольшой риск, так как дисководы компакт-дисков не становятся общедоступными дисками автоматически. Для этого необходимо намеренно сделать его общедоступным ресурсом. Тем не менее можно запретить пользователям в сети просматривать данные или запускать приложения на съемных носителях, подключенных к серверу.
Меры противодействия
Включите параметр Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям.
Возможные последствия
Пользователи, которые подключаются к серверу по сети, не смогут использовать установленные на сервер дисководы компакт-дисков, если какой-либо пользователь вошел в локальную консоль сервера. Системные программы, для которых требуется доступ к дисководу компакт-дисков, будут возвращать сообщения об ошибках. Например, при инициализации службы теневого копирования томов она пытается получить доступ ко всем дисководам компакт-дисков и гибких дисков, имеющимся на компьютере. Если ей не удается получить доступ к одному из этих дисков, программа завершается ошибкой. Из-за этого работа программы архивации данных завершается ошибкой, если для задания архивации указаны теневые копии тома. Кроме того, работа всех продуктов сторонних производителей, предназначенных для архивации, также будет завершаться ошибкой. Этот параметр политики не следует использовать для компьютеров, используемых в качестве проигрывателей компакт-дисков для пользователей в сети.