Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя.

Справочные материалы

Этот параметр политики включает и отключает перенаправление сбоев записи предыдущих приложений в определенные расположения в реестре и файловой системе. Эта функция позволяет снизить риски приложений, ранее выполняемых от имени администратора и записывавших во время выполнения данные в расположения %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software\.

Эту функцию можно отключить для приложений на устройствах с операционной системой не ниже Windows Vista, поскольку она не является необходимой.

Возможные значения

  • Включено

    При выборе этого значения упрощается перенаправление сбоев записи приложений в указанные расположения пользователя для файловой системы и реестра.

  • Отключено

    Выполнение приложений, записывающих данные в безопасные расположения, заканчивается ошибкой.

Рекомендации

  1. Если вы используете приложения, не совместимые c ОС Windows Vista, активируйте эту политику безопасности, чтобы исключить возможность записи данных в небезопасные расположения более старыми приложениями.

  2. Если вы используете приложения, совместимые с ОС не ниже Windows Vista, эта функция не является необходимой, и данную политику можно отключить.

Расположение

\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Включено

Действующие параметры контроллера домена по умолчанию

Включено

Действующие параметры рядового сервера по умолчанию

Включено

Действующие параметры клиентского компьютера по умолчанию

Включено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Групповая политика

Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Более ранние приложения могут записывать данные в небезопасные расположения.

Меры противодействия

Активируйте параметр Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя.

Возможные последствия

Нет. Это конфигурация по умолчанию.

Связанные разделы

Параметры безопасности

 

 

Показ: