本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

创建令牌的对象

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此策略设置确定哪些帐户进程可用于创建一个令牌,以及哪些帐户它就可以将使用此过程使用 NtCreateToken() 或其他令牌创建 Api 时才能访问本地资源。

当用户登录到本地计算机或连接到远程计算机通过网络时,Windows 将生成用户的访问令牌。 然后系统将检查以确定用户的权限级别的令牌。 当吊销权限时,请立即记录更改,但更改不会反映在用户的访问令牌直到下次用户登录或连接。

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeCreateTokenPrivilege

  • 用户定义的帐户的列表

  • 未定义

  1. 此用户权限由操作系统在内部使用。 除非有必要,请勿分配到用户、 组或本地系统以外的其他进程此用户权限。

G p o\Computer Configuration\Windows 设置 \ 安全设置 \ 本地策略 \ 用户权限分配

此用户权限由操作系统在内部使用。 默认情况下,它不是分配给任何用户组。

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

未定义

独立服务器默认设置

未定义

域控制器有效默认设置

Local System (本地系统)

成员服务器有效默认设置

Local System (本地系统)

客户端计算机有效默认设置

Local System (本地系统)

在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。

重新启动计算机不需要为此策略设置才能生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

System_CAPS_caution小心

被授权者提供此用户权限的用户帐户具有完全控制系统,并且这可能会导致系统遭受危害。 我们强烈建议您没有分配此权限的任何用户帐户。

操作系统将检查用户的访问令牌来确定用户的权限级别。 当用户登录到本地计算机上或通过网络连接到远程计算机时将生成访问令牌。 当吊销权限时,请立即记录更改,但更改不会反映在用户的访问令牌直到下次用户登录或连接。 如果它们当前登录,借助用户创建或修改令牌可以更改一台计算机上的任何帐户的访问的级别。 它们无法提升他们的权限或创建 DoS 的情况。

请不要分配创建令牌对象从右到任何用户的用户。 需要此用户权限的进程应使用本地系统帐户,已包括它,而不是具有此用户权限的单独的用户帐户。

无。 未定义是默认配置。

显示: