本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

加载和卸载设备驱动程序

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此策略设置确定哪些用户可以动态加载和卸载设备驱动程序。 如果在计算机上的 Driver.cab 文件中已存在新硬件的签名的驱动程序,则不需要此用户权限。 作为高特权的代码运行设备驱动程序。

Windows 支持的即插规范定义了一台计算机可以检测和配置新添加的硬件,然后自动安装设备驱动程序。 之前插即用设备,用户需要手动将它们附加到计算机之前配置设备。 此模型使用户能够插入硬件,然后 Windows 搜索适当的设备驱动程序程序包中并自动将其配置为工作而不会干扰其他设备。

由于设备驱动程序软件运行就如同它是操作系统的无限制地访问整个计算机的一部分,它是操作系统的关键仅已知和已授权将允许设备驱动程序。

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeLoadDriverPrivilege

  • 用户定义的帐户的列表

  • 默认值

  • 未定义

  1. 由于存在潜在的安全风险,请勿分配任何用户、 组或您不想要控制系统的过程向此用户权限。

G p o\Computer Configuration\Windows 设置 \ 安全设置 \ 本地策略 \ 用户权限分配

默认情况下此设置是管理员和 Print Operators 对域控制器和管理员在独立服务器上。

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

Administrators

打印操作员

独立服务器默认设置

Administrators

域控制器有效默认设置

Administrators

打印操作员

成员服务器有效默认设置

Administrators

客户端计算机有效默认设置

Administrators

在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。

本部分介绍的功能、 工具和指南来帮助你管理此策略。

重新启动计算机不需要为此策略设置才能生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

作为高特权的代码运行设备驱动程序。 用户有加载和卸载设备驱动程序用户权利的用户可能会无意中安装伪装的恶意软件作为设备驱动程序。 管理员应格外小心并只安装驱动程序与已验证数字签名。

System_CAPS_note注意

您必须具有此用户权限或可以是本地 Administrators 组的成员,若要安装新的驱动程序的本地打印机或才能管理一台本地打印机和配置 (如双面打印选项的默认设置。

请不要分配加载和卸载设备驱动程序从右到任何用户或组以外管理员的其他成员服务器上的用户。 在域控制器上不要分配给任何用户或组以外的其他 Domain Admins 此用户权限。

如果您删除加载和卸载设备驱动程序直接从 Print Operators 组或其他帐户的用户,您可能会限制的分配给您的环境中的特定管理角色的用户的能力。 您应确保没有负面影响委派的任务。

显示: