本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

修改固件环境值

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此安全设置确定谁可以修改固件环境值。 固件环境值是存储在非易失内存的非基于 x86 的计算机的设置。 设置的效果取决于处理器。

在基于 x86 的计算机,可以通过将分配此用户权限修改固件环境值是最后一次的正确配置设置,只应由系统修改。

在基于 Itanium 的计算机上启动信息存储在非易失内存中。 必须为用户分配此用户权限才能运行 bootcfg.exe 以及更改默认操作系统设置使用启动和故障恢复功能上高级选项卡上系统属性

固件环境值的准确设置取决于启动固件。 固件还指定这些值的位置。 例如,在基于 UEFI 的系统上,NVRAM 包含固件环境值用来指定系统启动设置。

在所有计算机上此用户权限需安装或升级 Windows。

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeSystemEnvironmentPrivilege

  • 用户定义的帐户的列表

  • Administrators

  • 未定义

  1. 确保只为本地 Administrators 组分配修改固件环境值用户权限。

G p o\Computer Configuration\Windows 设置 \ 安全设置 \ 本地策略 \ 用户权限分配

默认情况下此设置是管理员在域控制器和独立服务器上。

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

管理员

独立服务器默认设置

管理员

域控制器有效默认设置

管理员

成员服务器有效默认设置

管理员

客户端计算机有效默认设置

管理员

在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。

本部分介绍的功能、 工具和指南来帮助你管理此策略。

重新启动计算机不需要为此策略设置才能生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

此安全设置不会影响可修改系统环境值和用户环境值上显示用户高级选项卡上系统属性

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

分配的任何人修改固件环境值用户权利的用户可以将配置的设置的硬件组件以让其失败,这可能导致数据损坏或拒绝服务状态。

确保只为本地 Administrators 组分配修改固件环境值用户权限。

无。 限制修改固件环境值从右到本地 Administrators 组的成员的用户是默认配置。

显示: