Файл: Нижегородский государственный технический.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 28.04.2024

Просмотров: 40

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


Назначение прав пользователя

Категории событий:

  • Доступ к компьютеру из сети – это право пользователя определяет, каким пользователям и группам разрешается подключаться к компьютеру через сеть.

  • Работа в режиме операционной системы – это право пользователя позволяет процессу олицетворять любого пользователя без подтверждения подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и пользователь.

  • Добавление рабочих станций в домен – этот параметр безопасности определяет, какие группы и пользователи могут добавлять рабочие станции в домен. Этот параметр безопасности действует только на контроллерах домена.

  • Настройка квот памяти для процесса – данная привилегия определяет пользователей, которые могут изменять максимальный объем памяти, используемой процессом.

  • Разрешение локального входа в систему – это право определяет пользователей, имеющих возможность интерактивно входить в систему.

  • Разрешение входа в систему через службы терминалов – эта настройка безопасности определяет, каким пользователям и группам разрешается входить в систему в качестве клиента служб терминалов.

  • Архивирование файлов и каталогов – это право пользователя определяет, какие пользователи могут архивировать содержимое системы, невзирая на имеющиеся разрешения для файлов, каталогов, реестра и других объектов.

  • Обход перекрестной проверки – это право пользователя определяет, какие пользователи могут проходить по дереву каталога, независимо от того имеются ли у них разрешения на доступ к этому каталогу.

  • Изменение системного времени – это право пользователя определяет, какие пользователи и группы могут изменять время и дату на встроенных часах компьютера.

  • Создание файла подкачки – это право пользователя определяет, какие пользователи могут использовать встроенный интерфейс прикладного программирования (API) для создания файла подкачки. Данное право пользователя используется внутри операционной системы и в большинстве случаев не предоставляется пользователям.

  • Создание маркерного объекта – этот параметр безопасности определяет, какие учетные записи могут использоваться процессами для создания описателя, позволяющего получать доступ к любым локальным ресурсам, если описатель строится с помощью интерфейса прикладного программирования (API).

  • Создание общих объектов – для создания общих объектов в течение сессии работы службы терминалов для учетной записи пользователя необходимо соответствующее право пользователя.

  • Создание постоянных объектов совместного использования – это право пользователя определяет, какие учетные записи могут использоваться процессами для создания объекта директории в диспетчере объектов в операционных системах Windows 2000 Server, Windows 2000 Professional, Windows XP Professional и операционных системах семейства Windows Server 2003.

  • Отладка программ – это право пользователя определяет, какие пользователи могут запускать режим отладки для любого процесса или ядра.

  • Отказ в доступе к компьютеру из сети – эта настройка безопасности определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику Доступ к компьютеру из сети, если учетная запись пользователя контролируется обеими политиками.

  • Запрещение входа в качестве пакетного задания – эта настройка безопасности определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания.

  • Запрещение входа в качестве службы – эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.

  • Запрещение локального входа в систему – эта настройка безопасности определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику Локальный вход в систему, если учетная запись пользователя контролируется обеими политиками.

  • Запрещение входа в систему через службы терминалов – эта настройка безопасности определяет, каким пользователям и группам запрещается входить в систему в качестве клиента служб терминалов.

  • Разрешение доверия к учетным записям компьютеров и пользователей при делегировании – этот параметр безопасности определяет, какие пользователи могут устанавливать атрибут «Делегирование разрешено» для объекта «Пользователь» или «Компьютер». Серверный процесс, который работает на компьютере (или в контексте пользователя), доверенном для делегирования, может получать доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, при условии, что для учетной записи клиента не установлен флаг управления. Учетная запись не может быть делегирована.

  • Принудительное удаленное завершение работы – этот параметр безопасности определяет, каким пользователям разрешено завершать работу компьютера из удаленного узла сети.

  • Создание журналов безопасности – этот параметр безопасности определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания попыток несанкционированного доступа в систему.

  • Имитировать клиента после проверки подлинности – предоставление этой привилегии пользователю позволяет программам пользователя олицетворять клиента.

  • Увеличение приоритета диспетчирования – этот параметр безопасности определяет, какие учетные записи могут использовать процесс, обладающий разрешением «Запись свойства» для доступа к другому процессу, с целью повысить назначенный последнему приоритет выполнения. Пользователь, обладающий этой привилегией, может изменять приоритет планирования процесса в окне диспетчера задач.

  • Загрузка и выгрузка драйверов устройств – это право пользователя определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств или другой код в режим ядра. Это право пользователя не применяется для драйверов устройств Plug and Play.

  • Закрепление страниц в памяти – этот параметр безопасности определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, избегая подкачки страниц в виртуальную память на диске.

  • Вход в качестве пакетного задания – эта настройка безопасности позволяет пользователю входить в систему с помощью средства обработки пакетных заданий.

  • Вход в качестве службы – эта настройка безопасности определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.

  • Управление аудитом и журналом безопасности – этот параметр безопасности определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Этот параметр безопасности не позволяет пользователю включать аудит доступа к файлам и объектам в целом.

  • Изменение параметров среды оборудования – этот параметр безопасности определяет, кто может изменять параметры среды оборудования.

  • Выполнение задач по обслуживанию томов – этот параметр безопасности определяет, какие пользователи и группы могут запускать процедуры обслуживания томов, такие, например, как удаленная дефрагментация.

  • Профилирование одного процесса – этот параметр безопасности определяет, какие пользователи могут вести наблюдение за рабочими характеристиками несистемных процессов.

  • Профилирование загруженности системы – этот параметр безопасности определяет, какие пользователи могут вести наблюдение за рабочими характеристиками системных процессов.

  • Отключение компьютера от стыковочного узла – этот параметр безопасности определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему. Если эта политика включена, пользователь должен войти в систему перед тем, как отключать компьютер от стыковочного узла. Если эта политика отключена, пользователь может отсоединять компьютер от стыковочного узла, не входя в систему.

  • Замена маркера уровня процесса – этот параметр безопасности определяет, какие учетные записи пользователей могут вызывать функцию CreateProcessAsUser() интерфейса прикладного программирования (API), позволяющую службе запускать другую службу.

  • Восстановление файлов и каталогов – этот параметр безопасности определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также назначать любого действительного участника безопасности владельцем объекта.

  • Завершение работы системы – этот параметр безопасности определяет, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы с помощью команды Завершение работы.

  • Синхронизация данных службы каталогов – этот параметр безопасности определяет, какие пользователи и группы имеют полномочия синхронизировать все данные, относящиеся к службе каталогов. Эта процедура также называется синхронизацией Active Directory.

  • Смена владельца файлов или иных объектов – этот параметр безопасности определяет, какие пользователи могут становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков.




Параметры безопасности

Служит для указания параметров безопасности сервера. Эти параметры напрямую не связаны с IIS (Internet Information Server), но они все же повышают общий уровень защиты сервера.

В том случае, если ваш компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.

В этом разделе:

Учетные записи:

  • состояние учетной записи «Администратор»

  • состояние учетной записи «Гость»

  • ограничить использование пустых паролей только для консольного входа

  • переименование учетной записи администратора

  • переименование учетной записи гостя

Аудит:

  • аудит доступа глобальных системных объектов

  • аудит прав на архивацию и восстановление

  • немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности

Устройства:

  • разрешать отстыковку без входа в систему

  • разрешено форматировать и извлекать съемные носители

  • запретить пользователям установку драйверов принтера

  • разрешить доступ к дисководам компакт-дисков только локальным пользователям

  • разрешить доступ к дисководам гибких дисков только локальным пользователям

  • поведение при установке неподписанного драйвера и др.


Права и привилегии пользователей

Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям группы или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов.


Для упрощения администрирования учетных записей пользователя назначить привилегии следует в первую очередь учетным записям группы, а не отдельным учетным записям пользователя. При назначении привилегий учетной записи групп пользователи автоматически получают эти привилегии, когда становятся членами этой группы. Этот метод администрирования привилегий значительно проще назначения отдельных привилегий каждой учетной записи пользователя в момент создания учетной записи.

В следующей таблице перечислены и описаны предоставляемые пользователю привилегии.


Привилегия

Описание

Значение по умолчанию

Функционирование в виде части операционной системы

Позволяет процессу олицетворять любого пользователя без проверки подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и пользователь.Процессы, требующие эту привилегию, вместо использования отдельной учетной записи пользователя со специально назначенной привилегией должны применять учетную запись «Локальная система», которая уже содержит эту привилегию. Эта привилегия назначается пользователям, только если на серверах организации запущены Windows 2000 или Windows NT 4.0 и используются приложения с паролями в виде обычного текста.

«Локальная система»

Добавление рабочих станций в домен

Определяет группы или пользователей, которые могут добавлять рабочие станции в домен.Это право пользователя используется только для контроллеров доменов. По умолчанию это право имеет любой прошедший проверки подлинности пользователь; он также может создавать до 10 учетных записей компьютера в домене.

Благодаря добавлению учетной записи в домен, компьютер распознает учетные записи и группы, существующие в доменной службе Active Directory (AD DS).

Контроллеры домена. «Прошедшие проверку»

Настройка квот памяти для процесса

Определяет пользователей, которые могут изменять максимальный объем памяти, используемый процессом.Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

«Администраторы»

Архивирование файлов и каталогов

Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при резервном копировании системы.

«Администраторы» и «Операторы архива»

Обход перекрестной проверки

Определяет, какие пользователи могут производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Эта привилегия не позволяет пользователям просматривать содержимое каталога, а позволяет только выполнять обзор.Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Рабочие станции и серверы. «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи», «Все»Контроллеры домена. «Администраторы» и «Прошедшие проверку»

Изменение системного времени

Определяет пользователей и группы, которые могут изменять время и дату на внутренних часах компьютера. Пользователи, имеющие данное право, могут изменять внешний вид журналов событий. При изменении системного времени регистрируемые события будут отображать новое время, а не фактическое время возникновения события.Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Рабочие станции и серверы. «Администраторы« и «Опытные пользователи»Контроллеры домена. «Администраторы» и «Операторы сервера»

Создание файла подкачки

Позволяет создавать файл подкачки и изменять его размер. Для этого в группе Параметры быстродействия на вкладке Дополнительно диалогового окнаСвойства системы следует указать размер файла подкачки для определенного диска.

«Администраторы»

Создание объекта типа токен

Позволяет процессу создавать токен, который затем может использоваться для доступа к любому локальному ресурсу при применении NtCreateToken() или других API, создающих токен.Процессы, требующие эту учетную запись, вместо использования отдельной учетной записи пользователя со специально назначенной привилегией должны применять учетную запись «Локальная система», которая уже содержит эту привилегию.

Нет

Создание глобальных объектов

Определяет учетные записи, которые могут создавать глобальные объекты в сеансе служб терминалов или служб удаленного рабочего стола.

«Администраторы» и «Локальная система»

Создание постоянных общих объектов

Позволяет процессу создавать объект каталога в диспетчере объектов операционной системы. Эта привилегия полезна для работающих в режиме ядра компонентов, расширяющих пространство имен объекта. Компоненты, работающие в режиме ядра, уже имеют эту привилегию, поэтому назначать ее не нужно.

Нет

Отладка программ

Определяет пользователей, которые могут прикреплять отладчик к любому процессу или ядру. Разработчикам, выполняющим отладку собственных приложений, это право назначать не нужно. Это право следует назначить разработчикам, выполняющим отладку новых системных компонентов. Это право предоставляет полный доступ к важным компонентам операционной системы.

«Администраторы» и «Локальная система»

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Определяет пользователей, которые могут устанавливать параметр Делегирование разрешено в объекте пользователя или компьютера.Пользователь или объект, получившие это право, должны иметь доступ на запись к управляющим флагам учетной записи объекта пользователя или компьютера. Серверный процесс, выполняемый на компьютере (или в пользовательском контексте), которому разрешено делегирование, может получить доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, пока в учетной записи клиента не будет установлен управляющий флаг Учетная запись не может быть делегирована.

Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Контроллеры домена. «Администраторы»

Принудительное удаленное завершение работы

Определяет, кому из пользователей разрешено удаленное завершение работы компьютера. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Рабочие станции и серверы. «Администраторы»Контроллеры домена. «Администраторы» и «Операторы сервера»

Создание аудитов безопасности

Определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности.

«Локальная система»

Олицетворение клиента после проверки подлинности

Определяет учетные записи, разрешенные для олицетворения других учетных записей.

«Администраторы» и «Служба»

Увеличение приоритета выполнения

Определяет, какие учетные записи могут использовать процесс, имеющий право доступа «Запись свойства» для другого процесса, для увеличения приоритета выполнения, назначенного другому процессу. Пользователь, имеющий данную привилегию, может изменять приоритет выполнения процесса через пользовательский интерфейс диспетчера задач.

«Администраторы»

Загрузка и выгрузка драйверов устройств

Определяет, кто из пользователей может динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Данное пользовательское право не применяется к драйверам устройств Plug and Play. Поскольку драйверы устройств выполняются как доверенные (или с высокими привилегиями) программы, не назначайте эту привилегию другим пользователям. Вместо этого используйте API StartService().

«Администраторы»

Блокировка страниц в памяти

Определяет, какие учетные записи могут использовать процессы для сохранения данных в физической памяти для предотвращения сброса этих данных в виртуальную память на диске. Применение этой привилегии может существенно повлиять на производительность системы, снижая объем доступной оперативной памяти (ОЗУ).

Нет; некоторые системные процессы имеют эту привилегию изначально

Управление аудитом и журналом безопасности

Определяет, кто из пользователей может указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра.Данный параметр безопасности не позволяет пользователю включить аудит доступа к файлам и объектам в целом. Для включения такого аудита нужно настроить параметр доступа к объекту «Аудит» в пути «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политики аудита». События аудита можно просмотреть в журнале безопасности средства просмотра событий. Пользователь с данной привилегией может также просматривать и очищать журнал безопасности.

«Администраторы»

Изменение значения параметров аппаратной среды

Определяет, кто может изменять значения параметров аппаратной среды. Переменные аппаратной среды - это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86. Действие параметра зависит от процессора.

  • На компьютерах архитектуры x86 единственное значение аппаратной среды, которое можно изменить назначением данного права пользователя, - это параметр Последняя удачная конфигурация, который должен изменяться только системой.

  • В компьютерах на базе процессоров Itanium загрузочные данные хранятся в энергонезависимой памяти. Данное право пользователя требуется для выполнения программы Bootcfg.exe и изменения параметра Операционная система по умолчанию компонента Загрузка и восстановлениедиалогового окна Свойства системы.

  • На всех компьютерах это право пользователя требуется для установки и модернизации Windows.

«Администраторы» и «Локальная система»

Профилирование одного процесса

Определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов.

«Администраторы», «Опытные пользователи» и «Локальная система»

Профилирование производительности системы

Определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности системных процессов.

«Администраторы» и «Локальная система»

Отключение компьютера от стыковочного узла

Определяет, может ли пользователь отстыковать портативный компьютер от стыковочного узла без входа в систему.Если данная политика включена, пользователь перед отключением портативного компьютера от стыковочного узла должен войти в систему. Если данная политика отключена, пользователь может отключить портативный компьютер от стыковочного узла, не входя в систему.

Отключено

Замена токена уровня процесса

Определяет, какие учетные записи пользователей могут инициализировать процесс замены токена по умолчанию, связанного с запущенным подпроцессом.Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

«Локальная служба» и «Сетевая служба»

Восстановление файлов и каталогов

Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении резервных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта.В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе:

  • Обзор папок/Выполнение файлов

  • Запись

Рабочие станции и серверы. «Администраторы» и «Операторы архива»Контроллеры домена. «Администраторы», «Операторы архива» и «Операторы сервера»

Завершение работы системы

Определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды Завершить работу. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.

Рабочие станции. «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи»Серверы. «Администраторы», «Операторы архива», «Опытные пользователи»

Контроллеры домена. «Операторы учетных записей», «Администраторы», «Операторы архива», «Операторы сервера», «Операторы печати»

Синхронизация данных службы каталогов

Определяет пользователей и группы, которые имеют право синхронизировать все данные службы каталогов. Это также называется синхронизацией Active Directory.

Нет




Упорядочим параметры локальной политики в соответствии с группами

Права пользователя

Адм-ры

LocalServ.

NetworkServ.

Оп.архива

Пользов.

Прош.пров

Все

Архивирование файлов и каталогов

+







+










Восстановление файлов и каталогов

+







+










Вход в качестве пакетного задания




+
















Вход в качестве службы







+













Добавление рабочих станций к домену






















Доступ к компьютеру сети

+







+

+

+

+

Завершение работы системы

+













+




Загрузка и выгрузка драйверов устройств

+



















Закрепление страниц в памяти






















Замена маркера уровня процесса




+

+













Запретить вход в систему через службу терминалов






















Запуск операций по обслуживанию тома

+



















Извлечение компьютера из стыковочного узла

+













+




Изменение параметров среды оборудования

+



















Изменение системного времени

+

+










+




Локальный вход в систему

+







+

+

+




Настройка квот памяти для процесса

+

+

+













Обход перекрёстной проверки

+







+

+

+

+

Овладение файлами или иными объектами

+



















Олицетворение клиента после проверки подлинности

+



















Отказ в доступе к компьютеру из сети






















Отказ во входе в качестве пакетного задания






















Отказать во входе в качестве службы






















Отклонить локальный вход






















Отладка программ

+



















Принудительное удалённое завершение

+



















Профилирование загруженности системы

+



















Профилирование одного процесса

+













+




Работа в режиме операционной системы






















Разрешать вход в систему через службу терминалов

+



















Разрешение доверия к учётным записям при делегировании






















Синхронизация данных службы каталогов






















Создание глобальных объектов






















Создание журналов безопасности




+

+













Создание маркерного объекта






















Создание постоянных объектов совместного использования






















Создание страничного файла

+



















Увеличение приоритета диспетчирования

+



















Управление аудитом и журналом безопасности

+