Библибоба

Читаем Домашний доктор для вашего ПК полностью

Домашний доктор для вашего ПК

Алексей Степанович Виноградов

Изменение системного времени

Определяет, какие пользователи и группы могут изменять время и дату на встроенных часах компьютера. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов.

По умолчанию:

• на рабочих станциях и серверах:

администраторы;

опытные пользователи;

• на контроллерах домена:

администраторы;

операторы сервера.

Создание файла подкачки

Определяет, какие пользователи и группы могут создавать файл подкачки и изменять его размер. Для создания файла подкачки нужно указать его размер для выбранного диска на вкладке Параметры быстродействия окна свойств системы. По умолчанию: «Администраторы».

Создание маркерного объекта

Определяет, какие учетные записи могут использоваться процессами для создания описателя, позволяющего получать доступ к любым локальным ресурсам, если описатель строится с помощью функции NtCreateToken или другого API-интерфейса. Процессам, которым необходима эта привилегия, рекомендуется использовать учетную запись LocalSystem, уже включающую данную привилегию, а не отдельную учетную запись пользователя, специально назначая ей эту привилегию. По умолчанию: «Локальная система».

Создание постоянных объектов совместного использования

Определяет, какие учетные записи могут использоваться процессами для создания объекта каталога в диспетчере объектов Windows 2000 Server, Windows 2000 Professional или Windows XP Professional. Эта привилегия необходима для компонентов режима ядра, которые расширяют пространство имен объектов Windows 2000 Server, Windows 2000 Professional и пространство имен объекта Windows XP Professional. Поскольку компоненты, работающие в режиме ядра, уже обладают этой привилегией, им не нужно специально назначать ее. По умолчанию: «Локальная система».

Отладка программ

Определяет, какие пользователи могут запускать программу отладки для любого процесса.

Эта привилегия обеспечивает широкие возможности доступа к особо важным компонентам операционной системы.

По умолчанию отладку программ выполняют: администраторы; локальная система.

Отказ в доступе к компьютеру из сети

Определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику «Доступ к компьютеру из сети», если учетная запись пользователя контролируется обеими политиками. По умолчанию:

• на рабочих станциях и серверах:

администраторы;

операторы архива;

опытные пользователи;

пользователи;

все.

• на контроллерах домена:

администраторы;

прошедшие проверку;

все.

Отказ во входе в качестве пакетного задания

Определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет политику «Вход в качестве пакетного задания», если учетная запись пользователя контролируется обеими политиками. По умолчанию: не определен.

Отказать во входе в качестве службы

Определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику «Вход в качестве службы», если учетная запись пользователя контролируется обеими политиками. По умолчанию: не определен.

Отклонить локальный вход

Определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику «Локальный вход в систему», если учетная запись пользователя контролируется обеими политиками. По умолчанию: не определен.

Запретить вход в систему через службу терминалов

Определяет, каким пользователям и группам запрещается входить в систему в качестве клиента служб терминалов. По умолчанию: не определен. Следует обратить особое внимание на то, что этот параметр не действует на компьютерах Windows 2000 без пакета обновления Service Pack 2.

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Определяет, какие пользователи могут устанавливать атрибут Доверен для делегирования для объекта «Пользователь» или «Компьютер». Пользователь или объект, наделенный данной привилегией, должен иметь право записи во флаги управления учетной записью объекта «Пользователь» или «Компьютер». Серверный процесс, который работает на компьютере (или в контексте пользователя), доверенном для делегирования, может получать доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, при условии, что для учетной записи клиента не установлен флаг управления «Учетная запись не может быть делегирована». Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию: «Администраторы» на контроллерах доменов. Неправильное употребление этой привилегии или параметра «Доверен для делегирования» может сделать сеть уязвимой для атак, в которых «троянские кони» выдают себя за входящих клиентов и используют их учетные данные для доступа к сетевым ресурсам.

Принудительное удаленное завершение работы

Определяет, каким пользователям разрешено завершать работу компьютера из удаленного узла сети. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию:

• на рабочих станциях и серверах: «Администраторы»;

• на контроллерах домена: «Администраторы», «Операторы сервера».

Создание журналов безопасности

Определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания попыток несанкционированного доступа в систему. По умолчанию: «Локальная система».

Увеличение приоритета диспетчирования

Определяет, какие учетные записи могут использовать процесс, обладающий разрешением

«Запись свойства» для доступа к другому процессу, с целью повысить назначенный последнему приоритет выполнения. Пользователь, обладающий этой привилегией, может изменять приоритет планирования процесса в окне диспетчера задач. По умолчанию:

«Администраторы».

Загрузка и выгрузка драйверов устройств

Определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств. Эта привилегия необходима для установки драйверов устройств Plug and Play. По умолчанию: «Администраторы».

Закрепление страниц в памяти

Определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, избегая подкачки страниц в виртуальную память на диск. Применение этой привилегии может существенно сказаться на системной производительности, поскольку приводит к уменьшению объема свободной оперативной памяти. По умолчанию: не определен.

Вход в качестве пакетного задания

Позволяет пользователю входить в систему с помощью средства обработки пакетных заданий. Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному. По умолчанию: «Локальная система».

Следует обратить особое внимание на то, что в системах Windows 2000 Server, Windows 2000 Professional и Windows XP Professional планировщик заданий автоматически предоставляет это право как обязательное.

Вход в качестве службы

Определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.

По умолчанию: не определен.

Локальный вход в систему

Определяет, какие пользователи могут входить в систему на данном компьютере.

По умолчанию:

• на рабочих станциях и серверах: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи» и «Гость»;

• на контроллерах домена: «Операторы учета», «Администраторы», «Операторы архива» и «Операторы печати».

Управление аудитом и журналом безопасности

Определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Эта политика не позволяет пользователю включать аудит доступа к файлам и объектам в целом.

Для этого необходимо настроить параметр «Аудит доступа к объектам» в папке «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политики аудита».

Просмотр записей о событиях аудита в журнале безопасности осуществляется в окне просмотра событий. Пользователь, обладающий такой привилегией, может также просматривать и очищать журнал безопасности.

По умолчанию: «Администраторы».

Изменение параметров среды оборудования

Определяет, каким группам безопасности разрешено изменять значения общесистемных параметров среды. По умолчанию: «Администраторы», «Локальная система».

Выполнение задач по обслуживанию томов

Определяет, какие пользователи и группы имеют полномочия на выполнение процедур обслуживания томов, таких как очистка диска и дефрагментация диска. По умолчанию:

«Администраторы».

Профилирование одного процесса

Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками несистемных процессов. По умолчанию: «Администраторы», «Локальная система».

Профилирование загруженности системы

Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками системных процессов. По умолчанию: «Администраторы», «Локальная система».

Отключение компьютера от стыковочного узла

Определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему.

Если эта политика включена, пользователь должен войти в систему перед тем, как отключать компьютер от стыковочного узла. Если эта политика отключена, пользователь может отсоединять компьютер от стыковочного узла, не входя в систему. По умолчанию: отключен.

Замена маркера уровня процесса

Определяет, какие учетные записи пользователей могут инициировать процесс замены стандартного маркера, связанного с запущенным подпроцессом. По умолчанию: «Локальная система».

Восстановление файлов и каталогов

Определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также назначать любого действительного участника безопасности владельцем объекта.

По умолчанию: Рабочие станции и серверы: «Администраторы», «Операторы архива», контроллеры домена: «Администраторы», «Операторы архива», «Операторы сервера».

Завершение работы системы

Определяет, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы с помощью команды Завершение работы. По умолчанию:

• рабочие станции и серверы: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи»;

• контроллеры домена: «Операторы учета», «Администраторы», «Операторы архива», «Операторы сервера», «Операторы печати».

Синхронизация данных службы каталогов

Определяет, какие пользователи и группы имеют полномочия синхронизировать данные, относящиеся к службе каталогов. Эта процедура также называется синхронизацией Active Directory. По умолчанию: не определен.

Смена владельца файлов или иных объектов

Определяет, какие пользователи могут становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. По умолчанию:

«Администраторы».

Перейти на страницу:
Читать далее
Нет соединения с сервером, попробуйте зайти чуть позже
Избранное