Определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL). По умолчанию эта политика отменяет аудит для объекта групповой политики "Стандартный контроллер домена" и не определена для рабочих станций и серверов, на которых она не имеет смысла. Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо отключить флажок Определить следующие параметры политики и снять флажки Успех и Отказ . Следует отметить, что системную таблицу управления доступом для объекта Active Directory можно установить на вкладке Безопасность диалогового окна Свойства этого объекта. Данная политика аналогична политике "Аудит доступа к объектам", только она применяется к объектам Active Directory, а не к объектам файловой системы и реестра.
По умолчанию: "Нет аудита" для контроллеров домена; не определен для рядового компьютера домена.
Аудит входа в систему
Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на данном компьютере, а также подключиться к этому компьютеру через сеть.
Если на контроллере домена ведется учет успешных попыток для политики "Аудит событий входа в систему", попытки входа в систему на рабочих станциях не будут подлежать аудиту.
События входа в систему регистрируются только при попытках интерактивного и сетевого входа на сам контроллер домена. Короче говоря, политика "Аудит событий входа в систему" действует там, где размещена учетная запись, а политика "Аудит входа в систему" – там, где предпринимается попытка входа.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок "Определить следующие параметры политики" и снять флажки "Успех" и "Отказ". По умолчанию: "Нет аудита".
Аудит доступа к объектам
Определяет, подлежит ли аудиту событие доступа пользователя к объекту – например, к файлу, папке, разделу реестра, принтеру и т. п., – для которого задана собственная системная таблица управления доступом (SACL). Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок "Определить следующие параметры политики" и снять флажки "Успех" и "Отказ". Следует отметить, что системную таблицу управления доступом для объекта файловой системы можно установить на вкладке Безопасность диалогового окна Свойства этого объекта. По умолчанию: "Нет аудита".
Аудит изменения политики
Определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок "Определить следующие параметры политики" и снять флажки "Успех" и "Отказ". По умолчанию: "Нет аудита".
Аудит использования привилегий
Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок "Определить следующие параметры политики" и снять флажки "Успех" и "Отказ".
По умолчанию: аудиту не подлежат попытки применения нижеуказанных прав пользователей, даже если для политики "Аудит использования привилегий" задан аудит успехов или аудит отказов:
• обход перекрестной проверки;
• отладка программ;
• создание маркерного объекта;
• замена маркера уровня процесса;
• создание журналов безопасности;
• архивирование файлов и каталогов;
• восстановление файлов и каталогов.
Аудит отслеживания процессов
Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту.
Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики должен быть установлен флажок Определить следующие параметры политики и снят флажки "Успех" и "Отказ". По умолчанию: "Нет аудита".
Аудит системных событий
Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности.
Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события. Чтобы отключить аудит, в диалоговом окне "Свойства данного параметра политики" надо установить флажок "Определить следующие параметры политики" и снять флажки "Успех" и "Отказ". По умолчанию: "Нет аудита".
Назначение прав пользователя
Доступ к компьютеру из сети
Определяет, каким пользователям и группам разрешается подключаться к компьютеру через сеть. По умолчанию:
• на рабочих станциях и серверах:
администраторы;
операторы архива;
опытные пользователи;
пользователи;
все;
• на контроллерах домена:
администраторы;
прошедшие проверку;
все.
Работа в режиме операционной системы
Разрешает процессу проходить проверку подлинности как обычному пользователю и таким образом получать доступ к тем же ресурсам, что и любой пользователь. Эта привилегия требуется только для служб проверки подлинности низкого уровня.
Потенциально доступ не ограничен ресурсами, назначенными пользователю по умолчанию, поскольку для процесса вызова может потребоваться, чтобы в описатель доступа были внесены еще какие-либо разрешения. Более важным является тот фактор, что процесс вызова может создать анонимный описатель, способный поддержать любые разрешения на доступ. Кроме того этот описатель не может служить уникальным идентификатором при отслеживании событий в журнале аудита.
Процессы, которым необходима эта привилегия, должны использовать учетную запись LocalSystem , уже включающую данную привилегию, а не отдельную учетную запись пользователя, специально назначая ей эту привилегию. По умолчанию: Local System.
Добавление рабочих станций в домен
Определяет, какие группы и пользователи могут добавлять рабочие станции в домен. Эта политика действует только на контроллерах домена. По умолчанию таким правом обладает любой пользователь, прошедший проверку подлинности; он может создать до 10 учетных записей компьютеров в домене.
Компьютер, учетная запись которого добавлена в домен, может участвовать в выполнении сетевых операций, использующих содержимое Active Directory. Например, рабочая станция, добавленная в домен, получает возможность распознавать учетные записи и группы, существующие в Active Directory. По умолчанию: "Прошедшие проверку". Пользователи, обладающие разрешением на создание объектов-компьютеров в контейнере Active Directory, также могут создавать учетные записи компьютеров в домене. Но для них число создаваемых учетных записей не ограничено значением 10. Кроме того владельцем учетных записей компьютеров, созданных в соответствии с политикой "Добавление рабочих станций в домен", является группа "Администраторы домена", а владельцем учетной записи, созданной на основе разрешения для контейнера, является ее создатель. Если пользователь обладает одновременно разрешением на создание объектов в контейнере и правом "Добавление рабочих станций в домен", компьютер добавляется в домен в соответствии с разрешениями для контейнера, а не правом пользователя.
Настройка квот памяти для процесса
Определяет, какие учетные записи могут использовать процесс, обладающий разрешением "Запись свойства" для доступа к другому процессу, с целью увеличить назначенную последнему квоту ресурсов процессора. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию: "Администраторы". Эту привилегию можно использовать для настройки системы, но ее использование может вызвать неблагоприятные последствия, например, в случае атаки типа "отказ в обслуживании".
Разрешать вход в систему через службу терминалов
Определяет, каким пользователям и группам разрешается входить в систему в качестве клиента служб терминалов.
По умолчанию:
• на рабочих станциях и серверах: "Администраторы", "Пользователи удаленного рабочего стола";
• на контроллерах домена: "Администраторы".
Следует обратить особое внимание на то, что этот параметр не действует на компьютерах Windows 2000 без пакета обновления Service Pack 2.
Архивирование файлов и каталогов
Определяет, какие пользователи могут архивировать содержимое системы, невзирая на имеющиеся разрешения для файлов и каталогов. Эта привилегия эквивалентна предоставлению указанным пользователям и группам следующих разрешений на доступ ко всем файлам и папкам системы:
• обзор папок / выполнение файлов;
• содержание папки / чтение данных;
• чтение атрибутов;
• чтение дополнительных атрибутов;
• чтение разрешений.
По умолчанию данной привилегией обладают: "Администраторы" и "Операторы архива".
Обход перекрестной проверки
Определяет, какие пользователи могут проходить по дереву каталога, независимо от того, имеются ли у них разрешения на доступ к этому каталогу. Эта привилегия не позволяет пользователю выводить список содержимого каталога, а только перемещаться по его структуре. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов.
По умолчанию:
• на рабочих станциях и серверах:
администраторы;
операторы архива;
опытные пользователи;
пользователи;
все.
• на контроллерах домена:
администраторы;
прошедшие проверку.
Изменение системного времени
Определяет, какие пользователи и группы могут изменять время и дату на встроенных часах компьютера. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов.
По умолчанию:
• на рабочих станциях и серверах:
администраторы;
опытные пользователи;
• на контроллерах домена:
администраторы;
операторы сервера.
Создание файла подкачки
Определяет, какие пользователи и группы могут создавать файл подкачки и изменять его размер. Для создания файла подкачки нужно указать его размер для выбранного диска на вкладке Параметры быстродействия окна свойств системы. По умолчанию: "Администраторы".
Создание маркерного объекта
Определяет, какие учетные записи могут использоваться процессами для создания описателя, позволяющего получать доступ к любым локальным ресурсам, если описатель строится с помощью функции NtCreateToken() или другого API-интерфейса. Процессам, которым необходима эта привилегия, рекомендуется использовать учетную запись LocalSystem, уже включающую данную привилегию, а не отдельную учетную запись пользователя, специально назначая ей эту привилегию. По умолчанию: "Локальная система".
Создание постоянных объектов совместного использования
Определяет, какие учетные записи могут использоваться процессами для создания объекта каталога в диспетчере объектов Windows 2000 Server, Windows 2000 Professional или Windows XP Professional. Эта привилегия необходима для компонентов режима ядра, которые расширяют пространство имен объектов Windows 2000 Server, Windows 2000 Professional и пространство имен объекта Windows XP Professional. Поскольку компоненты, работающие в режиме ядра, уже обладают этой привилегией, им не нужно специально назначать ее. По умолчанию: "Локальная система".
Отладка программ
Определяет, какие пользователи могут запускать программу отладки для любого процесса.
Эта привилегия обеспечивает широкие возможности доступа к особо важным компонентам операционной системы.
По умолчанию отладку программ выполняют: администраторы; локальная система.
Отказ в доступе к компьютеру из сети
Определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику "Доступ к компьютеру из сети", если учетная запись пользователя контролируется обеими политиками. По умолчанию:
• на рабочих станциях и серверах:
администраторы;
операторы архива;
опытные пользователи;
пользователи;
все.
• на контроллерах домена:
администраторы;
прошедшие проверку;
все.
Отказ во входе в качестве пакетного задания
Определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет политику "Вход в качестве пакетного задания", если учетная запись пользователя контролируется обеими политиками. По умолчанию: не определен.
Отказать во входе в качестве службы
Определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику "Вход в качестве службы", если учетная запись пользователя контролируется обеими политиками. По умолчанию: не определен.
Отклонить локальный вход
Определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику "Локальный вход в систему", если учетная запись пользователя контролируется обеими политиками. По умолчанию: не определен.
Запретить вход в систему через службу терминалов
Определяет, каким пользователям и группам запрещается входить в систему в качестве клиента служб терминалов. По умолчанию: не определен. Следует обратить особое внимание на то, что этот параметр не действует на компьютерах Windows 2000 без пакета обновления Service Pack 2.
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Определяет, какие пользователи могут устанавливать атрибут Доверен для делегирования для объекта "Пользователь" или "Компьютер". Пользователь или объект, наделенный данной привилегией, должен иметь право записи во флаги управления учетной записью объекта "Пользователь" или "Компьютер". Серверный процесс, который работает на компьютере (или в контексте пользователя), доверенном для делегирования, может получать доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, при условии, что для учетной записи клиента не установлен флаг управления "Учетная запись не может быть делегирована". Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию: "Администраторы" на контроллерах доменов. Неправильное употребление этой привилегии или параметра "Доверен для делегирования" может сделать сеть уязвимой для атак, в которых "троянские кони" выдают себя за входящих клиентов и используют их учетные данные для доступа к сетевым ресурсам.
Принудительное удаленное завершение работы
Определяет, каким пользователям разрешено завершать работу компьютера из удаленного узла сети. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию:
• на рабочих станциях и серверах: "Администраторы";
• на контроллерах домена: "Администраторы", "Операторы сервера".
Создание журналов безопасности
Определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания попыток несанкционированного доступа в систему. По умолчанию: "Локальная система".
Увеличение приоритета диспетчирования
Определяет, какие учетные записи могут использовать процесс, обладающий разрешением