"Запись свойства" для доступа к другому процессу, с целью повысить назначенный последнему приоритет выполнения. Пользователь, обладающий этой привилегией, может изменять приоритет планирования процесса в окне диспетчера задач. По умолчанию:
"Администраторы".
Загрузка и выгрузка драйверов устройств
Определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств. Эта привилегия необходима для установки драйверов устройств Plug and Play. По умолчанию: "Администраторы".
Закрепление страниц в памяти
Определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, избегая подкачки страниц в виртуальную память на диск. Применение этой привилегии может существенно сказаться на системной производительности, поскольку приводит к уменьшению объема свободной оперативной памяти. По умолчанию: не определен.
Вход в качестве пакетного задания
Позволяет пользователю входить в систему с помощью средства обработки пакетных заданий. Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному. По умолчанию: "Локальная система".
Следует обратить особое внимание на то, что в системах Windows 2000 Server, Windows 2000 Professional и Windows XP Professional планировщик заданий автоматически предоставляет это право как обязательное.
Вход в качестве службы
Определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.
По умолчанию: не определен.
Локальный вход в систему
Определяет, какие пользователи могут входить в систему на данном компьютере.
По умолчанию:
• на рабочих станциях и серверах: "Администраторы", "Операторы архива", "Опытные пользователи", "Пользователи" и "Гость";
• на контроллерах домена: "Операторы учета", "Администраторы", "Операторы архива" и "Операторы печати".
Управление аудитом и журналом безопасности
Определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Эта политика не позволяет пользователю включать аудит доступа к файлам и объектам в целом.
Для этого необходимо настроить параметр "Аудит доступа к объектам" в папке "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политики аудита".
Просмотр записей о событиях аудита в журнале безопасности осуществляется в окне просмотра событий. Пользователь, обладающий такой привилегией, может также просматривать и очищать журнал безопасности.
По умолчанию: "Администраторы".
Изменение параметров среды оборудования
Определяет, каким группам безопасности разрешено изменять значения общесистемных параметров среды. По умолчанию: "Администраторы", "Локальная система".
Выполнение задач по обслуживанию томов
Определяет, какие пользователи и группы имеют полномочия на выполнение процедур обслуживания томов, таких как очистка диска и дефрагментация диска. По умолчанию:
"Администраторы".
Профилирование одного процесса
Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками несистемных процессов. По умолчанию: "Администраторы", "Локальная система".
Профилирование загруженности системы
Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками системных процессов. По умолчанию: "Администраторы", "Локальная система".
Отключение компьютера от стыковочного узла
Определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему.
Если эта политика включена, пользователь должен войти в систему перед тем, как отключать компьютер от стыковочного узла. Если эта политика отключена, пользователь может отсоединять компьютер от стыковочного узла, не входя в систему. По умолчанию: отключен.
Замена маркера уровня процесса
Определяет, какие учетные записи пользователей могут инициировать процесс замены стандартного маркера, связанного с запущенным подпроцессом. По умолчанию: "Локальная система".
Восстановление файлов и каталогов
Определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также назначать любого действительного участника безопасности владельцем объекта.
По умолчанию: Рабочие станции и серверы: "Администраторы", "Операторы архива", контроллеры домена: "Администраторы", "Операторы архива", "Операторы сервера".
Завершение работы системы
Определяет, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы с помощью команды Завершение работы. По умолчанию:
• рабочие станции и серверы: "Администраторы", "Операторы архива", "Опытные пользователи", "Пользователи";
• контроллеры домена: "Операторы учета", "Администраторы", "Операторы архива", "Операторы сервера", "Операторы печати".
Синхронизация данных службы каталогов
Определяет, какие пользователи и группы имеют полномочия синхронизировать данные, относящиеся к службе каталогов. Эта процедура также называется синхронизацией Active Directory. По умолчанию: не определен.
Смена владельца файлов или иных объектов
Определяет, какие пользователи могут становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. По умолчанию:
"Администраторы".
3.17. Средства безопасности
Учетные записи как средства безопасности
Состояние учетной записи "Администратор"
Определяет, включена или отключена учетная запись "Администратор" в обычном режиме работы. При загрузке в безопасном режиме учетная запись "Администратор" всегда включена, независимо от данного параметра. По умолчанию: включен.
Если попытаться вновь включить учетную запись "Администратор" после того, как она была отключена, но ее текущий пароль не удовлетворяет требованиям, предъявляемым к паролям, учетную запись включить не удастся. В этом случае какой-либо другой член группы "Администраторы" должен установить пароль для учетной записи "Администратор" в оснастке "Локальные пользователи и группы".
Отключенная учетная запись "Администратор" может в определенных обстоятельствах вызвать затруднения при выполнении процедур технического обслуживания. Например, если в среде домена по какой-либо причине возникает сбой на безопасном канале, образующем соединение с доменом, и на компьютере нет другой локальной учетной записи "Администратор", нужно будет для устранения неполадок перезагрузиться в безопасном режиме.
Состояние учетной записи "Гость"
Определяет, включена или выключена учетная запись "Гость". По умолчанию: отключен.
Если учетная запись "Гость" отключена и параметр безопасности "Сетевой доступ: модель совместного доступа и безопасности" имеет значение "Только гости", вход в сеть, например, с помощью сервера сети Microsoft (служба SMB), выполнить не удастся.
Ограничить использование пустых паролей только для консольного входа
Определяет, могут ли сетевые службы, такие как службы терминалов, Telnet и FTP, при удаленном интерактивном входе в систему использовать локальные учетные записи с пустыми паролями. Если этот параметр включен, то для интерактивного входа в систему с удаленного клиентского компьютера необходимо будет использовать локальную учетную запись с непустым паролем. По умолчанию: включен.
• Данный параметр не влияет на интерактивный вход, выполняемый непосредственно на консоли.
• Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.
• Приложения, использующие процедуры удаленного интерактивного входа, могут обходить ограничение, устанавливаемое этим параметром.
Переименование учетной записи администратора
Определяет, следует ли сопоставить идентификатору безопасности учетной записи "Администратор" другое имя учетной записи. Всем известно, что на любом компьютере Windows 2000 Server, Windows 2000 Professional или Windows XP Professional существует учетная запись "Администратор", поэтому если ее переименовать, посторонним людям будет немного труднее угадать новую комбинацию имени и пароля такого привилегированного пользователя. По умолчанию: "Администратор".
Переименование учетной записи гостя
Определяет, следует ли сопоставить идентификатору безопасности учетной записи "Гость" другое имя учетной записи. Всем известно, что на любом компьютере Windows 2000 Server, Windows 2000 Professional или Windows XP Professional существует учетная запись "Гость", поэтому если ее переименовать, посторонним людям будет немного труднее угадать новую комбинацию имени и пароля такого пользователя. По умолчанию: "Гость".
Аудит как средство безопасности
Аудит доступа глобальных системных объектов
Определяет, следует ли проводить аудит доступа к глобальным системным объектам. Если эта политика включена, то при создании системных объектов, таких как события, семафоры и устройства DOS, для каждого из них будет создаваться стандартная системная таблица управления доступом (SACL). Если при этом также включена политика Аудит доступа к объектам, доступ к таким системным объектам подлежит аудиту. По умолчанию: отключен.
Аудит прав на архивацию и восстановление
Определяет, следует ли проводить аудит применения всех пользовательских привилегий, в том числе права "Архивация и восстановление", если включена политика "Аудит использования привилегий". Если включить этот параметр при действующей политике
"Аудит использования привилегий", для каждого архивируемого или восстанавливаемого файла будет регистрироваться событие аудита. Если включить эту политику при действующей политике "Аудит использования привилегий", каждый факт применения прав пользователя будет заноситься в журнал безопасности. Если отключить эту политику, то использование прав "Архивация и восстановление" не будет контролироваться средствами аудита, даже при включенной политике "Аудит использования привилегий". По умолчанию: отключен.
Немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности
Определяет, должна ли система завершать работу, если она не может вести журнал событий безопасности. Если эта политика включена и в журнал безопасности по какой-либо причине не удается внести запись о событии аудита, система прекращает работу. Обычно это происходит, если журнал аудита безопасности заполнен и для него задан один из двух методов сохранения записей: "Не затирать события" или "Затирать старые события по дням". Если журнал безопасности заполнен и существующую запись нельзя затереть, а данный параметр безопасности при этом включен, появится сообщение о неустранимой ошибке:
STOP: C0000244 {Неудачная попытка аудита}
Неудачная попытка выполнения аудита безопасности.
Для восстановления нормального режима работы необходимо, чтобы администратор вошел в систему, создал архивную копию журнала (необязательное действие) и установил данный параметр требуемым образом. По умолчанию: отключен.
Устройства как средства безопасности
Разрешено форматировать и извлекать съемные носители
Определяет, каким пользователям разрешается форматировать съемные носители NTFS и извлекать их из устройств. Это право может быть предоставлено группам "Администраторы", "Администраторы и опытные пользователи" и "Администраторы и интерактивные пользователи". По умолчанию: "Администраторы".
Отладка программ
Определяет, какие пользователи могут запускать программу отладки для любого процесса.
Эта привилегия обеспечивает широкие возможности доступа к особо важным компонентам операционной системы. По умолчанию:
• администраторы;
• локальная система.
Запретить пользователям установку драйверов принтера
Чтобы локальный компьютер мог выполнять печать на сетевом принтере, необходимо установить на компьютере драйвер этого принтера. Данный параметр безопасности определяет, кому при добавлении сетевого принтера разрешается устанавливать драйвер принтера. Если параметр включен, то устанавливать драйвер при добавлении сетевого принтера разрешается только группе "Администраторы и опытные пользователи". Если параметр отключен, то устанавливать драйвер при добавлении сетевого принтера может любой пользователь. Этот параметр позволяет запретить пользователям, не имеющим достаточных полномочий, загружать и устанавливать драйвер принтера, взятый из ненадежного источника. По умолчанию: включен на серверах; отключен на рабочих станциях.
• Если администратор установил путь доверительных отношений для загрузки драйверов, данный параметр утрачивает силу. Если используются доверенные пути, подсистема печати будет пытаться загрузить драйвер именно по такому пути. В случае успешной загрузки драйвер устанавливается от имени любого пользователя. Если загрузка по доверенному пути завершается неудачно, драйвер не устанавливается и сетевой принтер не добавляется.
• Если данный параметр включен, но на локальном компьютере уже имеется драйвер для сетевого принтера, пользователи все равно могут добавлять сетевой принтер.
• Этот параметр не влияет на возможность добавления сетевого принтера.
Разрешить доступ к дисководам компакт-дисков только локальным пользователям
Определяет, доступен ли компакт-диск одновременно локальным и удаленным пользователям. Если эта политика включена, она разрешает доступ к компакт-дискам только пользователям, вошедшим в систему в интерактивном режиме. Если эта политика включена и в системе нет ни одного пользователя, вошедшего в интерактивном режиме, компакт-диск будет доступен по сети. По умолчанию: отключен.
Разрешить доступ к дисководам гибких дисков только локальным пользователям Определяет, доступны ли съемные носители на гибких дисках одновременно локальным и удаленным пользователям. Если эта политика включена, она разрешает доступ к гибким дискам только пользователям, вошедшим в систему в интерактивном режиме. Если эта политика включена и в системе нет ни одного пользователя, вошедшего в интерактивном режиме, гибкий диск будет доступен по сети. По умолчанию: отключен.
Поведение при установке неподписанного драйвера
Определяет, что происходит при попытке установить драйвер устройства (с помощью API-функции Setup), не имеющий сертификата WHQL (Windows Hardware Quality Lab). Возможны следующие варианты:
• успешная установка без предупреждения;
• предупреждать, но разрешать установку;
• не разрешать установку.
По умолчанию: Предупреждать, но разрешать установку.
Контроллер домена как средство безопасности
Разрешить операторам сервера задавать выполнение заданий по расписанию
Определяет, разрешено ли группе "Операторы сервера" планировать задания с помощью команды AT. По умолчанию: не определен (система считает, что параметр отключен).
Данный параметр безопасности действует только в отношении средства планирования по команде AT, но не планировщика заданий.
Запретить изменение пароля учетных записей компьютера
Определяет, принимает ли контроллер домена запросы на изменение пароля для учетной записи компьютера. Если этот параметр включен на всех контроллерах домена, то члены этого домена не смогут менять пароли учетных записей своих компьютеров, что делает их уязвимыми для внешних атак. По умолчанию: отключен.
Член домена как средство безопасности
Всегда требуется цифровая подпись или шифрование потока данных безопасного канала Определяет, можно ли установить безопасный канал связи с контроллером домена, который не способен подписывать или шифровать весь трафик этого канала. Если этот параметр включен, то безопасный канал нельзя будет устанавливать ни с одним контроллером домена, не обеспечивающим подписывание или шифрование всех данных канала. Если параметр отключен, безопасный канал установить можно, но уровень шифрования и подписывания придется согласовывать. По умолчанию: отключен.
Следует обратить особое внимание на следующие особенности: прежде чем включать этот параметр на рядовом сервере или рабочей станции домена, необходимо убедиться, что все контроллеры этого домена могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры домена должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Прежде чем включать этот параметр на контроллере домена, необходимо убедиться, что все контроллеры всех доверенных доменов и доменов-доверителей могут шифровать или подписывать все данные безопасного канала. Это означает, что все такие контроллеры доменов должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии. Если эта политика включена, автоматически включается политика "Член домена: цифровая подпись данных безопасного канала, когда это возможно".
Шифрование данных безопасного канала, когда это возможно
Обеспечивает шифрование всего трафика безопасного канала, если контроллер домена, с которым установлена связь, также может шифровать весь этот трафик. По умолчанию: включен. Следует обратить особое внимание на следующие особенности: не существует причин, по которым этот параметр следовало бы отключить. Это привело бы не только к нежелательному снижению уровня потенциальной конфиденциальности безопасного канала, но и уменьшило бы его пропускную способность, поскольку одновременное прохождение нескольких вызовов API-функций по этому безопасному каналу возможно только в случае, если его трафик подписан или зашифрован.
Цифровая подпись данных безопасного канала, когда это возможно
Обеспечивает подписывание всего трафика безопасного канала, если контроллер домена, с которым установлена связь, также может подписывать весь этот трафик. По умолчанию: включен. Следует обратить особое внимание на следующие особенности: не существует причин, по которым этот параметр следовало бы отключить. Это привело бы не только к нежелательному снижению уровня потенциальной целостности безопасного канала, но и уменьшило бы его пропускную способность, поскольку одновременное прохождение нескольких вызовов API-функций по этому безопасному каналу возможно только в случае, если его трафик подписан или зашифрован. Если политика "Член домена: шифрование данных безопасного канала", когда этот возможно включена, данный параметр также включается неявным образом.
Максимальный срок действия пароля учетных записей компьютера
Определяет максимальный допустимый срок службы пароля учетной записи компьютера. По умолчанию: 30 дней. Следует обратить внимание на то, что этот параметр применяется к компьютерам Windows 2000, но он недоступен при использовании средств диспетчера настройки безопасности на этих компьютерах.
Т ребует стойкого ключа сеанса (W indows 2000 или выше)
Определяет, можно ли установить безопасный канал связи с контроллером домена, который не способен шифровать трафик этого канала с помощью стойкого (128-разрядного) ключа.