...
Политика | Описание | Значения |
Access Credential Manager as a trusted caller | Этот параметр используется диспетчером учетных данных в ходе архивации и восстановления. Эта привилегия не должна предоставляться учетным записям, поскольку она предоставляется только Winlogon. Сохраненные пользователями учетные данные могут быть скомпрометированы, если эта привилегия предоставляется другим субъектам. | Не заполняется |
Act as part of the operating system | Это право пользователя позволяет процессу олицетворять любого пользователя без проверки подлинности. Процесс, таким образом, может получать доступ к тем же локальным ресурсам, что и пользователь. Процессы, для которых требуется такая привилегия, должны использовать уже содержащую эту привилегию учетную запись LocalSystem, а не отдельную учетную запись пользователя с этой привилегией. Если в организации используются только серверы с операционными системами семейства Windows Server 2003, нет необходимости назначать эту привилегию пользователям. Однако если в организации используются серверы под управлением операционных систем Windows 2000 или Windows NT 4.0, назначение этой привилегии может потребоваться для использования приложений, обменивающихся паролями в обычном текстовом формате. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям. | Не заполняется |
Adjust memory quotas for a process (Настройка квот памяти для процесса) | Эта привилегия определяет, кто может изменять максимальный объем памяти, используемый процессом. Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Примечание. Эта привилегия полезна при настройке системы, но его использование может нанести вред, например, в случае атак типа "отказ в обслуживании". | NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\LOCAL SERVICE, BUILTIN\Administrators |
Allow log on locally | Этот параметр определяет пользователей, которые могут входить в систему на компьютере. Внимание! Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Сведения о совместимости для этого параметра см. в разделе "Разрешение локального входа в систему" (https://go.microsoft.com/fwlink/?LinkId=24268) на веб-сайте Майкрософт. | BUILTIN\Administrators |
Allow log on through Remote Desktop Services | Этот параметр безопасности определяет, у каких пользователей или групп есть разрешение на вход в систему в качестве клиента служб удаленных рабочих столов. | BUILTIN\Administrators, группа пользователей PAM |
Back up files and directories | Это право пользователя определяет, какие пользователи могут игнорировать разрешения для файлов, каталогов, реестра и других постоянных объектов с целью архивации системы. В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе: Обзор папок/Выполнение файлов Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Поскольку невозможно точно знать, что именно пользователь делает с данными - создает архив, крадет или копирует с целью распространения - назначайте это право только доверенным пользователям. | BUILTIN\Administrators |
Bypass traverse checking (Обход перекрестной проверки) | Это право пользователя определяет, какие пользователи могут производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Эта привилегия не позволяет пользователям просматривать содержимое каталога, а позволяет только выполнять обзор. | BUILTIN\Administrators, NT AUTHORITY\Authenticated Users, NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE |
Change the system time (Изменение системного времени) | Это право пользователя определяет, какие пользователи и группы могут изменять время и дату внутренних часов компьютера. Пользователи с данным правом могут влиять на вид журналов событий. Если системное время было изменено, записи отслеженных событий отразят новое время, а не действительное время совершения событий. | BUILTIN\Administrators, NT AUTHORITY\LOCAL SERVICE |
Change the time zone (Изменение часового пояса) | Это пользовательское право определяет, какие пользователи и группы могут изменять часовой пояс, используемый компьютером для отображения местного времени, которое представляет собой сумму системного времени компьютера и смещения часового пояса. Само по себе системное время является абсолютным и не изменяется при изменении часового пояса. | BUILTIN\Administrators, NT AUTHORITY\LOCAL SERVICE |
Create a token object (Создание маркерного объекта) | Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессами для создания маркеров, которые затем могут быть использованы для получения доступа к любым локальным ресурсам, если для создания маркера доступа процесс использует внутренний интерфейс (API). Данное право используется операционной системой для внутренних целей. Если нет необходимости, не предоставляйте это право никаким пользователям, группам или процессам кроме пользователя "Локальная система". Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой. | Не заполняется |
Create global objects (Создание глобальных объектов) | Этот параметр безопасности определяет, могут ли пользователи создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать отдельные объекты для их сеансов, не имея данного права. Создание глобальных объектов может влиять на процессы, выполняемые в сеансах других пользователей, ведя к ошибкам приложений и повреждению данных. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям. | BUILTIN\Administrators, NT AUTHORITY\SERVICE |
Create permanent shared objects (Создание постоянных общих объектов) | Это право пользователя определяет, какие учетные записи могут использоваться процессами для создания объекта каталога при помощи диспетчера объектов. Это право пользователя используется внутри операционной системы и полезно для компонентов в режиме ядра, расширяющих пространство имен объекта. Поскольку это право уже назначено компонентам, выполняющимся в режиме ядра, его не нужно специально назначать. | Не заполняется |
Create symbolic links (Создание символических ссылок) | Эта привилегия определяет для пользователя возможность создавать символьные ссылки с компьютера, на который он вошел. Внимание! Эту привилегию следует предоставлять только доверенным пользователям. Символические ссылки могут обнажить уязвимые места в приложениях, которые не рассчитаны на их обработку. | BUILTIN\Administrators |
Debug programs (Отладка программ) | Это право пользователя определяет, какие пользователи могут подключать отладчик к любому процессу или ядру. Это право не нужно назначать разработчикам, выполняющим отладку собственных приложений. Оно потребуется разработчикам для отладки новых системных компонентов. Это право пользователя обеспечивает полный доступ к важным компонентам операционной системы. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям. | BUILTIN\Administrators |
Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети) | Этот параметр безопасности определяет, каким пользователям будет отказано в доступе к компьютеру из сети. Этот параметр заменяет параметр политики "Разрешить доступ к компьютеру из сети", если к учетной записи пользователя применяются обе политики. | BUILTIN\Guests |
Deny log on as a batch job (Отказать во входе в качестве пакетного задания) | Этот параметр безопасности определяет, каким учетным записям будет отказано во входе в систему в виде пакетного задания. Данный параметр замещает параметр "Разрешить вход в систему как пакетному заданию", если к учетной записи пользователя применяются оба параметра. | BUILTIN\Guests |
Deny log on as a service (Отказать во входе в качестве службы) | Этот параметр безопасности определяет, каким учетным записям служб будет отказано в регистрации процесса как службы. Этот параметр политики заменяет параметр "Разрешить вход в систему как службе", если к учетной записи применяются об политики. Примечание. Этот параметр безопасности не применяется к учетным записям "Система", "Локальная служба" или "Сетевая служба". | BUILTIN\Guests |
Deny log on locally (Запретить локальный вход) | Этот параметр безопасности определяет, каким пользователям будет отказано во входе в систему. Этот параметр политики заменяет параметр "Разрешить локальный вход в систему", если к учетной записи применяются обе политики. Внимание! Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему локально. | BUILTIN\Guests |
Deny log on through Terminal Services (Запретить вход в систему через службы удаленных рабочих столов) | Этот параметр безопасности определяет, каким пользователям и группам будет запрещено входить в систему как клиенту служб удаленных рабочих столов. | BUILTIN\Guests |
Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям компьютеров и пользователей при делегировании) | Этот параметр безопасности определяет, какие пользователи могут устанавливать параметр "Делегирование разрешено" для пользователя или объекта-компьютера. Пользователь или объект, получившие эту привилегию, должны иметь доступ на запись к управляющим флагам учетной записи пользователя или объекта-компьютера. Серверный процесс, выполняемый на компьютере (или в пользовательском контексте), которому разрешено делегирование, может получить доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, пока в учетной записи клиента не будет установлен управляющий флаг "Учетная запись не может быть делегирована". Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Внимание! Неправильное применение этого права пользователя или параметра "Делегирование разрешено" может сделать сеть уязвимой к изощренным атакам с помощью вредоносных программ типа "Троянский конь", которые имитируют входящих клиентов и используют их учетные данные для получения доступа к сетевым ресурсам. | BUILTIN\Administrators |
Force shutdown from a remote system (Принудительное удаленное завершение работы) | Этот параметр безопасности определяет, каким пользователям разрешено удаленное завершение работы компьютера. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании. Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. | BUILTIN\Administrators |
Generate security audits (Создание аудитов безопасности) | Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности". Дополнительные сведения см. в разделе "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности" | NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE |
Impersonate a client after authentication (Имитация клиента после проверки подлинности) | Выдача пользователю этой привилегии позволяет программам, выполняемым от имени этого пользователя, олицетворять клиента. Требование этого права для подобного олицетворения не позволяет неавторизованному пользователю убедить клиента подключиться (например, через вызов удаленной процедуры (RPC) или именованные каналы) к созданной им службе, а затем олицетворить клиента, что даст возможность повысить его полномочия до административного или системного уровня. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям. Примечание. По умолчанию к токенам доступа служб, запущенных диспетчером управления службами, добавляется встроенная группа "Служба". Встроенная группа "Служба" также добавляется к токенам доступа COM-серверов, запущенных COM-инфраструктурой и настроенных на выполнение под определенной учетной записью. Поэтому данные службы получают это пользовательское право при запуске. Кроме того, пользователь может олицетворять токен доступа и при выполнении любого из следующих условий. Олицетворяемый токен доступа назначен данному пользователю. Дополнительные сведения можно найти поиском Внимание! Включение этого параметра может привести к потере привилегии "Олицетворять" программами, имеющим эту привилегию, и заблокировать их выполнение. | BUILTIN\Administrators, NT AUTHORITY\SERVICE |
Increase scheduling priority (Увеличение приоритета выполнения) | Этот параметр безопасности определяет, какие учетные записи могут использовать процесс, имеющий право доступа "Запись свойства" для другого процесса, для повышения приоритета выполнения, назначенного другому процессу. Пользователь, имеющий данную привилегию, может изменять приоритет выполнения процесса через пользовательский интерфейс диспетчера задач. | BUILTIN\Administrators |
Load and unload device drivers (Загрузка и выгрузка драйверов устройств) | Это право пользователя определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug and Play. Не рекомендуется назначать эту привилегию другим пользователям. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой. | BUILTIN\Administrators |
Lock pages in memory (Блокировка страниц в памяти) | Этот параметр безопасности определяет, какие учетные записи могут использовать процессы для сохранения данных в физической памяти для предотвращения сброса этих данных в виртуальную память на диске. Применение этой привилегии может существенно повлиять на производительность системы, снижая объем доступной оперативной памяти (RAM). | Не заполняется |
Log on as a batch job (Вход в качестве пакетного задания) | Этот параметр безопасности позволяет пользователю входить в систему при помощи средства, использующего очередь пакетных заданий, и предоставляется только для совместимости с предыдущими версиями Windows. Например, если пользователь передает задание при помощи планировщика заданий, последний регистрирует этого пользователя в системе как пользователя с пакетным входом, а не как интерактивного пользователя. | BUILTIN\Administrators |
Manage auditing and security log (Управлять аудитом и журналом безопасности) | Этот параметр безопасности определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Данный параметр безопасности не разрешает пользователю включить аудит доступа к файлам и объектам в целом. Для включения такого аудита нужно настроить параметр доступа к объекту "Аудит" в пути "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политики аудита". События аудита можно просмотреть в журнале безопасности средства просмотра событий. Пользователь с данной привилегией может также просматривать и очищать журнал безопасности. | BUILTIN\Administrators |
Modify an object label (Изменение метки объекта) | Эта привилегия определяет, каким учетным записям пользователей разрешается изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, владельцами которых являются другие пользователи. Процессы, выполняющиеся под учетной записью пользователя, без этой привилегии могут понижать уровень метки объекта, владельцем которого является данный пользователь. | Не заполняется |
Modify firmware environment values (Изменение параметров среды изготовителя) | Этот параметр безопасности определяет, кто может изменять значения параметров аппаратной среды. Переменные аппаратной среды - это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86. Действие параметра зависит от процессора. На компьютерах архитектуры x86 единственное значение аппаратной среды, которое можно изменить назначением данного права пользователя, - это параметр "Последняя удачная конфигурация", который должен изменяться только системой. Примечание. Этот параметр безопасности не влияет на пользователей, которые могут изменять системные и пользовательские переменные среды, отображаемые на вкладке "Дополнительно" диалогового окна свойств системы. Сведения о том, как изменять эти переменные, см. в разделе "Добавление или изменение значения переменных среды". | BUILTIN\Administrators |
Perform volume maintenance tasks (Выполнение задач по обслуживанию томов) | Этот параметр безопасности определяет пользователей и группы, которые могут выполнять задачи по обслуживанию томов, например, удаленную дефрагментацию. При назначении этого права пользователя следует соблюдать осторожность. Пользователи, имеющие данное право, могут просматривать диски и добавлять файлы в память, занятую другими данными. После открытия дополнительных файлов пользователь может читать изменять запрошенные данные. | BUILTIN\Administrators |
Profile single process (Профилирование одного процесса) | Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов. | BUILTIN\Administrators |
Profile system performance (Профилирование производительности системы) | Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности системных процессов. | BUILTIN\Administrators |
Replace a process level token (Замена маркеров уровня процесса) | Этот параметр безопасности определяет учетные записи пользователей, которые могут вызывать процедуру API-интерфейса CreateProcessAsUser() для того, чтобы одна служба могла запускать другую. Планировщик заданий - это пример процесса, использующего данное право пользователя. Сведения о планировщике заданий см. в обзоре "Планировщик заданий". | NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE |
Restore files and directories (Восстановление файлов и каталогов) | Этот параметр безопасности определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении архивных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта. В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе: Обзор папок/Выполнение файлов Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Так как оно дает возможность перезаписывать параметры реестра, скрывать данные и получать во владение системные объекты, назначать его следует только доверенным пользователям. | BUILTIN\Administrators |
Shut down the system (Завершение работы системы) | Этот параметр безопасности определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды "Завершить работу". Неправильное применение этого права пользователя может стать причиной отказа в обслуживании. | BUILTIN\Administrators |
Take ownership of files or other objects (Смена владельцев файлов и других объектов) | Этот параметр безопасности определяет пользователей, которые могут стать владельцем любого защищаемого объекта системы, в том числе: объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Так как объекты полностью контролируются их владельцами, назначать данное право следует только доверенным пользователям. | BUILTIN\Administrators |
...