windows10系统作为服务器,作为Windows10(操作系统的一)Windowssecurity|MicrosoftDocs...

作为操作系统的一部分运行

04/19/2017

本文内容

适用范围

Windows 10

介绍作为操作系统安全策略设置的一部分的 Act 的最佳实践、位置、值、策略管理和**** 安全注意事项。

参考

作为操作系统策略设置的一部分的"操作"确定进程是否可以假定任何用户的标识&＃xff0c;从而获取用户有权访问的资源的访问权限。 通常&＃xff0c;只有低级别身份验证服务才需要此用户权限。 默认情况下&＃xff0c;潜在访问权限并不限于与用户关联的对象。 调用过程可能会请求将任意附加权限添加到访问令牌。 调用过程还可以构建一个访问令牌&＃xff0c;该令牌不提供用于系统事件日志中审核的主标识。

常量&＃xff1a;SeTcbPrivilege

可能值

用户定义的帐户列表

未定义

最佳做法

不要向任何用户帐户分配此权限。 仅向受信任的用户分配此用户权限。

如果服务需要此用户权限&＃xff0c;请配置该服务以使用本地系统帐户登录&＃xff0c;该帐户本身包含此用户权限。 不要创建单独的帐户&＃xff0c;并为其分配此用户权限。

位置

计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

默认值

下表列出了最新受支持的 Windows 版本的实际和有效默认策略值。 默认值也会列在策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

未定义

独立服务器默认设置

未定义

域控制器有效默认设置

未定义

成员服务器有效默认设置

未定义

客户端计算机有效的默认设置

未定义

策略管理

此策略设置生效不需要重新启动设备。

对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。

组策略

设置按以下顺序通过组策略对象 (GPO) &＃xff0c;这将在下次组策略更新时覆盖本地计算机的设置&＃xff1a;

本地策略设置

站点策略设置

域策略设置

OU 策略设置

当本地设置显示为灰色时&＃xff0c;它表示 GPO 当前控制该设置。

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置&＃xff0c;如何实施对策&＃xff0c;以及对策实施可能产生的负面后果。

漏洞

作为操作系统用户权限一部分的Act 功能非常强大。 具有此用户权限的用户可以完全控制设备并清除其活动的证据。

对策

将 Act 作为操作系统 用户权限的一部分限制为尽可能少的帐户&＃xff0c; 甚至不应将其分配给管理员组用户。 当服务需要此用户权限时&＃xff0c;配置该服务以使用本地系统帐户登录&＃xff0c;该帐户本身包含此权限。 不要创建单独的帐户&＃xff0c;并为其分配此用户权限。

潜在影响

应该不会产生任何影响&＃xff0c;因为除本地**** 系统帐户外的任何帐户很少需要作为操作系统用户权限的一部分。

相关主题