Архивирование файлов и каталогов
Описание
Это право пользователя определяет, какие пользователи могут архивировать содержимое системы, невзирая на имеющиеся разрешения для файлов, каталогов, реестра и других объектов.
Эта привилегия эквивалентна предоставлению указанным пользователям и группам следующих разрешений на доступ ко всем файлам и папкам системы:
• |
Обзор папок / Выполнение файлов |
• |
Содержание папки / Чтение данных |
• |
Чтение атрибутов |
• |
Чтение дополнительных атрибутов |
• |
Чтение разрешений |
Внимание!
• |
Предоставление этого права пользователю может быть связано с риском для безопасности. Назначайте это право только надежным пользователям, чтобы исключить возможность хищения или копирования данных для их распространения. |
По умолчанию: «Администраторы» и «Операторы архива».
Почему появляются риски безопасности? Да просто если у злоумышленника и нет разрешений на работы с некими файлами, но есть право архивирования файлов и каталогов, он может преспокойно заархивировать интересующую его информацию, перенести на другой ПК и далее сделать с ней все, что ему заблагорассудиться. Так вот.
Изменение системного времени
Описание
Это право пользователя определяет, какие пользователи и группы могут изменять время и дату на встроенных часах компьютера. Пользователи, обладающие данным правом, могут изменять представление журналов безопасности. При изменении системного времени события будут заноситься в журнал с указанием измененного, а не реального времени.
Данное право пользователя определено в объекте групповой политики стандартного контроллера домена, а также в локальной политике безопасности рабочих станций и серверов.
По умолчанию
• |
На рабочих станциях и серверах:
• |
Администраторы |
• |
Опытные пользователи |
|
• |
На контроллерах домена:
• |
Администраторы |
• |
Операторы сервера |
|
Отказ в доступе к компьютеру из сети
Описание
Эта настройка безопасности определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику Доступ к компьютеру из сети, если учетная запись пользователя контролируется обеими политиками.
По умолчанию: Не определена.
Как видно из описания, данная политика имеет более высокий приоритет, чем политика «Доступ компьютера из сети», так что манипулировать ей нужно с особой осторожностью.
Запрещение локального входа
Описание
Эта настройка безопасности определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику Локальный вход в систему, если учетная запись пользователя контролируется обеими политиками.
Внимание!
• |
Применение этой политики безопасности к группе «Все» сделает невозможным локальный вход в систему. |
По умолчанию Отсутствуют.
Запрещение входа в систему через службы терминалов
Описание
Этот параметр безопасности определяет, каким пользователям и группам запрещается входить в систему в качестве клиента служб терминалов.
По умолчанию: не установлен.
Принудительное удаленное завершение работы
Описание
Этот параметр безопасности определяет, каким пользователям разрешено завершать работу компьютера из удаленного узла сети. Неверное использование этого права пользователя может привести к атаке на службу.
Данное право пользователя определено в объекте групповой политики стандартного контроллера домена, а также в локальной политике безопасности рабочих станций и серверов.
По умолчанию
• |
На рабочих станциях и серверах: «Администраторы». |
• |
На контроллерах домена: «Администраторы», «Операторы сервера». |
Создание журналов безопасности
Описание
Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания попыток несанкционированного доступа в систему. Неправильное использование этого права может привести к созданию множества событий аудита, что позволит скрыть следы атаки или вызвать отказ в обслуживании, если включен параметр Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности политики безопасности..
По умолчанию: «Локальная система».
Восстановление файлов и каталогов
Описание
Этот параметр безопасности определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также назначать любого действительного участника безопасности владельцем объекта.
Эта привилегия эквивалентна предоставлению указанным пользователям и группам следующих разрешений на доступ ко всем файлам и папкам системы.
• |
Обзор папок / Выполнение файлов |
• |
Запись |
Внимание!
• |
Предоставление этого права пользователя может быть связано с риском для безопасности. Назначайте это право только надежным пользователям, так как оно позволяет изменять параметры реестра, скрывать данные и получать право владения системными объектами. |
По умолчанию
• |
Рабочие станции и серверы: «Администраторы», «Операторы архива». |
Предоставление этого права пользователям влечет примерно такие же риски, что и предоставление права «Архивирование файлов и каталогов».
Завершение работы системы
Описание
Этот параметр безопасности определяет, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы с помощью команды Завершение работы. Неверное использование этого права пользователя может привести к атаке на службу.
По умолчанию
• |
Рабочие станции: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи». |
Смена владельца файлов или иных объектов
Описание
Этот параметр безопасности определяет, какие пользователи могут становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков.
Внимание!
• |
Предоставление этого права пользователя может быть связано с риском для безопасности. Предоставляйте данное право только надежным пользователям, так как владельцы объектов получают полный контроль над ними. |
По умолчанию администраторы.
Риски безопасности связаны с тем, что в случае наличия у пользователя данного права, он может получить доступ к файлам и папкам даже в том случае, когда доступ к данным ему запрещен. В таком случае пользователь просто становиться владельцем и автоматически получает полные права на нужные файлы и папки.
|