关闭系统 - 安全策略设置
04/19/2017
本文内容
适用范围
Windows 10
介绍"关闭系统安全策略"设置的最佳方案、位置、值、策略管理和安全注意事项。 ****
参考
此安全设置确定本地登录到设备的用户能否关闭 Windows。
关闭域控制器会使他们无法执行处理登录请求、处理组策略设置和应答 LDAP 查询中的轻型目录 (协议) 操作。 关闭分配了操作主角色的域控制器(也称为灵活的单个主操作或 FSMO 角色)可以禁用关键域功能。 例如,处理新密码的登录请求,这些请求由 PDC (主域控制器) 仿真器主机。
需要"关闭系统用户"权限才能启用休眠支持、设置电源管理设置以及取消关机。
常量:SeShutdownPrivilege
可能值
用户定义的帐户列表
默认值
未定义
最佳做法
确保只有管理员和备份操作员在成员服务器上具有"关闭 系统 用户"权限。 只有管理员才拥有域控制器上的用户权限。 删除这些默认组可能会限制分配给环境中特定管理角色的用户的能力。 确保他们的委派任务不会受到负面影响。
关闭域控制器的能力应限制为少数受信任管理员。 即使系统关闭需要登录到服务器的能力,也应谨慎处理允许关闭域控制器的帐户和组。
位置
计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
默认值
默认情况下,此设置为域控制器上的管理员、备份运算符、服务器运算符和打印运算符,以及独立服务器上管理员和备份运算符。
下表列出了最新受支持的 Windows 版本的实际和有效默认策略值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
管理员
备份运算符
服务器运算符
打印运算符
Stand-Alone服务器默认设置
管理员
备份运算符
域控制器有效默认设置
管理员
备份运算符
服务器运算符
打印运算符
成员服务器有效默认设置
管理员
备份运算符
客户端计算机有效默认设置
管理员
备份运算符
用户
策略管理
本节介绍可帮助您管理此策略的功能、工具和指南。
此策略设置生效不需要重新启动计算机。
对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。
组策略
此用户权限与从远程系统强制 关闭没有相同的效果。 有关详细信息,请参阅强制 从远程系统关闭。
设置按以下顺序通过组策略对象 (GPO) ,这将在下次组策略更新时覆盖本地计算机的设置:
本地策略设置
站点策略设置
域策略设置
OU 策略设置
当本地设置显示为灰色时,它表示 GPO 当前控制该设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
关闭域控制器的能力应限制为少数受信任管理员。 尽管 "关闭系统 用户"权限要求能够登录到服务器,但应谨慎使用允许关闭域控制器的帐户和组。
当域控制器关闭时,它无法处理登录请求、处理组策略设置和应答 LDAP 中的轻型目录访问 (LDAP) 查询。 如果关闭具有操作主机角色的域控制器,可以禁用关键域功能,例如处理新密码的登录请求,这些请求由 PDC 主控器执行。
对于其他服务器角色,尤其是非管理员有权登录到服务器的角色(如 RD 会话主机服务器)来说,从没有合理理由重新启动服务器的用户中删除此用户权限至关重要。
对策
确保仅向 Administrators 和 Backup Operators 组分配成员服务器上"关闭 系统 用户"权限。 并确保在域控制器上仅管理员组用户权限。
潜在影响
从"关闭系统用户"权限中删除这些默认**** 组的影响可能会限制环境中已分配角色的委派能力。 确认委派的活动没有受到负面影响。
相关文章