- Artikel
- 10/28/2021
- 2 minuten te lezen
-
-
D -
S -
V -
g -
J -
+1
-
geldt voor
- Vensters 10
beschrijft de beste praktijken, locatie, waarden, beleidsbeheer en beveiligingsoverwegingen voor het forceren van het afsluiten van een externe beleidsinstelling voor systeembeveiliging.
referentie
deze beveiligingsinstelling bepaalt welke gebruikers een apparaat mogen afsluiten vanaf een externe locatie in het netwerk. Met deze instelling kunnen leden van de groep Administrators of specifieke gebruikers computers (voor taken zoals een herstart) vanaf een externe locatie beheren.
Constant: SeRemoteShutdownPrivilege
mogelijke waarden
- door de gebruiker gedefinieerde lijst van accounts
- Administrators
Best practices
- beperken dit gebruikersrecht expliciet tot leden van de groep Administrators of andere toegewezen rollen die deze mogelijkheid vereisen, zoals niet-administratief personeel.
locatie
Computerconfiguratie \ Windows-instellingen \ Beveiligingsinstellingen \ Lokaal beleid \ toewijzing van gebruikersrechten
standaardwaarden
standaard is deze instelling beheerders en Serveroperators op domeincontrollers en beheerders op zelfstandige servers.
de volgende tabel toont de actuele en effectieve standaard beleidswaarden voor de meest recente ondersteunde versies van Windows. Standaardwaarden worden ook vermeld op de eigenschappenpagina van het beleid.
| type Server of GPO | Default waarde |
|---|---|
| Default Domain Policy | Niet gedefinieerd |
| Standaard Domeincontroller Beleid | Beheerders Server Operators |
| Stand-Alone Server, Standaard Instellingen | Beheerders |
| Domein Controller Effectief Standaard Instellingen | Beheerders Server Operators |
| Lid Server Effectieve Standaard Instellingen | Beheerders |
| client Computer effectieve standaardinstellingen | beheerders |
beleidsbeheer
in deze sectie worden functies, hulpmiddelen en richtlijnen beschreven om u te helpen dit beleid te beheren.
de computer opnieuw opstarten is niet vereist om deze beleidsinstelling effectief te maken.
elke wijziging in de toewijzing van gebruikersrechten voor een account wordt van kracht de volgende keer dat de eigenaar van het account zich aanmeldt.
deze beleidsinstelling moet worden toegepast op de computer waartoe extern toegang wordt verkregen.
Groepsbeleid
dit gebruikersrecht is gedefinieerd in het groepsbeleidsobject voor Standaarddomeincontrollers en in het lokale beveiligingsbeleid van werkstations en servers.
instellingen worden in de volgende volgorde toegepast via een groepsbeleidsobject, dat de instellingen op de lokale computer overschrijft bij de volgende update van het groepsbeleid:
- lokale beleidsinstellingen
- Sitebeleidsinstellingen
- Domeinbeleidsinstellingen
- OU-beleidsinstellingen
wanneer een lokale instelling grijs is weergegeven, geeft dit aan dat een groepsbeleidsobject die instelling momenteel controleert.
veiligheidsoverwegingen
deze paragraaf beschrijft hoe een aanvaller een functie of zijn configuratie kan exploiteren, hoe de tegenmaatregel te implementeren en de mogelijke negatieve gevolgen van de tegenmaatregel implementatie.
kwetsbaarheid
elke gebruiker die een apparaat kan afsluiten, kan een denial-of-service-toestand veroorzaken. Daarom moet dit gebruikersrecht strikt worden beperkt.
tegenmaatregel
Beperk het forceren van het afsluiten van een extern systeemgebruikersrecht tot leden van de groep Administrators of andere toegewezen rollen die deze mogelijkheid vereisen, zoals niet-administratief personeel.
potentiële impact
op een domeincontroller, als u de gedwongen uitschakeling van een extern systeemgebruikersrecht uit de Serveroperatorgroep verwijdert, kunt u de mogelijkheden beperken van gebruikers die zijn toegewezen aan specifieke beheerfuncties in uw omgeving. Bevestigen dat gedelegeerde activiteiten niet negatief worden beïnvloed.
- Toewijzing Van Gebruikersrechten