Работа в режиме операционной системы Act as part of the operating system

Область применения Applies to

В этой статье описываются практические советы, расположение, значения, **** управление политиками и вопросы безопасности для Закона в рамках параметра политики безопасности операционной системы. Describes the best practices, location, values, policy management, and security considerations for the Act as part of the operating system security policy setting.

Справочные материалы Reference

Действие в качестве части параметра политики операционной системы определяет, может ли процесс считать удостоверение любого пользователя и, таким образом, получить доступ к ресурсам, к которые пользователь имеет право доступа. The Act as part of the operating system policy setting determines whether a process can assume the identity of any user and thereby gain access to the resources that the user is authorized to access. Обычно это право пользователя требуется только низкоуровневой службе проверки подлинности. Typically, only low-level authentication services require this user right. Потенциальный доступ не ограничивается тем, что по умолчанию связано с пользователем. Potential access is not limited to what is associated with the user by default. Процесс вызова может запросить, чтобы в маркер доступа были добавлены произвольные дополнительные привилегии. The calling process may request that arbitrary additional privileges be added to the access token. Процесс вызова также может создать маркер доступа, который не предоставляет основное удостоверение для аудита в журналах системных событий. The calling process may also build an access token that does not provide a primary identity for auditing in the system event logs. Константа: SeTcbPrivilege Constant: SeTcbPrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Не определено Not defined

Рекомендации Best practices

• Не назначать это право учетным записям пользователей. Do not assign this right to any user accounts. Назначьте это право только доверенным пользователям. Only assign this user right to trusted users.
• Если службе требуется это право пользователя, настройте службу для входа с помощью локальной системной учетной записи, которая изначально включает это право пользователя. If a service requires this user right, configure the service to log on by using the local System account, which inherently includes this user right. Не создавайте отдельную учетную запись и не назначайте этому пользователю право на нее. Do not create a separate account and assign this user right to it.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy	Не определено Not defined
Политика контроллера домена по умолчанию Default domain controller policy	Не определено Not defined
Параметры по умолчанию для отдельного сервера Stand-alone server default settings	Не определено Not defined
Параметры по умолчанию для контроллера домена Domain controller effective default settings	Не определено Not defined
Эффективные параметры по умолчанию для серверов-членов Member server effective default settings	Не определено Not defined
Параметры по умолчанию для клиентского компьютера Client computer effective default settings	Не определено Not defined

Управление политикой Policy management

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Действие как часть права пользователя операционной системы является очень мощным. The Act as part of the operating system user right is extremely powerful. Пользователи с этим правом могут полностью управлять устройством и стирая свидетельства своей деятельности. Users with this user right can take complete control of the device and erase evidence of their activities.

Противодействие Countermeasure

Ограничите действие как часть права пользователя операционной системы на максимально возможное количество учетных записей— его даже не следует на назначенную группу администраторов при типичных обстоятельствах. Restrict the Act as part of the operating system user right to as few accounts as possible—it should not even be assigned to the Administrators group under typical circumstances. Если службе требуется это право пользователя, настройте службу для входа с помощью учетной записи Local System, которая изначально включает эту привилегию. When a service requires this user right, configure the service to log on with the Local System account, which inherently includes this privilege. Не создавайте отдельную учетную запись и не назначайте этому пользователю право на нее. Do not create a separate account and assign this user right to it.

Возможное влияние Potential impact

Это должно иметь небольшое **** влияние, так как закон как часть права пользователя операционной системы редко требуется учетным записям, кроме учетной записи local System. There should be little or no impact because the Act as part of the operating system user right is rarely needed by any accounts other than the Local System account.

Пробуем Windows Embedded Standard 7 — версию Windows 7, которая будет получать обновления еще год

Последнее время среди пользователей Windows 7 царит уныние и расстройство, ведь с 14 января 2020 года Microsoft прекратит ее поддержку. Неплохая операционная система была, но всему свое время, надо давать дорогу молодым.
Windows 7 начала свой путь 22 октября 2009 года, то есть к 14 января 2020 будет уже больше 10 лет.

реклама

Что же делать тем пользователям, кто по тем или иным причинам не хочет уходить с Windows 7 на новую и продвинутую Windows 10? Ведь завершение поддержки — это смерть ОС. За год там накопится столько незакрытых уязвимостей, что пользоваться ею будет крайне опасно.

У меня есть старый ноутбук, Windows 7 для которого подходит гораздо лучше, чем Windows 10. Поэтому я тоже озаботился вопросом завершения поддержки Windows 7 и стал искать выход.

И выход нашелся, пусть и довольно неожиданный. Одна из редакций Windows 7, а именно — Windows Embedded Standard 7, будет получать обновления до 13 октября 2020 года, то есть еще больше года.

реклама

А ее редакции в виде Windows Embedded POSReady 7 и Windows Embedded Compact 7, будут получать обновления до 12 октября 2021 года и 13 апреля 2021 года соответственно.

Что же это за зверь такой — Windows Embedded и почему о нем мало кто слышал?

Microsoft Windows Embedded — семейство встраиваемых операционных систем Microsoft Windows для применения в специализированных устройствах. Существует несколько категорий продуктов для создания широкого спектра устройств, начиная от простых контроллеров реального времени и заканчивая POS-системами, такими как киоск самообслуживания или кассовый аппарат и промышленными системами. Windows Embedded доступна через специализированных дистрибьюторов Microsoft и должна поставляться конечному потребителю только вместе с устройством. Отличается более выгодной ценой по сравнению с настольными версиями, возможностями блокировки образа (Lockdown), продленным сроком доступности и продажи (до 15-ти лет).

Добавлю, что Windows Embedded еще и потребляет ресурсов меньше, чем обычная Windows 7, поэтому для слабых ноутбуков это то, что доктор прописал.

Неудивительно, что домашний пользователь никогда не слышал про нее. К счастью — отличия Windows Embedded Standard 7 от Windows 7 Professional небольшие, а трудности установки, русификации и обновления я сейчас вам подробно объясню.

Я не буду скачивать образ Windows Embedded Standard 7 с торрент трекера, так как это пиратство и в сборках от дяди Васи может быть что угодно: и троян, и майнер, которые не будут видеть антивирусы.

Поэтому идем на сайт Microsoft по ссылке и нажимаем «Download».

реклама

Сайт предложит несколько частей архива, выбирайте нужную вам разрядность галочками и скачивайте.

После скачивания, в папке загрузки будут лежать несколько частей архива.

Щелкайте по первой части архива и он распакуется в iso файл.

реклама

Теперь надо воспользоваться программами UltraISO или Rufus и записать образ на флешку.

Вот содержимое образа.

Но не торопитесь извлекать флешку! Надо сразу добавить и файл русификации.
Его тоже скачиваем с сайта Microsoft по ссылке.

Жмите «Download», в открывшемся списке выбирайте нужный язык галочкой.

Все готово к установке.

Меню установки отличается от такового у Windows 7 Professional, но каждый, кто хоть раз устанавливал Windows 7 — легко разберется.

Тут выбираем первый пункт.

Выбираем язык.

Далее идет установка. На мой старый ноутбук с медленным HDD устанавливалась довольно долго.

Стартовое окно отличается от обычной Windows 7.

Смотрим, что получилось.

Вот окно свойств системы и диспетчер задач. Памяти ест совсем немного. Пробный период равен 30 дням. Его можно законно продлить до 120 или 180 дней.

Теперь перейдем к русификации. Открываем панель управления.

Выбираем место хранения файла с языком.

Теперь надо включить файл подкачки, он по умолчанию отключен. Как и гибернация. Не придется вводить знакомые до боли powercfg -h off

Далее я опробовал обновление с помощью UpdatePack7R2 от simplix. Все прекрасно обновляется.

Но на таком медленном железе процесс длится очень долго, несколько часов, гораздо быстрее интегрировать UpdatePack7R2 в образ Windows.

После вышеописанных манипуляций мы имеем практически обычный Windows 7, но более шустрый и занимающий меньше места на жестком диске. И о поддержке обновлениями можно не беспокоиться еще больше года.

Я оставлю его у себя на ноутбуке и рекомендую вам попробовать.

Сокращения в прайс-листе

Пример обозначения продукта в прайс-листе Microsoft

OfficeProPlus ALNG LicSAPk OLV NL 1Y Aq Y1 Pltfrm

Языковая версия All Language

Оплата за 1 год

Заказано в первый год (Y1) действия соглашения (⅓L+1yr SA)

Платформа Company-Wide (-15% скидка на заказы)

Список сокращений в прайс-листе Microsoft

Типичные сокращения в поле «Наименование продукта»:

Расшифровка

Перевод

чаще всего 1 клиентская лицензия

32-bit Win и 64-bit Win

32-х и 64-х битные

A (после названия программы)

Acquired year 1

Приобретается в первый год действия соглашения

Acquired year 2

Приобретается во второй год действия соглашения

Acquired year 3

Приобретается в третий год действия соглашения

Лицензии для образовательных учреждений

Все языковые версии

B (после названия программы)

C (после названия программы)

Client Access License

Central Eastern Europe

Регион Центральной и Восточной Европы

Client (например, SQLSvrWkgrp 2008 SNGL OLP C 5Clts)

Core Infrastructure Server

Лицензия для некоторых серверов

Client Management License

Клиентская лицензия на

Configuration Management License

Клиентская лицензия для некоторых серверов (например, для System Management Server)

Полный комплект носителей

Connector (например, “Project External Connector”)

чаще всего лицензия для доступа внешних пользователей

Наборы языковых версий (чешский, вергерский, польский, русский)

D (после названия программы)

Например, 120 Day, 180 Day

Срок действия версий для тестирования (в днях)

Designer (Office SharePoint Designer)

Device (например, Device CAL)

Клиентская лицензия на устройство

Платформа для трёхлетних соглашений версий 6.6 и ранее

Пакет лицензий клиентского доступа Enterprise

European Union/ European Free Trade Area

Европейский Союз/Европейская Ассоциация Свободной Торговли

Клиентская лицензия для доступа внешних пользователей

Название линейки продуктов

Get Genuine Solution

Решение по легализации для малых и средних организаций

Get Genuine Windows Agreement for Large Organizations

Решение по легализации для больших корпоративных заказчиков

Для государственных учреждений

Версия для 64-битных серверов Itanium

Independent Software Vendor

Независимый разработчик программного обеспечения

License/Software Assurance Pack

Лицензия с Software Assurance

Live Communications Server

Management (например, “Windows Rights Management Services”)

Лицензии на управление

Monthly Subscriptions-Volume License

Microsoft Desktop Optimization Pack

Microsoft Licensing Fulfillment

Multiple Users License

Языковая версия, позволяющая переключать интерфейс продукта

Microsoft Volume License

Принадлежность к программам корпоративного лицензирования

NL (после названия программы)

Уровень No Level

non-European Union/ European Free Trade Area

Не для поставки в Европейский Союз /Европейскую Ассоциацию Свободной Торговли

Office Communications Server

Original Equipment Manufacturer

Open License Program

Microsoft Open License

Microsoft Open Value

Pack (например, “Upgrade/Software Assurance Pack”)

Чаще всего обозначает комплект лицензий (например, лицензия + Software Assurance)

На операционную среду

Предустановленный на ПК

Продукт (очень редко)

Лицензия «на процессор»

Чаще всего означает, что достаточно 1 лицензии для размещения заказа по программе Open Business

Новая версия продукта

При продлении Software Assurance

Лицензии, позволяющие сдавать в аренду определённые продукты

Right (например, Rental Rights или Windows Rights Management Services)

Subscriber Access License

Используются в программе SPLA

Small Business Edition

Версия для малого бизнеса

Одна языковая версия

Software Assurance Step Up

Право льготного перехода с более низкой редакции продукта на более высокую

Версия ПО для тестирования

Threat Management Gateway

Ранее ISA Server

50% скидка на первый платеж при наличии лицензий на текущие или предыдущие версии в программе OVS

Клиентские лицензии на пользователя

Virtual Desktop Infrastructure

Virtual Machine Manager

Например “w/1 ProjectSvr CAL”

Означает, что данная позиция включает 1 клиентскую лицензию для Project Server

Лицензии для работы дома

Расшифровка наименований позиций в прайс-листе Microsoft

Поля Item Name или Part Description используются для описания позиций в прайс-листе и состоят из набора сокращений, описывающих характеристики данной позиции.

Product Family

Семейство продуктов

Определяет общее название продукта

Version

Версия

Указывает на конкретную версию продукта

Operating System

Операционная система

Указывает, для какой операционной системы разработан продукт

Language

Языковая версия

Product Type

Тип продукта

Определяет тип лицензии в соответствии с условиями программы лицензирования

Media / Media Format

Тип носителя

Определяет носитель дистрибутив (CD, DVD)

Product Distribution Type

Целевая аудитория (сфера распространения)

Чаще всего квалифицирует тип заказчика, который может приобрести продукт

License Type

Тип лицензии

Чаще всего определяет программу лицензирования

Volume Level

Уровень скидки

Обозначает минимальный размер заказа и уровень цен (размер скидки) для заказчиков корпоративных лицензий. Аналогично полю Program Level.

Purchase Period

Момент приобретения

Определяет момент времени в течение срока действия соглашения, в который производится закупка

Processor

Процессор

Для продуктов, для которых количество процессоров важно для определения конфигурации и стоимости, указывает на лицензирование «на процессор»

Upgrade From

Обновление с

Указывает, с каких продуктов, версий или редакций можно сделать обновление. В программах корпоративного лицензирования чаще всего используется для лицензий SA Step Up и указывает, с какой редакции продукта можно осуществить переход

Client Limit

Ограничение по количеству клиетских подключений

Для серверных продуктов определяет количество пользователей, которые обращаются к серверу одновременно, и могут поддерживаться этим продуктом

Offering

Тип продукта

Позволяет выделить типы продуктов для определения стоимости (например, базовые и дополнительные продукты)

Secondary License Type

Дополнительная информация о типе лицензии

Price / Name Differentiators

Ценовой/именной дифференциатор

Используется для дальнейшего разграничения разных позиций в прайс-листе

Расшифровка обозначения Part Description в прайс-листе Microsoft

Ниже приведен список очень похожих позиций, которые, однако, можно понять, используя информацию выше. Большинство позиций отличаются по продукту или типу лицензии, но базовые правила не меняются.

Item Name или Part Description

Product Type

License Type

Volume Level

Duration

Access RUS CmprhnsvKit MVL CD

Microsoft Volume License

Non-specific

Non-specific

Access RUS LicSAPk OLP C

License/Software Assurance Pack

OPEN

Level C

Non-specific

Access RUS LicSAPk OLP NL

License/Software Assurance Pack

OPEN

No Level

Non-specific

Access RUS LicSAPk OLV NL 1Y Aq Y1 AP

License/Software Assurance Pack

Open Value

No Level

1 Year

Access RUS LicSAPk OLV NL 1Y Aq Y3 AP

License/Software Assurance Pack

Open Value

No Level

1 Year

Access RUS SA OLP NL

OPEN

No Level

Non-specific

Access RUS SA OLP C

OPEN

Level C

Non-specific

Access RUS SA OLV NL 1Y Aq Y2 AP

Open Value

No Level

1 Year

Access RUS SA OLV NL 1Y Aq Y3 AP

Open Value

No Level

1 Year

Access RUS SA OLV C 3YR Aq Y1 AP

Open Value

Level C

3 Year

Access 2007 RUS OLP NL

OPEN

No Level

Non-specific

Мы получаем и обрабатываем персональные данные посетителей нашего сайта в соответствии с официальной политикой. Если вы не даете согласия на обработку своих персональных данных,вам необходимо покинуть наш сайт.