Windows security manager service

The startup of this service signals other services that the Security Accounts Manager (SAM) is ready to accept requests. Disabling this service will prevent other services in the system from being notified when the SAM is ready, which may in turn cause those services to fail to start correctly. This service should not be disabled.

This service also exists in Windows 10, 8, Vista and XP.

Startup Type

Windows 7 edition	without SP	SP1
Starter	Automatic	Automatic
Home Basic	Automatic	Automatic
Home Premium	Automatic	Automatic
Professional	Automatic	Automatic
Ultimate	Automatic	Automatic
Enterprise	Automatic	Automatic

Default Properties

Display name:	Security Accounts Manager
Service name:	SamSs
Type:	share
Path:	%WinDir%\system32\lsass.exe
Error control:	normal
Group:	MS_WindowsLocalValidation
Object:	LocalSystem

Default Behavior

The Security Accounts Manager service runs as LocalSystem in a shared process. It shares an executable file with other services. If the Security Accounts Manager fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the SamSs service has failed to start.

Dependencies

Security Accounts Manager will not start, if the Remote Procedure Call (RPC) service is stopped or disabled.

If the Security Accounts Manager is stopped, the following services will not start and initialize:

Restore Default Startup Type for Security Accounts Manager

Automated Restore

1. Select your Windows 7 edition and Service Pack, and then click on the Download button below.

2. Save the RestoreSecurityAccountsManagerWindows7.bat file to any folder on your hard drive.

3. Right-click the downloaded batch file and select Run as administrator.

Основы безопасности для Configuration Manager Fundamentals of security for Configuration Manager

Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)

В этой статье перечислены следующие основные компоненты безопасности любой среды Configuration Manager: This article summarizes the following fundamental security components of any Configuration Manager environment:

Уровни безопасности Security layers

Обеспечение безопасности для Configuration Manager включает несколько следующие уровни: Security for Configuration Manager consists of the following layers:

Безопасность сети и ОС Windows Windows OS and network security

Первый уровень обеспечивается функциями безопасности Windows для ОС и сети. The first layer is provided by Windows security features for both the OS and the network. Этот уровень включает в себя следующие компоненты: This layer includes the following components:

Общий доступ к файлам для передачи файлов между компонентами Configuration Manager File sharing to transfer files between Configuration Manager components

Списки управления доступом (ACL) для защиты файлов и разделов реестра Access Control Lists (ACLs) to help secure files and registry keys

Протокол IPsec для защиты обмена данными Internet Protocol Security (IPsec) to help secure communications

Групповая политика для настройки политики безопасности Group Policy to set security policy

Разрешения DCOM для распределенных приложений, таких как консоль Configuration Manager Distributed Component Object Model (DCOM) permissions for distributed applications, like the Configuration Manager console

Доменные службы Active Directory для хранения субъектов безопасности Active Directory Domain Services to store security principals

Безопасность учетной записи Windows, включая некоторые группы, создаваемые Configuration Manager в процессе установки Windows account security, including some groups that Configuration Manager creates during setup

Сетевая инфраструктура Network infrastructure

Дополнительные компоненты безопасности, например брандмауэры и системы обнаружения вторжений, помогают обеспечить защиту всей среды. Additional security components, like firewalls and intrusion detection, help provide defense for the whole environment. Сертификаты, изданные в стандартных реализациях инфраструктуры открытых ключей (PKI), обеспечивают проверку подлинности, подписание и шифрование. Certificates issued by industry standard public key infrastructure (PKI) implementations help provide authentication, signing, and encryption.

Средства безопасности Configuration Manager Configuration Manager security controls

В дополнение к функциям безопасности, предоставляемым Windows Server и сетевой инфраструктурой, Configuration Manager управляет доступом к своей консоли и ее ресурсам несколькими способами. In addition to security provided by the Windows server and network infrastructure, Configuration Manager controls access to its console and resources in several ways. По умолчанию только локальные администраторы имеют права в отношении файлов и разделов реестра, необходимых для запуска консоли Configuration Manager на компьютерах, где она установлена. By default, only local administrators have rights to the files and registry keys that the Configuration Manager console requires on computers where you install it.

Поставщик SMS SMS Provider

Следующий уровень безопасности основан на доступе через инструментарий управления Windows (WMI), в частности, это относится к поставщику SMS. The next layer of security is based on access through Windows Management Instrumentation (WMI), specifically the SMS Provider. Поставщик SMS — это компонент Configuration Manager, который предоставляет пользователю доступ для запроса информации из базы данных сайта. The SMS Provider is a Configuration Manager component that grants a user access to query the site database for information. К поставщику по умолчанию имеют доступ только члены локальной группы «Администраторы SMS». By default, access to the provider is restricted to members of the local SMS Admins group. Эта группа изначально содержит только пользователя, установившего Configuration Manager. This group at first contains only the user who installed Configuration Manager. Чтобы предоставить другим учетным записям разрешение на доступ к репозиторию CIM и поставщику SMS, следует добавить в группу «Администраторы SMS» другие учетные записи. To grant other accounts permission to the Common Information Model (CIM) repository and the SMS Provider, add the other accounts to the SMS Admins group.

С версии 1810 вы можете указать минимально необходимый уровень аутентификации для доступа администраторов к сайтам Configuration Manager. Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Эта функция позволяет настроить для администраторов требование входить в Windows с определенным уровнем. This feature enforces administrators to sign in to Windows with the required level.

Дополнительные сведения см. в разделе Планирование использования поставщика SMS. For more information, see Plan for the SMS Provider.

Разрешения базы данных сайта Site database permissions

Последний уровень безопасности – это разрешения для объектов в базе данных сайта. The final layer of security is based on permissions to objects in the site database. По умолчанию локальная системная учетная запись и учетная запись, используемая для установки Configuration Manager, имеют доступ к администрированию всех объектов в базе данных сайта. By default, the Local System account and the user account that you used to install Configuration Manager can administer all objects in the site database. Можно предоставлять и отменять разрешения для дополнительных административных пользователей в консоли Configuration Manager, используя ролевое администрирование. Grant and restrict permissions to additional administrative users in the Configuration Manager console by using role-based administration.

Администрирование на основе ролей Role-based administration

В Configuration Manager используется ролевое администрирование, позволяющее обеспечить безопасность таких объектов, как коллекции, развертывания и сайты. Configuration Manager uses role-based administration to help secure objects like collections, deployments, and sites. Эта модель администрирования централизованно определяет и управляет параметрами безопасности в масштабе иерархии для всех сайтов и параметров сайтов. This administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings.

Администраторы назначают роли безопасности административным пользователям и групповые разрешения. An administrator assigns security roles to administrative users and group permissions. Разрешения связаны с различными типами объектов Configuration Manager, например разрешения на создание и изменение параметров клиентов. The permissions are connected to different Configuration Manager object types, for example, to create or change client settings.

Области безопасности объединяют определенные экземпляры объектов, которыми должен управлять пользователь с правами администратора, например приложение, устанавливающее Приложения Microsoft 365. Security scopes group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft 365 Apps.

Сочетание ролей безопасности, областей безопасности и коллекций определяет объекты, которые пользователь с правами администратора может просматривать и которыми он может управлять. The combination of security roles, security scopes, and collections define the objects that an administrative user can view and manage. Configuration Manager устанавливает некоторые роли безопасности по умолчанию для типичных задач управления. Configuration Manager installs some default security roles for typical management tasks. Кроме того, вы можете создавать свои собственные роли безопасности, соответствующие определенным бизнес-требованиям. Create your own security roles to support your specific business requirements.

Обеспечение безопасности клиентских конечных точек Securing client endpoints

Configuration Manager защищает подключение клиентов к ролям системы сайта с помощью самозаверяющего или PKI-сертификата или токенов Azure Active Directory (Azure AD). Configuration Manager secures client communication to site system roles by using either self-signed or PKI certificates, or Azure Active Directory (Azure AD) tokens. Некоторые сценарии требуют использования PKI-сертификатов. Some scenarios require the use of PKI certificates. Например, управление клиентами в Интернет, а также клиенты мобильных устройств. For example, internet-based client management, and for mobile device clients.

Вы можете настроить для ролей систем сайта, к которым подключаются клиенты, протоколы HTTPS или HTTP. You can configure the site system roles to which clients connect for either HTTPS or HTTP client communication. Клиентские компьютеры всегда соединяются с использованием наиболее безопасного доступного метода. Client computers always communicate by using the most secure method that’s available. Менее защищенный метод применяется только в том случае, если имеются роли системы сайта, разрешающие соединения по протоколу HTTP. Client computers only fall back to using the less secure communication method if you have site systems roles that allow HTTP communication.

Дополнительные сведения см. в разделе Планирование безопасности. For more information, see Plan for security.

Учетные записи и группы Configuration Manager Configuration Manager accounts and groups

Configuration Manager использует учетную запись Local System для большинства операций с сайтом. Configuration Manager uses the Local System account for most site operations. Некоторые задачи управления могут потребовать создания и обслуживания дополнительных учетных записей. Some management tasks might require you to create and maintain additional accounts. Configuration Manager создает несколько групп по умолчанию, а также роли SQL Server при установке. Configuration Manager creates several default groups and SQL Server roles during setup. Возможно, вам понадобится вручную добавить учетные записи компьютеров или пользователей в эти группы и роли SQL Server по умолчанию. You might have to manually add computer or user accounts to the default groups and SQL Server roles.

Конфиденциальность Privacy

Перед развертыванием Configuration Manager следует рассмотреть требования к конфиденциальности. Before you implement Configuration Manager, consider your privacy requirements. Продукты для управления предприятием дают много преимуществ, позволяя эффективно управлять большим числом клиентов, но это программное обеспечение может повлиять на конфиденциальность пользователей в организации. Although enterprise management products offer many advantages because they can effectively manage lots of clients, this software might affect the privacy of users in your organization. Configuration Manager включает в себя много средств для сбора данных и наблюдения за устройствами. Configuration Manager includes many tools to collect data and monitor devices. По некоторым из них могут возникнуть вопросы, касающиеся соблюдения конфиденциальности в вашей организации. Some tools might raise privacy concerns in your organization.

Например, при установке клиента Configuration Manager многие параметры управления включены по умолчанию. For example, when you install the Configuration Manager client, it enables many management settings by default. В результате такой конфигурации клиентское программное обеспечение отправляет данные на сайт Configuration Manager. This configuration causes the client software to send information to the Configuration Manager site. Сайт сохраняет сведения клиента в базе данных сайта. The site stores client information in the site database. Сведения клиента не отправляется непосредственно в корпорацию Майкрософт. The client information isn’t directly sent to Microsoft. Дополнительные сведения см. в статье Данные о диагностике и использовании. For more information, see Diagnostics and usage data.