Ajustar cotas de memória para um processo
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Ajustar cotas de memória para um processo.
Referência
Esse privilégio determina quem pode alterar o máximo de memória que pode ser consumido por um processo. Esse privilégio é útil para ajuste do sistema em uma base de usuário ou grupo.
Esse direito de usuário é definido no Objeto de Política de Grupo (GPO) do Controlador de Domínio Padrão e na política de segurança local das estações de trabalho e servidores.
Constante: SeIncreaseQuotaPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
Restrinja o direito de usuário Ajustar cotas de memória para um processo apenas aos usuários que precisam do recurso de ajuste de cotas de memória para executar seus trabalhos.
Se esse direito de usuário for necessário para uma conta de usuário, ele poderá ser atribuído a uma conta de computador local, em vez de uma conta de domínio.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\
Valores padrão
Por padrão, os membros dos grupos Administradores, Serviço Local e Serviço de Rede têm esse direito.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
Administradores Serviço Local Serviço de Rede |
Política do Controlador de Domínio Padrão |
Administradores Serviço Local Serviço de Rede |
Configurações Padrão de Servidor Autônomo |
Administradores Serviço Local Serviço de Rede |
Configurações Padrão Efetivas do Controlador de Domínio |
Administradores Serviço Local Serviço de Rede |
Configurações Padrão Efetivas do Servidor Membro |
Administradores Serviço Local Serviço de Rede |
Configurações Padrão Efetivas do Computador Cliente |
Administradores Serviço Local Serviço de Rede |
Gerenciamento de políticas
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez em que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Um usuário com o privilégio Ajustar cotas de memória para um processo pode reduzir a quantidade de memória disponível para qualquer processo, o que pode fazer com que aplicativos de rede essenciais para os negócios se tornem lentos ou falhem. Esse privilégio pode ser usado por um usuário mal-intencionado para iniciar um ataque de negação de serviço (DoS).
Contramedida
Restrinja o direito de usuário Ajustar cotas de memória para um processo aos usuários que precisarem dele para realizar seus trabalhos, como administradores de aplicativos que mantêm sistemas de gerenciamento de banco de dados ou administradores de domínio que gerenciam o diretório da organização e sua infraestrutura de apoio.
Impacto em potencial
As organizações que não restringiram usuários a funções com privilégios limitados poderão ter dificuldade para impor essa contramedida. Além disso, se você instalou componentes opcionais, como ASP.NET ou IIS, talvez seja necessário atribuir o direito de usuário Ajustar cotas de memória para um processo a contas adicionais que são exigidas por esses componentes. O IIS requer que esse privilégio seja explicitamente atribuído a contas de IWAM_<ComputerName>, Serviço de Rede e Serviço. Caso contrário, essa contramedida não deverá ter impacto na maioria dos computadores. Se esse direito de usuário for necessário para uma conta de usuário, ele poderá ser atribuído a uma conta de computador local, em vez de uma conta de domínio.