Criar objetos compartilhados permanentemente
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Criar objetos compartilhados permanentemente.
Referência
Este direito de usuário determina quais contas podem ser usadas pelos processos para criar um objeto de diretório usando o gerenciador de objetos. Objetos de diretório incluem objetos do Active Directory, arquivos e pastas, impressoras, chaves do Registro, processos e threads. Os usuários que têm essa funcionalidade podem criar objetos compartilhados permanentemente, incluindo dispositivos, semáforos e exclusões mútuas. Esse direito de usuário é útil para componentes de modo kernel que estendem o namespace do objeto. Como os componentes que são executados no modo de kernel inerentemente têm esse direito de usuário atribuído a eles, não é necessário atribuí-lo especificamente.
Constante: SeCreatePermanentPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
- Os usuários que têm o direito de usuário Criar objetos compartilhados permanentemente podem criar novos objetos compartilhados e expor dados confidenciais à rede. Portanto, não atribua esse direito a nenhum usuário.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, LocalSystem é a única conta que tem esse direito.
A tabela a seguir lista os valores de política padrão reais e efetivos para as versões mais recentes do Windows com suporte. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de domínio padrão |
Não definido |
Política de controlador de domínio padrão |
Não definido |
Configurações padrão de servidor autônomo |
Não definidos |
Configurações padrão efetivas de controlador de domínio |
LocalSystem |
Configurações padrão efetivas do servidor membro |
LocalSystem |
Configurações padrão efetivas do computador cliente |
LocalSystem |
Gerenciamento de políticas
Esta seção descreve os diferentes recursos e ferramentas disponíveis para ajudar você a gerenciar essa política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Os usuários que têm o direito de usuário Criar objetos compartilhados permanentemente podem criar novos objetos compartilhados e expor dados confidenciais à rede.
Contramedida
Não atribua o direito de usuário Criar objetos compartilhados permanentemente a nenhum usuário. Os processos que exigem esse direito de usuário devem usar a conta Sistema, que já o inclui, em vez de uma conta de usuário separada.
Impacto em potencial
Nenhum. Não definido é a configuração padrão.