Carregar e descarregar drivers de dispositivo
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Carregar e descarregar drivers de dispositivo.
Referência
Esta configuração de política determina quais usuários podem carregar e descarregar drivers de dispositivos dinamicamente. Este direito de usuário não será necessário se já houver um driver assinado do novo hardware no arquivo driver.cab no dispositivo. Os drivers de dispositivo são executados como código altamente privilegiado.
O Windows oferece suporte às especificações de Plug and Play que definem como um computador pode detectar e configurar um hardware recém-adicionado e instalar automaticamente o driver de dispositivo. Antes do Plug and Play, os usuários precisavam configurar manualmente os dispositivos antes de conectá-los ao dispositivo. Este modelo permite que um usuário conecte o hardware, em seguida, o Windows procura um pacote de drivers de dispositivo apropriado e o configura automaticamente para funcionar sem interferir em outros dispositivos.
Como o software do driver de dispositivo é executado como se fosse uma parte do sistema operacional com acesso irrestrito a todo o computador, é fundamental que somente drivers de dispositivo conhecidos e autorizados sejam permitidos.
Constante: SeLoadDriverPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Valores padrão
Não definido
Práticas recomendadas
- Por causa do potencial risco de segurança, não atribua esse direito de usuário a nenhum usuário, grupo ou processo que você não deseja que assuma o controle do sistema.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, essa configuração é Administradores e Operadores de Impressão nos controladores de domínio e Administradores em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de Domínio Padrão |
Não definido |
Política de Controlador de Domínio Padrão |
Administradores Operadores de Impressão |
Configurações Padrão de Servidor Autônomo |
Administradores |
Configurações Padrão Efetivas do Controlador de Domínio |
Administradores Operadores de Impressão |
Configurações Padrão Efetivas do Servidor Membro |
Administradores |
Configurações Padrão Efetivas do Computador Cliente |
Administradores |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar esta política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
As configurações são aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Os drivers de dispositivo são executados como código altamente privilegiado. Um usuário que tem o direito de usuário Carregar e descarregar drivers de dispositivo pode inadvertidamente instalar um malware que se mascara como um driver de dispositivo. Os administradores devem ter cuidado e instalar somente drivers com assinaturas digitais confirmadas.
Observação
Você deve ter esse direito de usuário ou ser um membro do grupo local Administradores para instalar um novo driver de uma impressora local ou para gerenciar uma impressora local e configurar padrões para opções, como impressão duplex.
Contramedida
Não atribua o direito de usuário Carregar e descarregar drivers de dispositivo diretamente a qualquer usuário ou grupo que não seja Administradores em servidores membros. Em controladores de domínio, não atribua esse direito de usuário a qualquer usuário ou grupo que não seja Administradores de Domínio.
Impacto em potencial
Caso remova o direito de usuário Carregar e descarregar drivers de dispositivo diretamente do grupo Operadores de Impressão ou outras contas, você poderá limitar a capacidade dos usuários que são atribuídos a funções administrativas específicas em seu ambiente. Você deve garantir que tarefas delegadas não sejam afetadas negativamente.