Modificar um rótulo de objeto

  • Artigo

Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Modificar um rótulo de objeto.

Referência

Este privilégio determina quais contas de usuário podem modificar o rótulo de integridade de objetos, como arquivos, chaves do Registro ou processos pertencentes a outros usuários. Processos em execução em uma conta de usuário podem modificar o rótulo de um objeto pertencente a esse usuário em um nível inferior sem esse privilégio.

O rótulo de integridade é usado pelo recurso WIC (Windows Integrity Controls), que foi introduzido no Windows Server 2008 e no Windows Vista. O WIC evita que processos de integridade inferiores modifiquem processos de integridade superiores, atribuindo um dos seis possíveis rótulos aos objetos do sistema. Embora sejam semelhantes às permissões de arquivo e pasta NTFS, que são controles discricionários em objetos, os níveis de integridade do WIC são controles obrigatórios que são inseridos e impostos pelo sistema operacional. A lista a seguir descreve os níveis de integridade do mais baixo para o mais alto:

  • Não confiável   Atribuição padrão para processos que fizeram logon anonimamente.

  • Baixo   Atribuição padrão para processos que interagem com a Internet.

  • Médio   Atribuição padrão para contas de usuário padrão e qualquer objeto que não é designado explicitamente com um nível de integridade inferior ou superior.

  • Alto  Atribuição padrão para contas de administrador e processos que solicitam a execução usando direitos administrativos.

  • Sistema   Atribuição padrão para serviços de kernel e núcleo do Windows.

  • Instalador   Usado por programas de instalação para instalar o software. É importante que somente softwares confiáveis sejam instalados nos computadores porque os objetos a que são atribuído o nível de integridade do Instalador podem instalar, modificar e desinstalar todos os outros objetos.

Constante: SeRelabelPrivilege

Valores possíveis

  • Lista de contas definida pelo usuário

  • Não definido

Práticas recomendadas

  • Não forneça esse direito de usuário a nenhum grupo.

Local

Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário

Valores padrão

Por padrão, essa configuração é Não definido em controladores de domínio e em servidores autônomos.

A tabela a seguir lista os valores de política padrão reais e efetivos das versões com suporte do Windows mais recentes. Os valores padrão também estão listados na página de propriedades da política.

Tipo de servidor ou GPO Valor padrão

Política de Domínio Padrão

Não definido

Política de Controlador de Domínio Padrão

Não definido

Configurações Padrão de Servidor Autônomo

Não definidos

Configurações Padrão Efetivas do Controlador de Domínio

Não definido

Configurações Padrão Efetivas do Servidor Membro

Não definidos

Configurações Padrão Efetivas do Computador Cliente

Não definidos

 

Gerenciamento de políticas

Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar esta política.

Não é necessário reiniciar o computador para que essa configuração de política entre em vigor.

Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.

Política de Grupo

As configurações são aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:

  1. Configurações de política local

  2. Configurações de política de site

  3. Configurações de política de domínio

  4. Configurações de política de UO

Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.

Considerações sobre a segurança

Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.

Vulnerabilidade

Qualquer pessoa com o direito de usuário Modificar rótulo de objeto pode alterar o nível de integridade de um arquivo ou processo para que ele se torne elevado ou reduzido a um ponto em que ele pode ser excluído por processos de integridade inferiores. Um desses estados contorna efetivamente a proteção que é oferecida pelo recurso Windows Integrity Controls e torna o sistema vulnerável a ataques por software mal intencionado.

Se o software mal intencionado for definido com um nível de integridade elevado, como Instalador Confiável ou Sistema, as contas de administrador não terão níveis de integridade suficientes para excluir o programa do sistema. Nesse caso, o uso do direito Modificar rótulo de objeto é obrigatório para que o objeto possa ser rotulado novamente. No entanto, a substituição do rótulo deve ocorrer por meio de um processo que esteja no mesmo nível de integridade ou superior ao objeto que você está tentando rotular novamente.

Contramedida

Não forneça esse direito a nenhum grupo. Se necessário, implemente-o por um período de tempo limitado para um indivíduo confiável a fim de responder a uma necessidade organizacional específica.

Impacto em potencial

Nenhum. Não definido é a configuração padrão.

Tópicos relacionados

Atribuição de direitos de usuário