Modificar valores de ambiente de firmware
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Modificar valores de ambiente de firmware.
Referência
Esta configuração de segurança determina quem pode modificar valores de ambiente de firmware. Os valores de ambiente de firmware são configurações que são armazenadas na RAM não volátil de computadores que não baseados em x86. O efeito da configuração depende do processador.
Em computadores baseados em x86, o único valor de ambiente de firmware que pode ser modificado atribuindo esse direito de usuário é a configuração Última Configuração Válida, que só deve ser modificada pelo sistema.
Em computadores baseados em Itanium, as informações de inicialização são armazenadas na RAM não volátil. Este direito de usuário deve ser atribuído aos usuários para que eles executem o bootcfg.exe e alterem a configuração Sistema Operacional Padrão usando o recurso Inicialização e Recuperação na guia Avançado de Propriedades do Sistema.
A configuração exata para valores de ambiente de firmware é determinada pelo firmware de inicialização. A localização desses valores também é especificada pelo firmware. Por exemplo, em um sistema baseado em UEFI, a NVRAM contém valores de ambiente de firmware que especificam as configurações de inicialização do sistema.
Em todos os computadores, esse direito de usuário é necessário para instalar ou atualizar o Windows.
Constante: SeSystemEnvironmentPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Administradores
Não definido
Práticas recomendadas
- Certifique-se de que somente ao grupo local Administradores seja atribuído o direito de usuário Modificar valores de ambiente de firmware.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, essa configuração é Administradores em controladores de domínio e em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
Não definido |
Política de Controlador de Domínio Padrão |
Administradores |
Configurações Padrão de Servidor Autônomo |
Administradores |
Configurações Padrão Efetivas do Controlador de Domínio |
Administradores |
Configurações Padrão Efetivas do Servidor Membro |
Administradores |
Configurações Padrão Efetivas do Computador Cliente |
Administradores |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar esta política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Esta configuração de segurança não afeta quem pode modificar os valores de ambiente do sistema e os valores de ambiente do usuário que são exibidos na guia Avançado de Propriedades do Sistema.
Política de Grupo
As configurações são aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Qualquer pessoa a quem seja atribuído o direito de usuário Modificar valores de ambiente de firmware poderia definir as configurações de um componente de hardware para que ele falhasse, o que poderia causar a corrupção de dados ou uma condição de negação de serviço.
Contramedida
Certifique-se de que somente ao grupo local Administradores seja atribuído o direito de usuário Modificar valores de ambiente de firmware.
Impacto em potencial
Nenhum. Restringir o direito de usuário Modificar valores de ambiente de firmware aos membros do grupo local Administradores é a configuração padrão.