Desligar o sistema
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Desligar o sistema.
Referência
Esta configuração de segurança determina se um usuário que está conectado localmente a um dispositivo pode desligar o Windows.
Desligar controladores de domínio os indisponibiliza para realizar funções como processar solicitações de logon, de configurações da Política de Grupo e responder às consultas do protocolo Lightweight Directory Access Protocol (LDAP). Desligar controladores de domínio que receberam funções mestre de operações (também conhecidas como operações mestre únicas flexíveis ou FSMO) pode desabilitar a funcionalidade do domínio de chave; por exemplo, processar solicitações de logon para novas senhas, que é realizado pelo mestre emulador do controlador de domínio primário (PDC).
O direito de usuário Desligar o sistema é necessário para habilitar o suporte à hibernação, para definir as configurações de gerenciamento de energia e cancela o desligamento.
Constante: SeShutdownPrivilege
Valores possíveis
Uma lista de contas definida pelo usuário
Padrões
Não definido
Práticas recomendadas
Assegure-se de que somente administradores e operadores de backup tenham o direito de usuário Desligar o sistema em servidores membro e que apenas administradores tenham o direito de usuário em controladores de domínio. Remover esses grupos padrão pode limitar as funcionalidades dos usuários atribuídos a funções administrativas específicas no ambiente. Assegure-se de que as tarefas delegadas não seja afetadas negativamente.
A capacidade de desligar controladores de domínio deve ser limitada a um número bem pequeno de administradores confiáveis. Mesmo que um desligamento do sistema exija a funcionalidade de fazer logon no servidor, você deve tomar muito cuidado com as contas e os grupos que permitem desligar um controlador de domínio.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, essa configuração é administradores, operadores de backup, operadores de servidor e operadores de impressão em controladores de domínio, administradores e operadores de backup em servidores autônomos.
A tabela a seguir lista os valores de política padrão reais e efetivos para as versões mais recentes do Windows com suporte. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de Domínio Padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Administradores Operadores de Backup Operadores de Servidor Operadores de Impressão |
Configurações padrão de servidor autônomo |
Administradores Operadores de Backup |
Configurações padrão efetivas do controlador de domínio |
Administradores Operadores de Backup Operadores de Servidor Operadores de Impressão |
Configurações padrão efetivas do servidor membro |
Administradores Operadores de Backup |
Configurações padrão efetivas do computador cliente |
Administradores Operadores de Backup Usuários |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar essa política.
Não é necessário reiniciar o computador para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
Esse direito de usuário não tem o mesmo efeito de Forçar o desligamento a partir de um sistema remoto. Para obter mais informações, consulte Forçar o desligamento a partir de um sistema remoto.
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
A capacidade de desligar controladores de domínio deve ser limitada a um número bem pequeno de administradores confiáveis. Embora o direito de usuário Desligar o sistema exija a funcionalidade de fazer logon no servidor, você deve tomar muito cuidado com quais contas e grupos permite o desligamento de um controlador de domínio.
Quando um é desligado, um controlador de domínio deixa de estar disponível para processar solicitações de logon, processar configurações de Política de Grupo e responder a consultas do protocolo Lightweight Directory Access Protocol (LDAP). Caso desligue controladores de domínio que tenham funções mestre de operações, você pode desabilitar a funcionalidade do domínio de chave, como o processamento de solicitações de logon para novas senhas, realizada pelo mestre PDC.
Para outras funções de servidor, especialmente aquelas em que não administradores têm direitos de fazer logon no servidor (como servidores Host da Sessão RD), é essencial que esse direito de usuário seja removido de usuários que não tenham um motivo legítimo para reiniciar os servidores.
Contramedida
Assegure-se de que apenas os grupos Administradores e Operadores de Backup recebam o direito de usuário Desligar o sistema em servidores membro, além de garantir que apenas o grupo Administradores receba o direito de usuário em controladores de domínio.
Impacto em potencial
O impacto de remover esses grupos padrão do direito de usuário Desligar o sistema pode limitar as funcionalidades delegadas de funções atribuídas no ambiente. É necessário confirmar se atividades delegadas não foram afetadas negativamente.