Apropriar-se de arquivos ou de outros objetos
Descreve as práticas recomendadas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Apropriar-se de arquivos ou de outros objetos.
Referência
Esta configuração de política determina quais usuários podem assumir propriedade de um objeto protegível no dispositivo, inclusive objetos do Active Directory, arquivos e pastas NTFS, impressoras, chaves do Registro, serviços, processos e threads.
Cada objeto tem um proprietário, independentemente do objeto residir em um volume NTFS ou em um banco de dados do Active Directory. O proprietário controla como permissões são definidas no objeto e a quem as permissões são concedidas.
Por padrão, o proprietário é a pessoa quem ou o processo que criou o objeto. Os proprietários sempre podem alterar as permissões em objetos, mesmo quando todo o acesso ao objeto for negado a eles.
Constante: SeTakeOwnershipPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
- Atribuir esse direito de usuário pode ser um risco de segurança. Como os proprietários dos objetos têm controle total sobre eles, só atribua esse direito de usuário a usuários confiáveis.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, essa configuração é Administradores em controladores de domínio e em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de Domínio Padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Administradores |
Configurações Padrão de Servidor Autônomo |
Administradores |
Configurações padrão efetivas do controlador de domínio |
Administradores |
Configurações padrão efetivas do servidor membro |
Administradores |
Configurações padrão efetivas do computador cliente |
Administradores |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar essa política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
A propriedade pode ser assumida por:
Um administrador. Por padrão, o grupo Administradores recebe o direito de usuário Apropriar-se de arquivos ou de outros objetos.
Qualquer pessoa ou grupo com o direito de usuário Take ownership no objeto.
Um usuário com o direito de usuário Restaurar arquivos e pastas.
A propriedade pode ser transferida das seguintes maneiras:
O proprietário atual pode conceder o direito de usuário Take ownership a outro usuário caso esse usuário seja um membro de um grupo definido no token de acesso do proprietário atual. O usuário deve assumir a propriedade para concluir a transferência.
Um administrador pode assumir a propriedade.
Um usuário com o direito de usuário Restaurar arquivos e pastas pode clicar duas vezes em Other users and groups e escolher qualquer usuário ou grupo ao qual atribuir a propriedade.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Todos os usuários com o direito de usuário Apropriar-se de arquivos ou de outros objetos podem assumir o controle de qualquer objeto, independentemente das permissões desse objeto e fazer as alterações que eles desejam fazer nesse objeto. Essas alterações podem resultar em exposição de dados, corrupção de dados ou uma condição de negação de serviço.
Contramedida
Assegure-se de que somente o grupo local Administradores tenha o direito de usuário Apropriar-se de arquivos ou de outros objetos.
Impacto em potencial
Nenhum. Restringir o direito de usuário Apropriar-se de arquivos ou de outros objetos ao grupo local Administradores é a configuração padrão.