Anheben der Zeitplanungspriorität
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anheben der Zeitplanungspriorität beschrieben.
Referenz
Diese Richtlinieneinstellung bestimmt, welche Benutzerkonten die Basisprioritätsklasse eines Prozesses erhöhen können. Für das Erhöhen der relativen Priorität innerhalb einer Prioritätsklasse ist keine Berechtigung erforderlich. Dieses Benutzerrecht wird nicht von Verwaltungstools gefordert, die mit dem Betriebssystem bereitgestellt werden, u. U. kann es jedoch von Softwareentwicklungstools gefordert werden.
Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten einen Prozess, der über den Zugriff "Eigenschaft schreiben" auf einen anderen Prozess verfügt, verwenden können, um die Ausführungspriorität zu erhöhen, die für den anderen Prozess zugewiesen ist. Ein Benutzer mit dieser Berechtigung kann die Zeitplanungspriorität eines Prozesses über die Benutzeroberfläche des Task-Managers ändern.
Konstante: SeIncreaseBasePriorityPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Administratoren
Bewährte Methoden
- Übernehmen Sie den Standardwert „Administratoren“, um ausschließlich dieses Konto als zuständig für das Steuern von Zeitplanprioritäten für Prozesse festzulegen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Auf Domänencontrollern und eigenständigen Servern lautet die standardmäßige Einstellung „Administratoren“.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren |
Standardeinstellungen für eigenständige Server |
Administratoren |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein Benutzer, dem dieses Recht zugewiesen ist, kann die Zeitplanungspriorität eines Prozesses auf „Echtzeit“ heraufstufen. Dadurch würde eine geringe Verarbeitungszeit für alle übrigen Prozesse verbleiben, was einen Denial-of-Service-Zustand nach sich ziehen kann.
Gegenmaßnahme
Vergewissern Sie sich, dass nur Administratoren das Benutzerrecht Anheben der Zeitplanungspriorität zugewiesen ist.
Mögliche Auswirkung
Keine. Die Beschränkung des Benutzerrechts Anheben der Zeitplanungspriorität auf die Gruppe „Administratoren“ ist die Standardkonfiguration.