Sperren von Seiten im Speicher
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Sperren von Seiten im Speicher beschrieben.
Referenz
Mit dieser Sicherheitseinstellung wird festgelegt, welche Konten einen Prozess verwenden können, um Daten im physischen Speicher zu belassen. Dadurch wird verhindert, dass das System Seiten in den virtuellen Speicher auf dem Datenträger auslagert.
Normalerweise kann eine Anwendung, die unter Windows ausgeführt wird, mehr physischen Speicher aushandeln. Auf diese Anforderung hin beginnt die Anwendung damit, Daten aus dem RAM (z. B. dem Datenzwischenspeicher) auf einen Datenträger zu verschieben. Wenn der auslagerbare Speicher auf einen Datenträger verschoben wird, bleibt mehr RAM für das Betriebssystem verfügbar.
Die Aktivierung dieser Richtlinieneinstellung für ein bestimmtes Konto (ein Benutzerkonto oder ein Prozesskonto für eine Anwendung) verhindert die Auslagerung der Daten. Dadurch ist die Speichergröße, die Windows bei hoher Auslastung zurückfordern kann, eingeschränkt. Dies kann zu Leistungseinbußen führen.
Hinweis
Durch die Konfiguration dieser Richtlinieneinstellung fällt die Leistung des Windows-Betriebssystems je nachdem, ob Anwendungen auf einem 32-Bit- oder 64-Bit-Betriebssystem ausgeführt werden und ob es sich um virtualisierte Images handelt, unterschiedlich aus. Auch zwischen früheren und neueren Versionen des Windows-Betriebssystems können Leistungsunterschiede auftreten.
Konstante: SeLockMemoryPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
Bewährte Methoden hängen von der Plattformarchitektur und den auf diesen Plattformen ausgeführten Anwendungen ab.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Einstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer mit dem Benutzerrecht Sperren von Seiten im Speicher könnten physischen Speicher mehreren Prozessen zuweisen, wodurch kaum oder kein RAM für andere Prozesse verfügbar wäre und es zu einem Denial-of-Service kommen könnte.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Sperren von Seiten im Speicher nicht allen Konten zu.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.