为什么 IT 要锁定 SeIncreaseWorkingSetPrivilege?

为什么 IT 要锁定 SeIncreaseWorkingSetPrivilege?

问题:

为什么有人会锁定 SeIncreaseWorkingSetPrivilege ==增加进程工作集==https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/increase-a-process-working-set从其默认值“默认用户”改为仅管理员?

我并不是在询问理论上的技术细节,但我很想知道是否有任何 Windows 管理专家知道来源或认为加强此设置有用?

背景:

客户的中央 IT 部门在我们现场的 Oracle 21c 安装上安装了“DOS”。

实施新的安全策略后,OracleServiceXE 以及 Oracle 的 Listener Service 无法启动,并出现错误:

1297 “服务正常运行所需的特权在服务帐户配置中不存在”

长话短说,这些服务声明RequiredPrivileges(参见sc qprivs):

SeChangeNotifyPrivilege
SeIncreaseWorkingSetPrivilege **
SeCreateSymbolicLinkPrivilege
SeCreateGlobalPrivilege
SeImpersonatePrivilege

现在,客户的 IT 部门推出了一项变更,将SeIncreaseWorkingSetPrivilege默认的“默认用户”设置为 3 个 SID:(*S-1-5-19本地服务)、*S-1-5-32-544(管理员)、*S-1-5-90-0(Windows 管理器\Windows 管理器组)

这样,服务控制管理器拒绝启动该服务的原因就“显而易见”了,因为它缺少 SeIncreaseWorkingSetPrivilege。(它已配置了一个NT SERVICE\*帐户。)

摆弄这个设置对我来说似乎相当令人困惑。有什么见解吗?

答案1

锁定SeIncreaseWorkingSetPrivilege权限是一种安全措施,旨在限制进程增加其工作集大小,这可能会影响系统稳定性和资源分配。此权限允许进程分配比通常允许的更多的内存。

通过限制此权限,该系统旨在防止潜在的滥用或意外后果,例如通过过度消耗内存或未经授权访问敏感数据而导致的拒绝服务攻击。

相关内容