适用范围

介绍调整进程安全策略设置的 内存配额 的最佳做法、位置、值、策略管理和安全注意事项。

此特权确定谁可以更改进程可以使用的最大内存。 此权限对于基于组或用户的系统优化非常有用。

此用户权限在默认域控制器组策略对象 (GPO) 以及工作站和服务器的本地安全策略中定义。

常量：SeIncreaseQuotaPrivilege

计算机配置\Windows 设置\安全设置\用户权限分配\

默认情况下，管理员、本地服务和网络服务组的成员具有此权限。

下表列出了实际和有效的默认策略值。 默认值也列在策略的属性页上。

无需重启设备即可使此策略设置生效。

帐户所有者下次登录时，对帐户的用户权限分配所做的任何更改将生效。

设置通过组策略对象 (GPO) 按以下顺序应用，这将在下一次更新组策略时覆盖本地计算机上的设置：

当本地设置灰显时，它指示 GPO 当前控制该设置。

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

具有 “调整进程内存配额” 权限的用户可以减少可用于任何进程的内存量，这可能会导致业务关键型网络应用程序变慢或失败。 恶意用户可能使用此权限来启动拒绝服务 (DoS) 攻击。

将 “调整进程用户权限的内存配额 ”限制为需要其执行作业的用户，例如维护数据库管理系统的应用程序管理员或管理组织目录及其支持基础结构的域管理员。

未将用户限制为具有有限权限的角色的组织可能会发现很难实施这种对策。 此外，如果已安装可选组件（如 ASP.NET 或 IIS），则可能需要 将“调整进程内存配额 ”用户权限分配给这些组件所需的其他帐户。 IIS 要求将此权限显式分配给 IWAM_、网络服务和服务帐户。 否则，此对策应该不会对大多数计算机产生影响。 如果用户帐户需要此用户权限，则可以将其分配给本地计算机帐户，而不是域帐户。