Doporučené postupy a rady pro moduly pro zápis volitelných seznamů řízení přístupu služeb

Překlady článku Překlady článku
ID článku: 914392 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Volitelné seznamy řízení přístupu (DACL) služeb jsou důležité komponenty zabezpečení pracovních stanic a serverů. V tomto článku znalostní báze Microsoft Knowledge Base je popsáno, jak interpretovat volitelné seznamy řízení přístupu (DACL) u služeb. Tento článek obsahuje také doporučené postupy pro moduly pro zápis volitelných seznamů řízení přístupu služeb při vývoji a hodnocení bezpečnosti aplikací.

ÚVOD

Tento článek znalostní báze Microsoft Knowledge Base můžete použít jako průvodce při vyhodnocení bezpečnosti volitelných seznamů řízení přístupu (DACL) služeb.

Další informace

Chcete-li zobrazit volitelné seznamy řízení přístupu (DACL) pro službu, použijte příkaz sc společně s argumentem sdshow, jak je uvedeno v následujícím příkladu, kde název_služby je název služby, jejíž volitelné seznamy řízení přístupu (DACL) chcete zobrazit:
sc sdshow název_služby
Tento příkaz vygeneruje výsledky, které budou vypadat přibližně takto:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Tento ukázkový výstup příkazu sc ukazuje popis zabezpečení služby v syntaxi SDDL (Security Descriptor Definition Language). Informace o syntaxi SDDL získáte na následujícím webu společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Abyste zjistili, zda u volitelného seznamu řízení přístupu (DACL) služby neexistuje chyba zabezpečení, je třeba se podívat na několik věcí. V následující tabulce je popsáno, jak přečíst výsledky příkazu sc, jak interpretovat řetězce jednotlivých oprávnění a jak interpretovat, komu byla tato oprávnění přidělena.

Jednotlivé řetězce znaků, které se nacházejí v kulatých závorkách, je možné nezávisle vyhodnotit pomocí následujícího klíče:
(Povolit/Odepřít;;Řetězec oprávnění;;;Identifikátor SID nebo zkratka pro předdefinovaný účet nebo skupinu)
Každý pár obsahující dvě písmena v řetězci oprávnění odpovídá specifickému právu nebo oprávnění:
Zmenšit tuto tabulkuRozšířit tuto tabulku
PárPrávo nebo oprávnění
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

U oprávnění ChangeConf (DC) je třeba postupovat velmi opatrně. Při zjišťování, zda u služby neexistuje chyba zabezpečení v souvislosti se zvýšením úrovně oprávnění, je třeba se podívat na oprávnění ChangeConf. Toto oprávnění umožňuje určené osobě měnit konfiguraci služby tak, aby zahrnovala binární soubor, který se spustí při spuštění služby. Velice opatrně byste také měli postupovat u oprávnění WDac (WD) a WOwn (WO), protože obě dvě je možné použít k zvýšení oprávnění k účtu LocalSystem. Tato oprávnění nesmí být přidělena uživateli s oprávněními nízké úrovně. V této tabulce je uveden seznam kódů, které slouží k identifikaci typu uživatele, kterému je přidělen přístup v syntaxi SDDL.
Zmenšit tuto tabulkuRozšířit tuto tabulku
KódTyp uživatele
DADomain Administrators
DGDomain Guests
DUDomain Users
EDEnterprise Domain Controllers
DDDomain Controllers
DCDomain Computers
BABuilt-in (Local ) Administrators
BGBuilt-in (Local) Guests
BUBuilt-in (Local) Users
LALocal Administrator Account
LGLocal Guest Account
AOAccount Operators
BOBackup Operators
POPrinter Operators
SOServer Operators
AUAuthenticated Users
PSPersonal Self
COCreator Owner
CGCreator Group
SYLocal System
PUPower Users
WDEveryone (World)
REReplicator
IUInteractive Logon User
NUNetwork Logon User
SUService Logon User
RCRestricted Code
WRWrite Restricted Code
ANAnonymous Logon
SASchema Administrators
CACertificate Services Administrators
RSRemote Access Servers Group
EAEnterprise Administrators
PAGroup Policy Administrators
RUAlias to Allow Previous Windows 2000
LSLocal Service Account (for Services)
NSNetwork Service Account (for Services)
RDRemote Desktop Users (for Terminal Services)
NONetwork Configuration Operators
MUPerformance Monitor Users
LUPerformance Log Users
ISAnonymous Internet Users
CYCrypto Operators
OWOwner Rights SID
RMRMS Service

Interpretace řetězce volitelného seznamu řízení přístupu (DACL) ve formátu SDDL

Tyto informace popisují, jak interpretovat ukázkový řetězec volitelného seznamu řízení přístupu (DACL), který je uveden na začátku tohoto článku. V této interpretaci jsou uvedeny jednotlivé položky řízení přístupu (ACE).
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Tato položka řízení přístupu (ACE) dává účtu LocalSystem (SY) následující oprávnění:
    • QueryConf,
    • ChangeConf,
    • QueryStat,
    • EnumDeps,
    • Start,
    • Stop,
    • Pause,
    • Interrogate,
    • UserDefined,
    • Delete,
    • RCtl,
    • WDac,
    • WOwn.
    Položka řízení přístupu (ACE) je omezena na účet LocalSystem. To je pro zabezpečení dobré, protože účet LocalSystem je nejúčinnější kontext zabezpečení v pracovní stanici. Neexistuje tedy žádné riziko zvýšení oprávnění.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Tato položka řízení přístupu (ACE) platí pro účty předdefinovaných místních správců (BA). Tato položka řízení přístupu (ACE) přiděluje stejná práva jako v předchozí položce řízení přístupu (ACE) všem místním správcům. Jedná se také o velmi účinný kontext zabezpečení pracovní stanice. Opět tedy neexistuje žádné riziko zvýšení oprávnění.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Tato položka řízení přístupu (ACE) přiděluje všechna předchozí práva všem ověřeným uživatelům (AU).
V poslední položce řízení přístupu (ACE) může uživatel ve skupině s oprávněními nízké úrovně, například kterýkoli ověřený uživatel, změnit konfiguraci služby. Konfigurace zahrnuje binární soubor, který se spouští při spuštění služby, a účet, pod kterým je služba spuštěna.

V následující ukázce volitelného seznamu řízení přístupu (DACL) nemají ověření uživatelé přidělena oprávnění ChangeConf:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

V tomto volitelném seznamu řízení přístupu (DACL) mají ověření uživatelé (AU) přidělena pouze následující oprávnění:
  • QueryConf,
  • QueryStat,
  • EnumDeps,
  • Interrogate,
  • UserDefined,
  • RCtl.
S těmito přidělenými oprávněními neexistuje žádné potenciální riziko zvýšení oprávnění prostřednictvím skupiny Authenticated Users. Skupina Power Users (PU) již má možnost zvýšit oprávnění na účet LocalSystem, takže by neměla být považována za riziko v souvislosti se zvýšením oprávnění. V tomto příkladu má skupina Power Users stejná oprávnění jako skupina Authenticated Users s výjimkou toho, že skupina Power Users může také spouštět službu (RP). Další skupina je Local Administrators (BA). Tato skupina a další skupina, Server Operators (SO), mají oprávnění ChangeConf, WDac a WOwn. To je v pořádku, protože ve skupině Local Administrators nebo Server Operators by měli být pouze uživatelé s nejvyššími oprávněními.

Skupina LocalSystem (SY) má přidělena stejná oprávnění jako skupina Power Users, ale má také oprávnění Stop a Pause. To se zdá být v pořádku. Další dvě krátké položky řízení přístupu (ACE) přidělují účtu Local Service a Network Service oprávnění pozastavit službu. To se také zdá být v pořádku, protože účet Local Service i Network Service jsou účinné místní účty.

Avšak skupině Network Configuration Operators (NO) byla přiřazena oprávnění ChangeConf. Skupina Network Configuration Operators byla přidána do systému Windows XP, aby umožnila důvěryhodným uživatelům měnit nastavení sítě, aniž by měli k dispozici úplná oprávnění správců. Při výchozím nastavení je skupina Network Configuration Operators prázdná. Tato skupina někdy slouží k přidělení oprávnění ke konfiguraci sítě určitým uživatelům. Tato oprávnění například mohou být přidělena vlastníkovi přenosného počítače. Uživatelé ve skupině Network Configuration Operators často mají fyzickou kontrolu nad počítačem. Záměrem této skupiny však je, aby tito uživatelé nezískali úplná oprávnění správce. Proto by tento volitelný seznam řízení přístupu (DACL) neměl přidělovat skupině Network Configuration Operators oprávnění ChangeConf.

Doporučené postupy

: Omezte volitelné seznamy řízení přístupu (DACL) služby pouze na ty uživatele, kteří potřebují konkrétní typ přístupu. U následujících oprávnění buďte obzvláště opatrní. V případě přidělení těchto oprávnění uživateli nebo skupině s nízkou úrovní oprávnění je možné tato oprávnění použít k zvýšení oprávnění na účet LocalSystem v počítači:
  • ChangeConf (DC),
  • WDac (WD),
  • WOwn (WO).
Další informace o přístupových právech a oprávněních naleznete na následujícím webu společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Vlastnosti

ID článku: 914392 - Poslední aktualizace: 15. února 2007 - Revize: 1.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbinfo KB914392

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com