Bedste fremgangsmåder og retningslinjer til oprettere af tjeneste-DACL'er (lister over allokeret adgangskontrol)

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 914392 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Tjeneste-DACL'er (lister over allokeret adgangskontrol) er vigtige sikkerhedskomponenter i arbejdsstationer og servere. I denne Microsoft Knowledge Base-artikel beskrives det, hvordan DACL'er fortolkes for tjenester. I artiklen beskrives også de bedste fremgangsmåder og retningslinjer for oprettere af tjeneste-DACL'er, når de udvikler og fastlægger omfanget af sikkerheden i deres programmer.

INTRODUKTION

Du kan bruge denne Microsoft Knowledge Base-artikel som en hjælp til at vurdere sikkerheden af tjeneste-DACL'er (lister over allokeret adgangskontrol).

Yderligere Information

Hvis du vil have vist DACL'erne for en tjeneste, skal du bruge kommandoen sc sammen med argumentet sdshow som vist i følgende eksempel, hvor service_name er navnet på den tjeneste, hvis DACL'er du vil have vist:
sc sdshow service_name
Kommandoen frembringer resultater, der ligner disse:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Dette eksempel på resultaterne af kommandoen sc viser en tjenestes sikkerhedsbeskrivelse i SDDL-syntaksen (Security Descriptor Definition Language). Oplysninger om SDDL-syntaksen kan du finde på følgende websted til Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Der er flere ting, der afgør, om en tjeneste-DACL er sårbar. I følgende tabel beskrives det, hvordan du læser resultaterne af kommandoen sc, hvordan du fortolker hver enkelt tilladelsesstreng, og hvordan du fortolker, hvem tilladelsen er tildelt til.

Du kan evaluere hver enkelt tegnstreng, der er omsluttet af parenteser, uafhængigt ved hjælp af følgende nøgle:
(Tillad/Afvis;;Tilladelsesstreng;;;SID eller akronym for indbygget konto eller gruppe)
Hvert par bestående af to bogstaver i tilladelsesstrengen svarer til en bestemt rettighed eller tilladelse:
Skjul tabellenUdvid tabellen
Par Rettighed eller tilladelse
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Udvis især forsigtighed i forbindelse med tilladelsen ChangeConf (DC). Se efter tilladelsen ChangeConf, hvis du er ved at undersøge, om tjenesten er sårbar over for et angreb af typen udvidelse af rettigheder. Denne tilladelse gør det muligt for en person med de relevante rettigheder at ændre konfigurationen af tjenesten, så den omfatter den binære fil, der køres, når tjenesten startes. Du skal også udvise ekstrem forsigtighed i forbindelse med tilladelserne WDac (WD) og WOwn (WO), da de begge kan bruges til at eskalere tilladelser til LocalSystem. Sørg for, at disse rettigheder ikke tildeles til en bruger med et lavt tilladelsesniveau. I denne tabel vises de koder, der bruges til at identificere den brugertype, der har fået tildelt adgang i SDDL-syntaksen.
Skjul tabellenUdvid tabellen
KodeBrugertype
DA(Domain Administrators) Domæneadministratorer
DG(Domain Guests) Domænegæster
DU(Domain Users) Domænebrugere
ED(Enterprise Domain Controllers) Domænecontrollere i virksomheden
DD(Domain Controllers) Domænecontrollere
DC(Domain Computers) Domænecomputere
BA(Built-in (Local ) Administrators) Indbyggede (lokale) administratorer
BG(Built-in (Local) Guests) Indbyggede (lokale) gæster
BU(Built-in (Local) Users) Indbyggede (lokale) brugere
LA(Local Administrator Account) Kontoen Lokal administrator
LG(Local Guest Account) Kontoen Lokal gæst
AO(Account Operators) Kontooperatører
BO(Backup Operators) Backupoperatører
PO(Printer Operators) Printeroperatører
SOServer Operators (Serveroperatører)
AU(Authenticated Users) Godkendte brugere
PS(Personal Self) Personen selv
CO(Creator Owner) Opretter, ejer
CG(Creator Group) Opretter, gruppe
SY(Local System) Lokalt system
PU(Power Users) Superbrugere
WD(Everyone (World)) Alle (verden)
RE(Replicator) Replikator
IU(Interactive Logon User) Bruger af interaktivt logon
NUNetwork Logon User (Bruger af netværkslogon)
SU(Service Logon User) Bruger af tjenestelogon
RC(Restricted Code) Begrænset kode
WR(Write Restricted Code) Skrivebegrænset kode
AN(Anonymous Logon) Anonymt logon
SASchema Administrators (Skemaadministratorer)
CA(Certificate Services Administrators) Administratorer af certifikattjenester
RS(Remote Access Servers Group) Gruppen Remote Access-servere
EA(Enterprise Administrators) Virksomhedsadministratorer
PA(Group Policy Administrators) Gruppepolitikadministratorer
RUAlias for Tillad tidligere Windows 2000
LS(Local Service Account (for Services)) Kontoen Lokal tjeneste (Services)
NS(Network Service Account (for Services)) Kontoen Netværkstjeneste (Services)
RDRemote Desktop Users (for Terminal Services) Brugere af Fjernskrivebord (Terminal Services)
NO(Network Configuration Operators) Netværkskonfigurationsoperatører
MU(Performance Monitor Users) Brugere af ydelsesmåler
LU(Performance Log Users) Brugere af ydelseslog
IS(Anonymous Internet Users) Anonyme internetbrugere
CY(Crypto Operators) Krypteringsoperatører
OW(Owner Rights SID) SID for ejerrettigheder
RM(RMS Service) RMS-tjeneste

Sådan fortolkes en DACL-streng i SDDL-format

I det følgende beskrives, hvordan du fortolker den eksempel-DACL-streng, der vises øverst i denne artikel. I fortolkningen angives hver adgangskontrolpost for sig.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Denne adgangskontrolpost giver LocalSystem (SY) følgende rettigheder:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    Adgangskontrolposten er begrænset til LocalSystem. Dette fremmer sikkerheden, da LocalSystem allerede er den vigtigste sikkerhedskontekst på arbejdsstationen. Derfor er der ingen udvidelsesrisiko.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Denne adgangskontrolpost anvendes på indbyggede lokale administratorer (BA). Denne adgangskontrolpost giver de samme rettigheder til alle lokale administratorer som den forrige adgangskontrolpost. Dette er også en meget vigtig sikkerhedskontekst på arbejdsstationen. Derfor er der igen ingen udvidelsesrisiko.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Denne adgangskontrolpost giver alle de tidligere nævnte rettigheder til alle godkendte brugere (AU).
I den sidste adgangskontrolpost kan en bruger i en gruppe med et lavt rettighedsniveau, f.eks. alle godkendte brugere, ændre tjenestens konfiguration. Konfigurationen omfatter den binære fil, der køres, når tjenesten startes, og den konto, som tjenesten køres under.

Følgende eksempel-DACL giver ikke ChangeConf-rettigheder til godkendte brugere:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

På denne DACL, får godkendte brugere (AU) kun følgende rettigheder:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
Der er ingen potentiel risiko for eskalering via gruppen Godkendte brugere, der har fået tildelt disse rettigheder. Gruppen Superbrugere (PU) kan allerede eskalere til LocalSystem og skal derfor ikke betragtes som en eskaleringsrisiko. I dette eksempel har gruppen Superbrugere alle de samme rettigheder som gruppen Godkendte brugere, bortset fra at gruppen Superbrugere også kan starte tjenesten (RP). Derefter kommer vi til gruppen Lokale administratorer (BA). Denne gruppe og den næste gruppe Serveroperatører (SO) har begge tilladelserne ChangeConf, WDac og WOwn. Dette er acceptabelt, da kun de brugere, der er mest tillid til, bør være i gruppen Lokale administratorer eller Serveroperatører.

Gruppen LocalSystem (SY) har de samme tilladelser som gruppen Superbrugere, men har derudover tilladelserne Stop og Pause. Dette virker fornuftigt. De næste to korte adgangskontrolposter giver kontoen Lokal tjeneste og Netværkstjeneste tilladelse til at stoppe tjenesten midlertidigt. Dette virker også fornuftigt, da både Lokal tjeneste og Netværkstjeneste er vigtige lokale konti.

Gruppen Netværkskonfigurationsoperatører (NO) har dog ChangeConf-tilladelser. Gruppen Netværkskonfigurationsoperatører blev tilføjet i Windows XP for at gøre det muligt for brugere, der er tillid til, at ændre netværksindstillinger, uden at de behøver at have komplette administratortilladelser. Gruppen Netværkskonfigurationsoperatører er som standard tom. Gruppen bruges sommetider til at give særlige brugere netværkskonfigurationstilladelser. Ejeren af en bærbar computer kan f.eks. få denne tilladelse. Brugere i gruppen Netværkskonfigurationsoperatører har ofte fysisk kontrol over computeren. Hensigten med denne gruppe er imidlertid ikke at give disse brugere komplette administratortilladelser. Derfor skal denne tjeneste-DACL ikke give gruppen Netværkskonfigurationsoperatører ChangeConf-tilladelser.

Bedste fremgangsmåder

Begræns tjeneste-DACL'er til de brugere, som skal bruge en særlig adgangstype. Udvis især forsigtighed ved følgende rettigheder. Hvis disse rettigheder tildeles til en bruger eller gruppe med et lavt rettighedsniveau, kan rettighederne bruges til at udvide til LocalSystem på computeren:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Yderligere oplysninger om adgangsrettigheder og tilladelser finder du på følgende websted til Microsoft:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Egenskaber

Artikel-id: 914392 - Seneste redigering: 15. februar 2007 - Redigering: 1.4
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Nøgleord: 
kbinfo KB914392

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com