Βέλτιστες πρακτικές και οδηγίες για συντάκτες λιστών διακριτικού ελέγχου πρόσβασης (DACL) σε υπηρεσίες

Αναγν. άρθρου: 914392 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Οι λίστες διακριτικού ελέγχου πρόσβασης (DACL) σε υπηρεσίες είναι σημαντικά στοιχεία της ασφάλειας σταθμών εργασίας και διακομιστών. Αυτό το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base) περιγράφει τον τρόπο ερμηνείας των λιστών διακριτικού ελέγχου πρόσβασης (DACL) σε υπηρεσίες. Αυτό το άρθρο παρέχει επίσης οδηγίες βέλτιστων πρακτικών για συντάκτες λιστών διακριτικού ελέγχου πρόσβασης (DACL) σε υπηρεσίες, κατά την ανάπτυξη και την αξιολόγηση της ασφάλειας των προγραμμάτων τους.
Επιστροφή στην αρχή | Αποστολή σχολίων

ΕΙΣΑΓΩΓΗ

Μπορείτε να χρησιμοποιήσετε αυτό το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base) ως οδηγό, για να σας βοηθήσει να αξιολογήσετε την ασφάλεια των λιστών διακριτικού ελέγχου πρόσβασης (DACL) σε υπηρεσίες.
Επιστροφή στην αρχή | Αποστολή σχολίων

Περισσότερες πληροφορίες

Για να εμφανίσετε τις λίστες διακριτικού ελέγχου πρόσβασης (DACL) για μια υπηρεσία, χρησιμοποιήστε την εντολή sc μαζί με το όρισμα sdshow όπως φαίνεται στο παρακάτω παράδειγμα, όπου όνομα_υπηρεσίας είναι το όνομα της υπηρεσίας της οποίας τις λίστες διακριτικού ελέγχου πρόσβασης (DACL) θέλετε να εμφανίσετε:
sc sdshow όνομα_υπηρεσίας
Η εντολή δημιουργεί αποτελέσματα που είναι παρόμοια με τα παρακάτω:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Αυτό το δείγμα αποτελεσμάτων από την εντολή sc δείχνει την περιγραφή ασφαλείας μιας υπηρεσίας σε σύνταξη SDDL (Security Descriptor Definition Language). Για πληροφορίες σχετικά με τη σύνταξη SDDL, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
(http://msdn2.microsoft.com/en-us/library/aa379567.aspx)
Υπάρχουν πολλά σημεία που πρέπει να ελέγξετε για να προσδιορίσετε αν μια λίστα διακριτικού ελέγχου πρόσβασης (DACL) υπηρεσίας είναι ευάλωτη. Οι παρακάτω πίνακες περιγράφουν τον τρόπο ανάγνωσης των αποτελεσμάτων της εντολής sc, τον τρόπο ερμηνείας κάθε συμβολοσειράς δικαιώματος και τον τρόπο ερμηνείας του χρήστη στον οποίο έχει εκχωρηθεί το δικαίωμα.

Μπορείτε να αξιολογήσετε χωριστά κάθε συμβολοσειρά χαρακτήρων που περικλείεται σε παρενθέσεις χρησιμοποιώντας το ακόλουθο υπόδειγμα:
(Αποδοχή/Άρνηση;;Συμβολοσειρά δικαιωμάτων;;;SID ή αρκτικόλεξο για ενσωματωμένο λογαριασμό ή ομάδα)
(Allow/Deny;;String of permissions;;;SID or acronym for built-in account or group)
Κάθε ζεύγος δύο γραμμάτων στη συμβολοσειρά δικαιωμάτων αντιστοιχεί σε συγκεκριμένο δικαίωμα:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Ζεύγος Δικαίωμα
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GW:GenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Να είστε ιδιαίτερα προσεκτικοί με το δικαίωμα ChangeConf (DC). Αναζητήστε το δικαίωμα ChangeConf όταν προσδιορίζετε αν η υπηρεσία σας είναι ευάλωτη σε επίθεση μέσω προβιβασμού δικαιωμάτων. Αυτό το δικαίωμα επιτρέπει στον κάτοχό του να αλλάξει τις ρυθμίσεις παραμέτρων της υπηρεσίας ώστε να περιλαμβάνουν το δυαδικό αρχείο που εκτελείται κατά την εκκίνηση της υπηρεσίας. Πρέπει επίσης να είστε ιδιαίτερα προσεκτικοί με τα δικαιώματα WDac (WD) και WOwn (WO), επειδή και τα δύο μπορούν να χρησιμοποιηθούν για την ανύψωση των δικαιωμάτων σε LocalSystem. Βεβαιωθείτε ότι αυτά τα δικαιώματα δεν έχουν εκχωρηθεί σε χρήστη με χαμηλά δικαιώματα πρόσβασης. Ο παρακάτω πίνακας περιέχει τους κωδικούς που χρησιμοποιούνται για τον προσδιορισμό του τύπου χρήστη στον οποίο εκχωρείται πρόσβαση στη σύνταξη SDDL.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΚωδικόςΤύπος χρήστη
DADomain Administrators
DGDomain Guests
DUDomain Users
EDEnterprise Domain Controllers
DDDomain Controllers
DCDomain Computers
BABuilt-in (Local ) Administrators
BGBuilt-in (Local ) Guests
BUBuilt-in (Local ) Users
LALocal Administrator Account
LGLocal Guest Account
AOAccount Operators
BOBackup Operators
POPrinter Operators
SOServer Operators
AUAuthenticated Users
PSPersonal Self
COCreator Owner
CGCreator Group
SYLocal System
PUPower Users
WDEveryone (World)
REReplicator
IUInteractive Logon User
NUNetwork Logon User
SUService Logon User
RCRestricted Code
WRWrite Restricted Code
ANAnonymous Logon
SASchema Administrators
CACertificate Services Administrators
RSRemote Access Servers Group
EAEnterprise Administrators
PAGroup Policy Administrators
RUAlias to Allow Previous Windows 2000
LSLocal Service Account (for Services)
NSNetwork Service Account (for Services)
RDRemote Desktop Users (for Terminal Services)
NONetwork Configuration Operators
MUPerformance Monitor Users
LUPerformance Log Users
ISAnonymous Internet Users
CYCrypto Operators
OWOwner Rights SID
RMRMS Service

Τρόπος ερμηνείας μιας συμβολοσειράς λίστας διακριτικού ελέγχου πρόσβασης (DACL) σε μορφή SDDL

Αυτές οι πληροφορίες περιγράφουν τον τρόπο ερμηνείας του δείγματος συμβολοσειράς λίστας διακριτικού ελέγχου πρόσβασης (DACL) που παρατίθεται στην αρχή αυτού του άρθρου. Αυτή η ερμηνεία εμφανίζει κάθε καταχώρηση ελέγχου πρόσβασης (ACE) χωριστά.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) δίνει στο λογαριασμό LocalSystem (SY) τα παρακάτω δικαιώματα:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    Η καταχώρηση ελέγχου πρόσβασης (ACE) περιορίζεται στο λογαριασμό LocalSystem. Αυτό είναι καλό για την ασφάλεια, επειδή ο λογαριασμός LocalSystem είναι ήδη το πιο ισχυρό περιβάλλον ασφαλείας στο σταθμό εργασίας. Επομένως, δεν υπάρχει κίνδυνος προβιβασμού δικαιωμάτων.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) αφορά τους ενσωματωμένους τοπικούς διαχειριστές (BA). Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) δίνει τα ίδια δικαιώματα με την προηγούμενη καταχώρηση ελέγχου πρόσβασης (ACE) σε όλους τους τοπικούς διαχειριστές. Αυτό είναι επίσης ένα πολύ ισχυρό περιβάλλον ασφαλείας στο σταθμό εργασίας. Επομένως, και σε αυτήν την περίπτωση δεν υπάρχει κίνδυνος προβιβασμού δικαιωμάτων.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) δίνει όλα τα παραπάνω δικαιώματα σε οποιονδήποτε χρήστη του οποίου η ταυτότητα έχει ελεγχθεί (AU).
Στην τελευταία καταχώρηση ελέγχου πρόσβασης (ACE), ένας χρήστης σε ομάδα με χαμηλά δικαιώματα, όπως οποιοσδήποτε χρήστης του οποίου η ταυτότητα έχει ελεγχθεί, μπορεί να αλλάξει τις ρυθμίσεις παραμέτρων της υπηρεσίας. Η ρύθμιση παραμέτρων περιλαμβάνει το δυαδικό αρχείο που εκτελείται κατά την εκκίνηση της υπηρεσίας και το λογαριασμό με τον οποίο εκτελείται η υπηρεσία.

Το ακόλουθο δείγμα λίστας διακριτικού ελέγχου πρόσβασης (DACL) δεν δίνει δικαιώματα ChangeConf σε χρήστες των οποίων έχει ελεγχθεί η ταυτότητα:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

Σε αυτήν τη λίστα διακριτικού ελέγχου πρόσβασης (DACL), στους χρήστες των οποίων έχει ελεγχθεί η ταυτότητα (AU) εκχωρούνται μόνο τα παρακάτω δικαιώματα:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
Δεν υπάρχουν πιθανοί κίνδυνοι προβιβασμού δικαιωμάτων μέσω της ομάδας Authenticated Users όταν της έχουν εκχωρηθεί αυτά τα δικαιώματα. Η ομάδα Power Users (PU) μπορεί ήδη να προβιβαστεί σε LocalSystem, επομένως δεν θεωρείται ότι υπάρχει κίνδυνος προβιβασμού μέσω αυτής. Σε αυτό το παράδειγμα, η ομάδα Power Users έχει τα ίδια δικαιώματα με την ομάδα Authenticated Users, με τη διαφορά ότι η ομάδα Power Users μπορεί επίσης να ξεκινήσει την υπηρεσία (RP). Στη συνέχεια έχουμε την ομάδα Local Administrators (BA). Αυτή και η επόμενη ομάδα, η ομάδα Server Operators (SO), έχουν και οι δύο δικαιώματα ChangeConf, WDac και WOwn. Αυτό είναι αποδεκτό, επειδή μόνο οι πιο αξιόπιστοι χρήστες πρέπει να είναι στην ομάδα Local Administrators ή Server Operators.

Στην ομάδα LocalSystem (SY) εκχωρούνται τα ίδια δικαιώματα με την ομάδα Power Users, αλλά της εκχωρούνται επίσης τα δικαιώματα Stop και Pause. Αυτό είναι λογικό. Οι δύο μικρές καταχωρήσεις ελέγχου πρόσβασης (ACE) που ακολουθούν δίνουν στο λογαριασμό Local Service και στο λογαριασμό Network Service δικαιώματα για παύση της υπηρεσίας. Αυτό είναι επίσης λογικό, καθώς οι λογαριασμοί Local Service και Network Service είναι και οι δύο ισχυροί τοπικοί λογαριασμοί.

Στην ομάδα Network Configuration Operators (NO), ωστόσο, εκχωρούνται δικαιώματα ChangeConf. Η ομάδα Network Configuration Operators προστέθηκε στα Windows XP για να επιτρέπεται σε αξιόπιστους χρήστες να αλλάξουν τις ρυθμίσεις δικτύου χωρίς να έχουν πλήρη δικαιώματα διαχειριστή. Από προεπιλογή, η ομάδα Network Configuration Operators είναι κενή. Η ομάδα χρησιμοποιείται μερικές φορές για να εκχωρούνται δικαιώματα ρύθμισης παραμέτρων δικτύου σε συγκεκριμένους χρήστες. Για παράδειγμα, μπορεί να εκχωρηθεί αυτό το δικαίωμα στον ιδιοκτήτη ενός φορητού υπολογιστή. Οι χρήστες στην ομάδα Network Configuration Operators συχνά έχουν τον φυσικό έλεγχο του υπολογιστή. Ωστόσο, ο σκοπός αυτής της ομάδας είναι να μην εκχωρούνται σε αυτούς τους χρήστες πλήρη δικαιώματα διαχειριστή. Επομένως, αυτή η λίστα διακριτικού ελέγχου πρόσβασης (DACL) υπηρεσίας δεν πρέπει να εκχωρεί δικαιώματα ChangeConf στην ομάδα Network Configuration Operators.

Βέλτιστες πρακτικές

Περιορίστε τις λίστες διακριτικού ελέγχου πρόσβασης (DACL) υπηρεσίας μόνο στους χρήστες που χρειάζονται συγκεκριμένο είδος πρόσβασης. Να είστε ιδιαίτερα προσεκτικοί με τα παρακάτω δικαιώματα. Εάν αυτά τα δικαιώματα εκχωρηθούν σε χρήστη ή ομάδα με χαμηλά δικαιώματα, τα δικαιώματα αυτά είναι δυνατό να χρησιμοποιηθούν για προβιβασμό σε LocalSystem στον υπολογιστή:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Για περισσότερες πληροφορίες σχετικά με τα δικαιώματα πρόσβασης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://msdn2.microsoft.com/en-us/library/ms685981.aspx
(http://msdn2.microsoft.com/en-us/library/ms685981.aspx)
Επιστροφή στην αρχή | Αποστολή σχολίων

Ιδιότητες

Αναγν. άρθρου: 914392 - Τελευταία αναθεώρηση: Πέμπτη, 15 Φεβρουαρίου 2007 - Αναθεώρηση: 1.4
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Λέξεις-κλειδιά: 
kbinfo KB914392
Επιστροφή στην αρχή | Αποστολή σχολίων

Αποστολή σχολίων

 
Επιστροφή στην αρχήΕπιστροφή στην αρχή