הנחיות ושיטות עבודה מומלצות למחברי 'רשימות בקרת גישה לפי שיקול דעת' עבור שירותים

תרגומי מאמרים תרגומי מאמרים
Article ID: 914392 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

תקציר

רשימות בקרת גישה לפי שיקול דעת (DACL) עבור שירותים הן מרכיבים חשובים באבטחת תחנות עבודה ושרתים. מאמר Microsoft Knowledge Base זה מתאר כיצד לפרש את רשימות ה-DACL לשירותים. מאמר זה גם מספק הנחיות בנוגע לשיטות העבודה המומלצות עבור מחברי רשימות DACL לשירותים, כאשר הם מפתחים ובודקים את האבטחה בתוכניותיהם.

מבוא

ניתן להשתמש במאמר זה מתוך Microsoft Knowledge Base כמדריך שיסייע להעריך את האבטחה של רשימות בקרת גישה לפי שיקול דעת (רשימות DACL).

מידע נוסף

על מנת להציג רשימות DACL עבור שירות מסוים, השתמש בפקודה sc ביחד עם הארגומנט sdshow כפי שניתן לראות בדוגמה הבאה, כאשר service_name הוא שם השירות שאת רשימת DACL שלו ברצונך להציג:
sc sdshow service_name
הפקודה מייצרת תוצאות דומות לתוצאות הבאות:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
בדוגמת פלט זו מהפקודה sc ניתן לראות תיאור אבטחה של שירות בתחביר שפת הגדרת מתארי אבטחה (SDDL). למידע על תחביר SDDL, בקר באתר הבא של Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
כדי לקבוע אם רשימת DACL של שירות פגיעה, יש לשים לב למספר דברים. הטבלאות הבאות מתארות כיצד לקרוא את תוצאות הפקודה sc, כיצד לפרש כל אחת ממחרוזות ההרשאות וכיצד לפרש למי ניתנה ההרשאה.

ניתן להעריך לחוד כל מחרוזת תווים המוקפים בסוגריים, בעזרת המפתח הבא:
(מותר/אסור;;מחרוזת הרשאות;;;SID או קיצור לחשבון או קבוצה מוכללים)
כל זוג של שתי אותיות במחרוזת ההרשאות מקביל לזכות או הרשאה ספציפיות:
כווץ את הטבלההרחב את הטבלה
זוגזכות או הרשאה
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

נהג בזהירות רבה בעת הטיפול בהרשאה ChangeConf (DC)?. חפש את ההרשאה ChangeConf כאשר אתה מברר אם השירות פגיע להתקפה מסוג העלאת רמת הרשאה. הרשאה זו מאפשרת למשתמש המיועד לשנות את תצורת השירות כך שיכלול את הקובץ הבינארי שמופעל כאשר מפעילים את השירות. כמו כן יש לנהוג בזהירות רבה מאד בעת הטיפול בהרשאות WDac (WD)? ו-WOwn (WO)?, כיוון ששתיהן יכולות לשמש להסלמת הרשאות ל-LocalSystem. ודא שהזכויות האלה לא הוענקו למשתמש בעל הרשאות נמוכות. טבלה זו מפרטת את הקודים המשמשים לזיהוי סוג המשתמש שהוענקה לו גישה בתחביר SDDL.
כווץ את הטבלההרחב את הטבלה
קודסוג משתמש
DAמנהלי תחום
DGאורחי תחום
DUמשתמשי תחום
EDבקרי תחום בארגון
DDבקרי תחום
DCמחשבי תחום
BAמנהלים מוכללים (מקומיים)
BGאורחים מוכללים (מקומיים)
BUמשתמשים מוכללים (מקומיים)
LAחשבון מנהל מקומי
LGחשבון אורח מקומי
AOמפעילי חשבונות
BOמפעילי גיבויים
POמפעילי מדפסות
SOמפעילי שרתים
AUמשתמשים מאומתים
PSעצמי אישי
COהבעלים של היוצר
CGקבוצת היוצר
SYמערכת מקומית
PUמשתמשים מתקדמים
WDכולם (העולם)
REמשכפל
IUמשתמש כניסה אינטראקטיבית
NUמשתמש כניסה לרשת
SUמשתמש כניסה לשירות
RCקוד מוגבל
WRקוד כתיבה מוגבלת
ANכניסה אנונימית
SAמנהלי סכימה
CAמנהלים של שירותי אישורים
RSקבוצת שרתי גישה מרחוק
EAמנהלי ארגון
PAמנהלי מדיניות קבוצתית
RUכינוי המאפשר Windows 2000 קודם
LSחשבון שירות מקומי (עבור שירותים)
NSחשבון שירות רשת (עבור שירותים)
RDמשתמשי שולחן עבודה מרוחק (עבור שירותי מסוף)
NOמפעילי תצורות רשת
MUמשתמשי צג הביצועים
LUמשתמשי יומני רישום של ביצועים
ISמשתמשי אינטרנט אנונימיים
CYמפעילי הצפנה
OWSID של זכויות בעלים
RMשירות RMS

כיצד לפרש מחרוזת DACL בעיצוב SDDL

מידע זה מתאר כיצד לפרש את דוגמת מחרוזת DACL המופיעה בראש מאמר זה. פירוש זה מפרט כל ערך בקרת גישה (ACE) לחוד.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    ערך בקרת גישה (ACE) זה מעניק ל-LocalSystem (SY)? את הזכויות הבאות:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    ערך בקרת הגישה (ACE) מוגבל ל-LocalSystem. הדבר מועיל לאבטחה כיוון שכבר עכשיו LocalSystem הוא הקשר האבטחה בעל העוצמה הגבוהה ביותר בתחנת העבודה. לכן, אין סכנה של העלאת רמת ההרשאה.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    ערך בקרת הגישה (ACE) הזה חל על מנהלים מוכללים מקומיים (BA). ערך בקרת הגישה (ACE) הזה מעניק את אותן זכויות שהעניק ערך בקרת הגישה הקודם לכל המנהלים המקומיים. גם כאן מדובר בהקשר אבטחה בעל עוצמה רבה בתחנת העבודה. לכן, שוב, אין סכנה של העלאת רמת ההרשאה.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    ערך בקרת הגישה (ACE) הזה מעניק את כל הזכויות הקודמות לכל משתמש מאומת (AU).
בעזרת ערך בקרת הגישה (ACE) האחרון, יכול משתמש בקבוצה בעלת זכויות נמוכות (לדוגמה כל משתמש מאומת) לשנות את תצורת השירות. התצורה כוללת את הקובץ הבינארי שפועל כאשר מפעילים את השירות ואת החשבון שתחתיו פועל השירות.

דוגמת DACL הבאה לא מעניקה זכויות ChangeConf למשתמשים מאומתים:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

ברשימת DACL זו, מוענקות למשתמשים מאומתים (AU) הזכויות הבאות בלבד:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
אין סכנות פוטנציאליות להסלמה דרך קבוצת המשתמשים המאומתים כאשר מוענקות זכויות אלה. קבוצת משתמשים מתקדמים (PU) כבר יכולה להסלים ל-LocalSystem, כך שאין לראות בכך סכנת הסלמה. בדוגמה זו, לקבוצת המשתמשים המתקדמים יש זכויות זהות לאלה של קבוצת המשתמשים המאומתים, למעט העובדה שקבוצת המשתמשים המתקדמים יכולה גם להפעיל את השירות (RP). הקבוצה הבאה היא קבוצת המנהלים המקומיים (BA). לקבוצה זו ולקבוצה הבאה, קבוצת מפעילי שרתים (SO), יש הרשאות ChangeConf?, WDac ו-WOwn. הדבר קביל כיוון שרק המשתמשים המהימנים ביותר צריכים להיות בקבוצת מנהלים מקומיים או בקבוצת מפעילי שרתים.

לקבוצת LocalSystem (SY)? מוענקות הרשאות זהות לאלה של קבוצת משתמשים מתקדמים אבל מוענקות לה גם הרשאות Stop ו-Pause. הרשאות אלה הולמות את הנדרש. שני ערכי בקרת גישה הקצרים הבאים מעניקים לחשבון השירות המקומי ולחשבון שירות הרשת הרשאות להשהות את השירות. גם זה נראה הולם כיוון ש'שירות מקומי' ו'שירות רשת' הם שני חשבונות מקומיים בעלי עוצמה.

עם זאת, לקבוצת מפעילי תצורת רשת (NO) מוענקות הרשאות ChangeConf. קבוצת מפעילי תצורת הרשת התווספה ל-Windows XP על מנת לאפשר למשתמשים מהימנים לשנות הגדרות רשת ללא צורך בהרשאות מנהל מלאות. כברירת מחדל, קבוצת מפעילי תצורת הרשת ריקה. קבוצה זו משמשת לעתים כדי להעניק הרשאות תצורת רשת למשתמשים ספציפיים. לדוגמה, ניתן להעניק הרשאה זו לבעלי מחשב נייד. לעתים קרובות למשתמשים בקבוצת מפעילי תצורת רשת יש שליטה פיזית על המחשב. אולם מטרת קבוצה זו היא שלא להעניק למשתמשים אלה הרשאות מנהל מלאות. לכן, רשימת DACL לשירות זו אינה אמורה להעניק הרשאות ChangeConf לקבוצת מפעילי תצורת רשת.

שיטות עבודה מומלצות

הגבל את רשימות DACL לשירותים אך ורק למשתמשים שזקוקים לסוג גישה מסוים. היזהר במיוחד כאשר מדובר בזכויות הבאות. אם מעניקים זכויות אלה למשתמש או לקבוצה בעלי זכויות נמוכות, ניתן להשתמש בזכויות אלה כדי לעלות לרמת LocalSystem במחשב.
  • ChangeConf (DC)?
  • WDac (WD)?
  • WOwn (WO)?
לקבלת פרטים נוספים על זכויות והרשאות גישה, בקר באתר האינטרנט של Microsoft שכתובתו:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

מאפיינים

Article ID: 914392 - Last Review: יום חמישי 15 פברואר 2007 - Revision: 1.4
המידע במאמר זה חל על:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
מילות מפתח 
kbinfo KB914392

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com