Gyakorlati tanácsok és útmutató a szolgáltatások egyedi hozzáférés-szabályozási listáinak elkészítéséhez

A cikk fordítása A cikk fordítása
Cikk azonosítója: 914392 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A szolgáltatások egyedi hozzáférés-szabályozási listái (DACL-jei) a munkaállomások és kiszolgálók biztonsági rendszerének fontos összetevői. A Microsoft Tudásbázis jelen cikke segítséget nyújt a szolgáltatásokra beállított hozzáférés-szabályozási listák értelmezésében, valamint gyakorlati tanácsokkal szolgál a hozzáférés-szabályozási listái készítőinek a programok biztonságának fejlesztéséhez és felméréséhez.

BEVEZETÉS

A Microsoft Tudásbázis jelen cikke útmutatót nyújt a szolgáltatások hozzáférés-szabályozási listáinak biztonsági szempontból való megítéléséhez.

További információ

Az adott szolgáltatáshoz beállított hozzáférés-szabályozási listák megjelenítéséhez használja az sc parancsot az sdshow paraméterrel az alábbi példában látható módon, ahol szolgáltatásnév azon szolgáltatás neve, amelynek hozzáférés-szabályozási listáit meg kívánja jeleníteni:
sc sdshow szolgáltatásnév
A parancs a következőkhöz hasonló eredményt ad:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Az sc parancs ezen példakimenete az adott szolgáltatás biztonsági leíró definíciós nyelvnek (Security Descriptor Definition Language – SDDL) megfelelő szintaxisú biztonsági leírását tartalmazza. Az SDDL szintaxisról részletesebben a Microsoft következő webhelyén olvashat:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
A szolgáltatások hozzáférés-szabályozási listái által nyújtott biztonság megítélésekor számos szempontot figyelembe kell venni. Az alábbi táblázat ismerteti az sc parancs eredményének és az egyes engedély-karakterláncoknak az értelmezési módját, valamint azt, hogy miként állapítható meg, hogy ki rendelkezik az adott engedéllyel.

Az egyes zárójelek közötti karakterláncok az alábbi kulcs alapján értelmezendők:
(Engedélyezve (A)/Tiltva (D);;Engedély-karakterláncok;;;A beépített fiók vagy csoport)
Az engedély-karakterláncok mindegyik kétbetűs eleme egy-egy jogot vagy engedélyt jelöl:
A táblázat összecsukásaA táblázat kibontása
Betűpár Jog vagy engedély
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

A ChangeConf (DC) engedély használata alapos körültekintést igényel. A ChangeConf engedély alapján megállapítható, hogy az adott szolgáltatás ki van-e téve illetéktelen jogosultságok megszerzésén alapuló támadásoknak. Ez az engedély lehetővé teszi, hogy a jogosult belefoglalja a szolgáltatás konfigurációjába az indításkor futtatandó bináris fájlt. Hasonló óvatossággal kell eljárni a WDac (WD) és a WOwn (WO) engedély használatakor, mivel mindkét engedély kiterjeszthető a LocalSystem csoport engedélyeire. Minden esetben győződjön meg arról, hogy ilyen engedélyeket nem kapnak alacsony jogosultsági szintű felhasználók. Az alábbi táblázat felsorolja azokat az SDDL szintaxis szerinti kódokat, amelyek alapján megállapítható, hogy az adott hozzáférési engedély mely felhasználónak van megadva.
A táblázat összecsukásaA táblázat kibontása
KódFelhasználó típusa
DATartományi rendszergazdák
DGTartományi vendégek
DUTartományi felhasználók
EDVállalati tartományvezérlők
DDTartományvezérlők
DCTartományi számítógépek
BABeépített (helyi) rendszergazdák
BGBeépített (helyi) vendégek
BUBeépített (helyi) felhasználók
LAHelyi rendszergazdafiók
LGHelyi vendégfiók
AOFiókfelelősök
BOBiztonságimásolat-felelősök
PONyomtatófelelősök
SOKiszolgálófelelősök
AUHitelesített felhasználók
PSÖnmaga
COLétrehozó tulajdonos
CGLétrehozó csoport
SYHelyi rendszer
PUKiemelt felhasználók
WDMindenki (World)
REReplikáló
IUInteraktív módon bejelentkezett felhasználó
NUHálózatba bejelentkezett felhasználó
SUSzolgáltatásba bejelentkezett felhasználó
RCKorlátozott kód
WRÍráskorlátozott kód
ANNévtelen bejelentkezés
SASémarendszergazdák
CATanúsítványszolgáltatások felügyelői
RSTávelérési kiszolgálócsoportok
EAVállalati rendszergazdák
PACsoportházirend-felügyelők
RUAlias a Windows 2000 előtti rendszerek engedélyezésére
LSHelyi szolgáltatásfiók (a szolgáltatásokhoz)
NSHálózatszolgáltatás fiók (a szolgáltatásokhoz)
RDAsztal távoli felhasználói (a terminálszolgáltatásokhoz)
NOHálózatbeállítási felelősök
MUTeljesítményfigyelő felhasználói
LUTeljesítménynapló felhasználói
ISNévtelen internetes felhasználók
CYTitkosítási felelősök
OWTulajdonosi jogok SID azonosítója
RMRMS szolgáltatás

Az SDDL formátumú egyedi hozzáférés-szabályozási karakterláncok értelmezése

Az alábbiakban a cikk tetején példaként bemutatott hozzáférés-szabályozási karakterlánc értelmezését segítő információk olvashatók. A hozzáférés-szabályozó bejegyzések egyenként vannak felsorolva.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Ez a hozzáférés-szabályozó bejegyzés a következő jogokat biztosítja a helyi rendszerfióknak (SY):
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    A hozzáférés-szabályozó bejegyzés csak a helyi rendszerfiókra érvényes. Ez biztonsági szempontból azért kedvező, mert a helyi rendszerfiók eleve a legtágabb biztonsági környezet a helyi munkaállomáson, így nem áll fenn a jogosultsági szint illetéktelen megemelésének veszélye.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Ez a hozzáférés-szabályozó bejegyzés a beépített helyi rendszergazdákra (BA) vonatkozik, és az előző hozzáférés-szabályozó bejegyzéssel azonos jogokat biztosít az összes helyi rendszergazdának. Ez a bejegyzés is igen tág biztonsági környezetet biztosít a munkaállomásokon, így szintén nem áll fenn a jogosultsági szint illetéktelen megemelésének veszélye.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Ez a hozzáférés-szabályozási bejegyzés az előbbiekben említett jogokat biztosítja az összes hitelesített felhasználónak (AU).
Az iménti hozzáférés-szabályozó bejegyzés esetén az alacsony jogosultságú felhasználók – például a hitelesített felhasználók – módosíthatják a szolgáltatás konfigurációját. A konfigurációba beletartozik a szolgáltatás indításakor futtatott bináris fájl, valamint az a fiók, amely nevében a szolgáltatás fut.

A következő hozzáférés-szabályozó bejegyzés esetén például nem kapnak ChangeConf engedélyt a hitelesített felhasználók:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

Ezen hozzáférés-szabályozó bejegyzés szerint a hitelesített felhasználók (AU) csak a következő jogokat kapják meg:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
Ezen jogok esetén nem áll fenn annak a veszélye, hogy illetéktelenül módosítják a felhasználói engedélyeket a Hitelesített felhasználók csoporton keresztül. A Kiemelt felhasználók (PU) csoport eleve a helyi rendszerfiók szintjére emelhető, ezért használata nem jár az engedélyek illetéktelen módosításának kockázatával. A példában a Kiemelt felhasználók csoport a Hitelesített felhasználók csoporttal azonos engedélyeket kap attól eltekintve, hogy a hitelesített felhasználók el is indíthatják a szolgáltatást (RP). A következő a Helyi rendszergazdák (BA) csoport. Ez és a következő csoport – Kiszolgálófelelősök (SO) – egyaránt a ChangeConf, WDac és WOwn engedéllyel rendelkezik. Ez azért megfelelő gyakorlat, mert a leginkább megbízható felhasználóknak a Helyi rendszergazdák vagy a Kiszolgálófelelősök csoportban kell lenniük.

A LocalSystem (SY) csoport a Kiemelt felhasználók csoporttal azonos engedélyeket kap, valamint rendelkezik leállítási (Stop) és megszakítási (Pause) joggal is. Ez nem megfelelő gyakorlat. A következő két rövid hozzáférés-szabályozó bejegyzés a szolgáltatás leállítására vonatkozó engedélyt ad a helyi és a hálózati szolgáltatásfióknak. Ez szintén helytelen, mivel mind a helyi szolgáltatások, mind a hálózati szolgáltatások tág biztonsági környezetű helyi fiókokkal futnak.

A Hálózatbeállítási felelősök (NO) csoport azonban a ChangeConf engedélyt kapja. A Hálózatbeállítási felelősök csoport a Windows XP rendszerben jelent meg annak érdekében, hogy a megbízható felhasználók teljes rendszergazdai jogosultság nélkül is módosíthassák a hálózati beállításokat. A Hálózatbeállítási felelősök csoport alapértelmezés szerint üres. A csoportot egyes esetekben hálózatbeállítási engedélyek adott felhasználóknak való megadására használják. Megadható például ez az engedély a hordozható számítógépek tulajdonosainak. A Hálózatbeállítási felelősök csoport tagjai ritkán kapnak fizikai vezérlési jogot a számítógépen. A csoport elsődleges célja azonban a teljes rendszergazdai engedélyek korlátozása, ezért ebben az egyedi hozzáférés-szabályozó listában nem tanácsos ChangeConf engedélyt adni a Hálózatbeállítási felelősök csoportnak.

Gyakorlati tanácsok

Korlátozza az egyedi hozzáférés-szabályozó listákat azokra a felhasználókra, akiknek egy adott hozzáféréstípusra van szükségük. Az alábbi jogosultságok megadásakor különös figyelemmel kell eljárni, mivel alacsony jogosultsági szintű vagy ilyen csoportba tartozó felhasználókhoz való használata lehetővé teszi a jogosultsági szint módosítását a számítógép LocalSystem fiókjára:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
A Microsoft alábbi webhelyén további információk állnak rendelkezésre a hozzáférési jogokról és engedélyekről:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Tulajdonságok

Cikk azonosítója: 914392 - Utolsó ellenőrzés: 2007. február 15. - Verziószám: 1.4
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Kulcsszavak: 
kbinfo KB914392
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com