Procedure consigliate e informazioni aggiuntive per gli autori di elenchi di controllo di accesso discrezionale (DACL) per i servizi

Traduzione articoli Traduzione articoli
Identificativo articolo: 914392 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Gli elenchi di controllo di accesso discrezionale (DACL) per i servizi sono componenti importanti della protezione di workstation e server. In questo articolo della Microsoft Knowledge Base viene descritto come interpretare gli elenchi DACL per i servizi. Vengono inoltre fornite informazioni aggiuntive e procedure consigliate per gli autori di elenchi DACL per i servizi. Tali informazioni risulteranno utili nello sviluppo e nella valutazione della protezione dei programmi.

INTRODUZIONE

╚ possibile utilizzare questo articolo della Microsoft Knowledge Base come guida di riferimento per valutare la protezione degli elenchi DACL per i servizi.

Informazioni

Per visualizzare gli elenchi DACL relativi a un servizio, utilizzare il comando sc con l'argomento sdshow come mostrato nell'esempio seguente, dove nome_servizio Ŕ il nome del servizio di cui si desiderare visualizzare gli elenchi DACL:
sc sdshow nome_servizio
L'output del comando Ŕ analogo al seguente:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
In questo output di esempio del comando sc viene mostrata la descrizione della protezione di un servizio con la sintassi SDDL (Security Descriptor Definition Language). Per informazioni sulla sintassi SDDL, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Occorre considerare diversi elementi per stabilire se un elenco DACL relativo a un servizio Ŕ vulnerabile. Nelle tabelle che seguono viene descritto come leggere l'output del comando sc, come interpretare ciascuna stringa di autorizzazione e come capire a chi l'autorizzazione Ŕ accordata.

Ogni stringa di caratteri racchiusi tra parentesi pu˛ essere valutata indipendentemente utilizzando la seguente chiave:
(A - Consenti /D - Nega;;Stringa di autorizzazioni;;;SID o acronimo dell'account o del gruppo predefinito)
Ogni coppia di lettere della stringa delle autorizzazioni corrisponde a un'autorizzazione o a un diritto specifico:
Riduci questa tabellaEspandi questa tabella
Coppia Diritto o autorizzazione
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Avvio
WPArresto
DTSospensione
LOInterrogazione
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Esercitare la massima cautela con l'autorizzazione ChangeConf (DC). Considerare l'autorizzazione ChangeConf qualora si desideri capire se il servizio Ŕ vulnerabile a un attacco consistente nell'elevazione di privilegi. Questa autorizzazione consente alla persona designata di modificare la configurazione del servizio in modo da includervi il file binario che viene eseguito all'avvio del servizio stesso. Occorre inoltre esercitare un'estrema cautela con le autorizzazioni WDac (WD) e WOwn (WO) in quanto entrambe possono essere utilizzate per acquisire le autorizzazioni LocalSystem. Assicurarsi che questi diritti non vengano accordati a un utente che dispone di autorizzazioni di livello basso. Nella tabella seguente vengono indicati i codici della sintassi SDDL utilizzati per identificare il tipo di utente a cui Ŕ accordato l'accesso.
Riduci questa tabellaEspandi questa tabella
CodiceTipo di utente
DADomain Administrators
DGDomain Guests
DUDomain Users
EDController di dominio organizzazione
DDController di dominio
DCComputer del dominio
BAAdministrators pre-esistenti (locali)
BGGuests pre-esistenti (locali)
BUUsers pre-esistenti (locali)
LAAccount Amministratore locale
LGAccount Utente guest locale
AOAccount Operators
BOBackup Operators
POPrinter Operators
SOServer Operators
AUAuthenticated Users
PSUtente interattivo
COCreator Owner
CGGruppo creatore
SYSistema locale
PUPower Users
WDEveryone (mondo)
REReplicator
IUUtente accesso interattivo
NUUtente accesso di rete
SUUtente accesso al servizio
RCCodice ristretto
WRScrittura di codice ristretto
ANAccesso anonimo
SAAmministratori di schema
CAAmministratori di Servizi certificati
RSGruppo Server di Accesso remoto
EAAmministratori dell'organizzazione
PAAmministratori di Criteri di gruppo
RUAlias per utenti pre-Windows 2000
LSAccount Servizio locale (per i servizi)
NSAccount Servizio di rete (per i servizi)
RDUtenti desktop remoto (per Servizi terminal)
NONetwork Configuration Operators
MUUtenti di Performance Monitor
LUUtenti registro prestazioni
ISUtenti anonimi Internet
CYOperatori crittografia
OWSID diritti proprietario
RMServizio RMS

Come interpretare una stringa DACL nel formato SDDL

Di seguito viene descritto come interpretare l'esempio di stringa DACL riportato all'inizio di questo articolo. Viene interpretata singolarmente ciascuna voce di controllo di accesso (ACE).
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Questa voce di controllo di accesso assegna a LocalSystem (SY) i seguenti diritti:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Avvio
    • Arresto
    • Sospensione
    • Interrogazione
    • UserDefined
    • Eliminazione
    • RCtl
    • WDac
    • WOwn
    La voce di controllo di accesso Ŕ limitata a LocalSystem. Ci˛ rappresenta una buona misura di protezione in quanto LocalSystem Ŕ giÓ il contesto di protezione maggiore della workstation, perci˛ non vi Ŕ il rischio di elevazione dei privilegi.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Questa voce di controllo di accesso riguarda gli amministratori pre-esistenti locali (BA) e assegna gli stessi diritti della voce precedente a tutti gli amministratori locali. Anche questo Ŕ un contesto di protezione molto solido della workstation, perci˛ non vi Ŕ neppure in questo caso il rischio di elevazione dei privilegi.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Questa voce di controllo di accesso assegna tutti i diritti precedenti a qualsiasi utente autenticato (AU).
Nell'ultima voce di controllo di accesso un utente di un gruppo che dispone di diritti di livello basso, ad esempio qualsiasi utente autenticato, pu˛ modificare la configurazione del servizio. La configurazione include il file binario che viene eseguito all'avvio del servizio e l'account con cui il servizio viene eseguito.

Il seguente elenco di controllo di accesso discrezionale di esempio non assegna i diritti ChangeConf agli utenti autenticati:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

In questo elenco DACL agli utenti autenticati (AU) vengono assegnati solo i seguenti diritti:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogazione
  • UserDefined
  • RCtl
Con questi diritti accordati, non vi sono rischi potenziali di elevazione dei privilegi tramite il gruppo Authenticated Users. Il gruppo Power Users (PU) pu˛ giÓ elevare i propri privilegi a quelli di LocalSystem, pertanto non pu˛ essere considerato un rischio. In questo esempio, il gruppo Power Users ha gli stessi diritti del gruppo Authenticated Users, con la differenza che il gruppo Power Users pu˛ anche avviare il servizio (RP). Il gruppo degli amministratori locali (BA) Ŕ il successivo. Questo gruppo e quello seguente, il gruppo Server Operators (SO), dispongono delle autorizzazioni ChangeConf, WDac e WOwn. Ci˛ Ŕ accettabile perchÚ solo gli utenti pi¨ affidabili devono far parte del gruppo degli amministratori locali o del gruppo Server Operators.

Al gruppo LocalSystem (SY) sono assegnate le stesse autorizzazioni del gruppo Power Users, oltre alle autorizzazioni di arresto e sospensione. Ci˛ appare appropriato. Le due successive brevi voci di controllo di accesso assegnano all'account Servizio locale e all'account Servizio di rete le autorizzazioni per sospendere il servizio. Anche questa assegnazione sembra appropriata in quanto gli account Servizio locale e Servizio di rete sono account locali solidi.

Al gruppo Network Configuration Operators (NO), tuttavia, sono assegnate le autorizzazioni ChangeConf. Il gruppo Network Configuration Operators Ŕ stato aggiunto in Windows XP per consentire agli utenti affidabili di modificare le impostazioni di rete senza dover disporre di autorizzazioni di amministratore complete. Per impostazione predefinita il gruppo Network Configuration Operators Ŕ vuoto. Talvolta questo gruppo viene utilizzato per assegnare a specifici utenti autorizzazioni relative alla configurazione di rete. Queste autorizzazioni possono ad esempio essere assegnate al proprietario di un computer portatile. Gli utenti del gruppo Network Configuration Operators hanno spesso il controllo fisico del computer. Tuttavia lo scopo di questo gruppo non Ŕ di conferire a tali utenti autorizzazioni di amministratore complete. Pertanto questo elenco DACL non dovrebbe assegnare le autorizzazioni ChangeConf al gruppo Network Configuration Operators.

Procedure consigliate

Limitare gli elenchi DACL per i servizi solo agli utenti che necessitano di un particolare tipo di accesso. Esercitare particolare cautela nell'utilizzo dei diritti riportati di seguito. Se infatti tali diritti vengono conferiti a un utente o a un gruppo che dispone di diritti di livello inferiore, questi diritti possono essere utilizzati per acquisire i diritti LocalSystem sul computer:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Per ulteriori informazioni sui diritti e sulle autorizzazioni di accesso, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

ProprietÓ

Identificativo articolo: 914392 - Ultima modifica: giovedý 15 febbraio 2007 - Revisione: 1.4
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbinfo KB914392
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com