Aanbevelingen en richtlijnen voor schrijvers van DACL-lijsten (Discretionary Access Control List) voor services

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 914392 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

DACL-lijsten (Discretionary Access Control List) voor services zijn belangrijke onderdelen voor de beveiliging van werkstations en servers. In dit Microsoft Knowledge Base-artikel wordt beschreven hoe u de DACL-lijsten voor services moet interpreteren. Bovendien bevat dit artikel aanbevelingen en richtlijnen voor schrijvers van DACL-lijsten voor services die zij kunnen gebruiken bij het ontwikkelen en bepalen van de beveiliging van hun programma's.

Inleiding

U kunt dit Microsoft Knowledge Base-artikel gebruiken als richtlijn bij het evalueren van de beveiliging van DACL-lijsten voor services.

Meer informatie

Als u de DACL-lijsten voor een service wilt weergeven, gebruikt u de opdracht sc in combinatie met het argument sdshow, zoals in het volgende voorbeeld wordt geïllustreerd. Hierbij staat servicenaam voor de naam van de service waarvan u de DACL-lijsten wilt weergeven:
sc sdshow servicenaam
De opdracht geeft resultaten zoals de volgende:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Deze voorbeelduitvoer van de opdracht sc toont de beveiligingsbeschrijving van een service in de SDDL-syntaxis (Security Descriptor Definition Language). Meer informatie over de SDDL-syntaxis vindt u op de volgende Microsoft-website:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
U moet verschillende eigenschappen beoordelen om vast te stellen of de DACL-lijst van een service kwetsbaar is. In de volgende tabel wordt beschreven hoe u de resultaten van de opdracht sc moet lezen, hoe elke machtigingsreeks moet worden geïnterpreteerd en hoe de toewijzing van machtigingen moet worden geïnterpreteerd.

U kunt elke reeks tekens tussen haakjes afzonderlijk evalueren aan de hand van de volgende sleutel:
(Toestaan/Weigeren;;Reeks machtigingen;;;SID of acroniem voor ingebouwde account of groep)
Elk paar van twee letters in de reeks machtigingen komt overeen met een bepaald recht of bepaalde machtiging:
Deze tabel samenvouwenDeze tabel uitklappen
Paar Recht of machtiging
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Starten
WPStoppen
DTOnderbreken
LOOpvragen
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Wees met name voorzichtig met het gebruik van de machtiging ChangeConf (DC). Controleer deze machtiging wanneer u wilt vaststellen of uw service kwetsbaar is voor misbruik van bevoegdheden. Deze machtiging geeft de gemachtigde toestemming om de configuratie van de service zodanig te wijzigen dat het binaire bestand wordt opgenomen dat wordt uitgevoerd bij het starten van de service. Neem ook de nodige voorzichtigheid in acht bij de machtigingen WDac (WD) en WOwn (WO), aangezien deze allebei kunnen worden gebruikt om machtigingen uit te breiden naar Lokaal systeem. Zorg ervoor dat deze rechten niet worden toegekend aan een gebruiker met lage machtigingen. De volgende tabel geeft een overzicht van de codes in SDDL-syntaxis die worden gebruikt voor het gebruikerstype dat toegang wordt verleend.
Deze tabel samenvouwenDeze tabel uitklappen
CodeGebruikerstype
DADomeinbeheerders
DGDomeingasten
DUDomeingebruikers
EDOndernemingsdomeincontrollers
DDDomeincontrollers
DCDomeincomputers
BAIngebouwde (lokale) beheerders
BGIngebouwde (lokale) gasten
BUIngebouwde (lokale) gebruikers
LALokale beheerdersaccount
LGLokale gastaccount
AOAccountoperators
BOBack-upoperators
POPrinteroperators
SOServeroperators
AUGeverifieerde gebruikers
PSEigen persoon
COMaker Eigenaar
CGMaker Groep
SYLokaal systeem
PUHoofdgebruikers
WDIedereen (Wereld)
REReplicator
IUInteractieve aanmelding gebruiker
NUNetwerkaanmelding gebruiker
SUService-aanmelding gebruiker
RCBeperkte code
WRBeperkte code schrijven
ANAnonieme aanmelding
SASchemabeheerders
CABeheerders Certificate Services
RSRAS-serversgroep
EAOndernemingsbeheerders
PAGroepsbeleidbeheerders
RUAlias om vorige versie Windows 2000 toe te staan
LSLokale service-account (voor Services)
NSNetwerkservice-account (voor Services)
RDExterne bureaubladgebruikers (voor Terminal Services)
NONetwerkoperators
MUGebruikers prestatiemeter
LUGebruikers prestatielogboek
ISAnonieme internetgebruikers
CYCrypto-operators
OWEigenaarsrechten SID
RMRMS-service

Een DACL-reeks in SDDL-indeling interpreteren

Hier wordt beschreven hoe u de voorbeeld-DACL-reeks moet interpreteren die aan het begin van dit artikel wordt vermeld. Elke ACE (Access Control Entry) wordt afzonderlijk vermeld.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Deze ACE (Access Control Entry) geeft Lokaal systeem (SY) de volgende rechten:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Starten
    • Stoppen
    • Onderbreken
    • Opvragen
    • UserDefined
    • Verwijderen
    • RCtl
    • WDac
    • WOwn
    De ACE (Access Control Entry) is beperkt tot Lokaal systeem. Dit komt de beveiliging ten goede omdat Lokaal systeem reeds de meest krachtige beveiligingscontext op het werkstation is. Het risico op verhoging van de machtiging is derhalve niet aanwezig.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Deze ACE (Access Control Entry) is van toepassing op ingebouwde lokale beheerders (BA). Deze ACE (Access Control Entry) verleent dezelfde rechten als de vorige ACE (Access Control Entry) aan alle lokale beheerders. Dit is tevens een bijzonder krachtige beveiligingscontext op het werkstation. Het risico op verhoging van de machtiging is ook hier niet aanwezig.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Deze ACE (Access Control Entry) verleent alle voorgaande rechten aan iedere geverifieerde gebruiker (AU).
In de laatste ACE (Access Control Entry) kan een gebruiker met lage rechten uit een groep, zoals een geverifieerde gebruiker, de configuratie van de service wijzigen. De configuratie omvat het binaire bestand dat wordt uitgevoerd bij het starten van de service, evenals de account waaronder de service wordt uitgevoerd.

In het volgende voorbeeld van een DACL-lijst worden geen ChangeConf-rechten aan geverifieerde gebruikers verleend:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

In deze DACL-lijst krijgen geverifieerde gebruikers (AU) slechts de volgende rechten:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Opvragen
  • UserDefined
  • RCtl
Er bestaat geen potentieel risico op escalatie via de groep Geverifieerde gebruikers als deze rechten zijn toegekend. De groep Hoofdgebruikers (PU) kan al escaleren naar Lokaal systeem en hoeft derhalve niet als escalatierisico te worden beschouwd. In dit voorbeeld heeft de groep Hoofdgebruikers dezelfde rechten als de groep Geverifieerde gebruikers, met dit verschil dat de groep Hoofdgebruikers de service ook kan starten (RP). Daarna volgt de groep Lokale beheerders (BA). Deze groep en de volgende groep, de groep Serveroperators (SO), hebben beide de machtigingen ChangeConf, WDac en WOwn. Dit is acceptabel omdat alleen de meest betrouwbare gebruikers in de groep Lokale beheerders of de groep Serveroperators dienen te worden opgenomen.

De groep Lokaal systeem (SY) krijgt dezelfde machtigingen als de groep Hoofdgebruikers, met daarenboven de machtigingen Stoppen en Onderbreken. Dit lijkt de juiste toepassing te zijn. De volgende twee korte ACE's (Access Control Entries) geven de account Lokale service en de account Netwerkservice machtiging om de service te onderbreken. Ook dit lijkt een juiste toepassing, omdat de accounts Lokale service en Netwerkservice beide zeer krachtig zijn.

De groep Netwerkoperators (NO) krijgt echter ChangeConf-machtigingen. De groep Netwerkoperators werd in Windows XP toegevoegd om vertrouwde gebruikers toe te staan netwerkinstellingen te wijzigen zonder over volledige beheerdersmachtigingen te beschikken. De groep Netwerkoperators is standaard leeg, maar wordt soms gebruikt om bepaalde gebruikers netwerkconfiguratiemachtigingen te verlenen. De eigenaar van een laptop kan bijvoorbeeld deze machtiging krijgen. Gebruikers in de groep Netwerkoperators hebben vaak de fysieke controle over de computer. De bedoeling van deze groep is echter om deze gebruikers geen volledige beheerdersrechten te verlenen. Deze service-DACL-lijst moet derhalve geen ChangeConf-machtigingen verlenen aan de groep Netwerkoperators.

Aanbevelingen

Beperk service-DACL-lijsten uitsluitend tot gebruikers die een bepaald toegangstype moeten hebben. Wees met name voorzichtig bij het verlenen van de volgende rechten. Als deze rechten worden verleend aan een gebruiker of een groep met lage rechten, kunnen de rechten worden gebruikt voor uitbreiding naar de machtiging Lokaal systeem op de computer:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Bezoek de volgende Microsoft-website voor meer informatie over toegangsrechten en machtigingen:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Eigenschappen

Artikel ID: 914392 - Laatste beoordeling: donderdag 15 februari 2007 - Wijziging: 1.4
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Trefwoorden: 
kbinfo KB914392

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com