Gode rutiner for og veiledning til forfattere av detaljerte tilgangskontrollister for tjenester

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 914392 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Detaljerte tilgangskontrollister (DACLer) for tjenester er viktige sikkerhetskomponenter for arbeidsstasjoner og servere. Denne Microsoft Knowledge Base-artikkelen beskriver hvordan du skal tolke DACLene for tjenester. Her finner du også informasjon om gode rutiner for forfattere av DACLer for tjenester når de utvikler og vurderer sikkerheten på programmene.

INNLEDNING

Du kan bruke denne Microsoft Knowledge Base-artikkelen som en veiledning til å vurdere sikkerheten til detaljerte tilgangskontrollister for tjenester (DACLer).

Mer informasjon

Hvis du vil vise DACLene for en tjeneste, bruker du sc-kommandoen sammen med sdshow-argumentet. Se følgende eksempel, der tjenestenavn er navnet på den tjenesten du ønsker å vise DACLene for:
sc sdshow tjenestenavn
Kommandoen genererer resultater som er lik disse:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Dette eksemplet fra sc-kommandoen viser sikkerhetsbeskrivelsen til en tjeneste i SDDL-syntaks (Security Descriptor Definition Language). Hvis du vil ha informasjon om SDDL-syntaks, kan du gå til følgende Microsoft-webområde (dette webområdet kan være på engelsk):
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Det er flere ting du må se etter for å kunne avgjøre om en tjeneste-DACL er sårbar. I tabellene nedenfor finner du en forklaring på hvordan du skal lese resultatene av sc-kommandoen, hvordan du skal tolke hver tillatelsesstreng, og hvordan du skal tolke hvem tillatelsen gjelder.

Du kan gjennomføre enkeltvis evaluering av hver streng som består av tegn innenfor en parentes, ved hjelp av følgende kode:
(Allow/Deny;;Tillatelsesstreng;;;SID eller akronym for innebygd konto eller gruppe)
Hvert bokstavpar i tillatelsesstrengen svarer til en bestemt rettighet eller tillatelse:
Skjul denne tabellenVis denne tabellen
ParRettighet eller tillatelse
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStopp
DTSett på pause
LOUndersøk
CRBrukerdefinert
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Vær spesielt forsiktig hvis du skal endre ChangeConf-tillatelsen (DC). Se etter ChangeConf-tillatelsen når du skal avgjøre om tjenesten er sårbar for angrep ved hjelp av rettighetsutvidelse. Denne tillatelsen gjør det mulig for en bestemt person å endre konfigurasjonen av tjenesten til å omfatte binærfilen som kjører når tjenesten er i gang. Du bør også være svært forsiktig med tillatelsene WDac (WD) og WOwn (WO), fordi begge kan brukes til å utvide rettighetene til LocalSystem. Forsikre deg om at disse rettighetene ikke er innvilget en bruker som har lave rettigheter. I denne tabellen finner du kodene som brukes til å identifisere brukertypen som er blitt innvilget tilgang, i SDDL-syntaks.
Skjul denne tabellenVis denne tabellen
KodeBrukertype
DADomeneadministratorer
DGGjester på domenet
DUDomenebrukere
EDDomenekontrollere i organisasjonen
DDDomenekontrollere
DCDomenedatamaskiner
BAInnebygde (lokale) administratorer
BGInnebygde (lokale) gjester
BUInnebygde (lokale) brukere
LALokal administratorkonto
LGLokal gjestekonto
AOKontooperatører
BOSikkerhetskopioperatører
POSkriveroperatører
SOServeroperatører
AUGodkjente brukere
PSEgen person
COOppretter Eier
CGOppretter Gruppe
SYLocalSystem
PUPrivilegerte brukere
WDAlle (verden)
REReplikator
IUInteraktiv påloggingsbruker
NUNettverkspåloggingsbruker
SUTjenestepåloggingsbruker
RCBegrenset kode
WRSkrivebegrenset kode
ANAnonym pålogging
SASkjemaadministratorer
CASertifikattjenesteadministratorer
RSRAS-gruppe
EAOrganisasjonsadministratorer
PAGruppepolicyadministratorer
RUAlias for å tillate tidligere Windows 2000
LSLokaltjenestekonto (for tjenester)
NSNettverkstjenestekonto (for tjenester)
RDBrukere av eksternt skrivebord (for Terminal Services)
NONettverkskonfigurasjonsoperatører
MUBrukere av ytelsesmåler
LUBrukere av ytelseslogg
ISAnonyme Internett-brukere
CYCrypto-operatører
OWEierrettigheter SID
RMRMS-tjeneste

Slik tolker du en DACL-streng i SDDL-format

Denne informasjonen beskriver hvordan du skal tolke DACL-strengen som vises som eksempel øverst i denne artikkelen. Denne tolkningen gir en oversikt over hver enkelt tilgangskontrolloppføring (ACE).
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Denne tilgangskontrolloppføringen (ACE) gir LocalSystem (SY) følgende rettigheter:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stopp
    • Sett på pause
    • Undersøk
    • Brukerdefinert
    • Slett
    • RCtl
    • WDac
    • WOwn
    Tilgangskontrolloppføringen (ACE) er begrenset til LocalSystem. Dette er formålstjenlig for sikkerheten, fordi LocalSystem allerede utgjør de mest effektive sikkerhetsomgivelsene på arbeidsstasjonen. Derfor finnes det ingen fare for rettighetsutvidelse.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Denne tilgangskontrolloppføringen (ACE) gjelder innebygde lokale administratorer (BA). Denne tilgangskontrolloppføringen (ACE) gir de samme rettigheter som i tidligere tilgangskontrolloppføringer (ACE) til alle lokale administratorer. Dette utgjør også meget effektive sikkerhetsomgivelser for arbeidsstasjonen. Derfor finnes det heller ikke her noen fare for rettighetsutvidelse.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Denne tilgangskontrolloppføringen (ACE) gir alle de tidligere rettighetene til alle godkjente brukere (AU).
I den siste tilgangskontrolloppføringen (ACE) vil en bruker i en gruppe som har lave rettigheter, slik som en godkjent bruker, kunne endre tjenestekonfigurasjonen. Konfigurasjonen omfatter binærfilen som kjører når tjenesten er i gang, samt kontoen tjenesten kjøres under.

Følgende eksempel-DACL gir ingen ChangeConf-rettigheter til godkjente brukere:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

I denne DACLen blir godkjente brukere (AU) tildelt kun følgende rettigheter:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Undersøk
  • Brukerdefinert
  • RCtl
Det er ingen risiko for rettighetsutvidelse forbundet med gruppen Godkjente brukere med disse rettighetene. Gruppen Privilegerte brukere (PU) kan allerede utvide til LocalSystem og bør ikke anses som noen risiko for heving av tilgangsnivået. I dette eksemplet har gruppen Privilegerte brukere de samme rettighetene som gruppen Godkjente brukere, med det unntak at gruppen Privilegerte brukere også kan starte tjenesten (RP). Dernest kommer den lokale administratorgruppen (BA). Denne gruppen og den neste gruppen, Serveroperatører (SO), kan ha tillatelsene ChangeConf, WDac og WOwn. Dette er mulig fordi bare klarerte brukere kan være med i den lokale administratorgruppen eller i gruppen Serveroperatører.

Gruppen LocalSystem (SY) har fått samme tillatelser som gruppen Privilegerte brukere, men de har også fått tillatelsene Stopp og Pause. Dette virker korrekt. De to neste korte tilgangskontrolloppføringene (ACE) gir tillatelser til lokaltjenestekontoen og nettverkstjenestekontoen og til å stanse tjenesten midlertidig. Dette virker fornuftig fordi både lokaltjenesten og nettverkstjenesten er effektive lokale kontoer.

Gruppen Nettverkskonfigurasjonsoperatører (NO) har imidlertid fått ChangeConf-tillatelser. Gruppen Nettverkskonfigurasjonsoperatører ble lagt til i Windows XP for at klarerte brukere skal kunne endre nettverksinnstillingene uten å ha full administratortilgang. Gruppen Nettverkskonfigurasjonsoperatører er som standard tom. Denne gruppen kan av og til brukes til å gi nettverkskonfigurasjonstillatelser til bestemte brukere. Eieren av en bærbar datamaskin kan for eksempel få denne tillatelsen. Brukere i gruppen Nettverkskonfigurasjonsoperatører har ofte fysisk kontroll over datamaskinen. Denne gruppen er imidlertid ikke beregnet på å gi disse brukerne full administratortilgang. Derfor bør denne tjenestens DACL ikke gi ChangeConf-tillatelser til gruppen Nettverkskonfigurasjonsoperatører.

Gode rutiner

Begrens tjeneste-DACLer til brukere som trenger en bestemt tilgangstype. Vær spesielt forsiktig med rettighetene nedenfor. Hvis disse rettighetene gis til en bruker eller en gruppe med lave rettigheter, kan rettighetene brukes til å utvide til LocalSystem på datamaskinen:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Hvis du vil ha mer informasjon om tilgangsrettigheter og tillatelser, kan du gå til følgende Microsoft-webområde (dette webområdet kan være på engelsk):
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Egenskaper

Artikkel-ID: 914392 - Forrige gjennomgang: 15. februar 2007 - Gjennomgang: 1.4
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Nøkkelord: 
kbinfo KB914392

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com