Gode rutiner for og veiledning til forfattere av detaljerte tilgangskontrollister for tjenester

Du kan bruke denne Microsoft Knowledge Base-artikkelen som en veiledning til å vurdere sikkerheten til detaljerte tilgangskontrollister for tjenester (DACLer).

Hvis du vil vise DACLene for en tjeneste, bruker du sc-kommandoen sammen med sdshow-argumentet. Se følgende eksempel, der tjenestenavn er navnet på den tjenesten du ønsker å vise DACLene for: Kommandoen genererer resultater som er lik disse:Dette eksemplet fra sc-kommandoen viser sikkerhetsbeskrivelsen til en tjeneste i SDDL-syntaks (Security Descriptor Definition Language). Hvis du vil ha informasjon om SDDL-syntaks, kan du gå til følgende Microsoft-webområde (dette webområdet kan være på engelsk):Det er flere ting du må se etter for å kunne avgjøre om en tjeneste-DACL er sårbar. I tabellene nedenfor finner du en forklaring på hvordan du skal lese resultatene av sc-kommandoen, hvordan du skal tolke hver tillatelsesstreng, og hvordan du skal tolke hvem tillatelsen gjelder.

Du kan gjennomføre enkeltvis evaluering av hver streng som består av tegn innenfor en parentes, ved hjelp av følgende kode:Hvert bokstavpar i tillatelsesstrengen svarer til en bestemt rettighet eller tillatelse:

Vær spesielt forsiktig hvis du skal endre ChangeConf-tillatelsen (DC). Se etter ChangeConf-tillatelsen når du skal avgjøre om tjenesten er sårbar for angrep ved hjelp av rettighetsutvidelse. Denne tillatelsen gjør det mulig for en bestemt person å endre konfigurasjonen av tjenesten til å omfatte binærfilen som kjører når tjenesten er i gang. Du bør også være svært forsiktig med tillatelsene WDac (WD) og WOwn (WO), fordi begge kan brukes til å utvide rettighetene til LocalSystem. Forsikre deg om at disse rettighetene ikke er innvilget en bruker som har lave rettigheter. I denne tabellen finner du kodene som brukes til å identifisere brukertypen som er blitt innvilget tilgang, i SDDL-syntaks.

Slik tolker du en DACL-streng i SDDL-format

Denne informasjonen beskriver hvordan du skal tolke DACL-strengen som vises som eksempel øverst i denne artikkelen. Denne tolkningen gir en oversikt over hver enkelt tilgangskontrolloppføring (ACE).

• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
  
  Denne tilgangskontrolloppføringen (ACE) gir LocalSystem (SY) følgende rettigheter:
  • QueryConf
  • ChangeConf
  • QueryStat
  • EnumDeps
  • Start
  • Stopp
  • Sett på pause
  • Undersøk
  • Brukerdefinert
  • Slett
  • RCtl
  • WDac
  • WOwn
  Tilgangskontrolloppføringen (ACE) er begrenset til LocalSystem. Dette er formålstjenlig for sikkerheten, fordi LocalSystem allerede utgjør de mest effektive sikkerhetsomgivelsene på arbeidsstasjonen. Derfor finnes det ingen fare for rettighetsutvidelse.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
  
  Denne tilgangskontrolloppføringen (ACE) gjelder innebygde lokale administratorer (BA). Denne tilgangskontrolloppføringen (ACE) gir de samme rettigheter som i tidligere tilgangskontrolloppføringer (ACE) til alle lokale administratorer. Dette utgjør også meget effektive sikkerhetsomgivelser for arbeidsstasjonen. Derfor finnes det heller ikke her noen fare for rettighetsutvidelse.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)
  
  Denne tilgangskontrolloppføringen (ACE) gir alle de tidligere rettighetene til alle godkjente brukere (AU).

I den siste tilgangskontrolloppføringen (ACE) vil en bruker i en gruppe som har lave rettigheter, slik som en godkjent bruker, kunne endre tjenestekonfigurasjonen. Konfigurasjonen omfatter binærfilen som kjører når tjenesten er i gang, samt kontoen tjenesten kjøres under.

Følgende eksempel-DACL gir ingen ChangeConf-rettigheter til godkjente brukere:
I denne DACLen blir godkjente brukere (AU) tildelt kun følgende rettigheter:

• QueryConf
• QueryStat
• EnumDeps
• Undersøk
• Brukerdefinert
• RCtl

Det er ingen risiko for rettighetsutvidelse forbundet med gruppen Godkjente brukere med disse rettighetene. Gruppen Privilegerte brukere (PU) kan allerede utvide til LocalSystem og bør ikke anses som noen risiko for heving av tilgangsnivået. I dette eksemplet har gruppen Privilegerte brukere de samme rettighetene som gruppen Godkjente brukere, med det unntak at gruppen Privilegerte brukere også kan starte tjenesten (RP). Dernest kommer den lokale administratorgruppen (BA). Denne gruppen og den neste gruppen, Serveroperatører (SO), kan ha tillatelsene ChangeConf, WDac og WOwn. Dette er mulig fordi bare klarerte brukere kan være med i den lokale administratorgruppen eller i gruppen Serveroperatører.

Gruppen LocalSystem (SY) har fått samme tillatelser som gruppen Privilegerte brukere, men de har også fått tillatelsene Stopp og Pause. Dette virker korrekt. De to neste korte tilgangskontrolloppføringene (ACE) gir tillatelser til lokaltjenestekontoen og nettverkstjenestekontoen og til å stanse tjenesten midlertidig. Dette virker fornuftig fordi både lokaltjenesten og nettverkstjenesten er effektive lokale kontoer.

Gruppen Nettverkskonfigurasjonsoperatører (NO) har imidlertid fått ChangeConf-tillatelser. Gruppen Nettverkskonfigurasjonsoperatører ble lagt til i Windows XP for at klarerte brukere skal kunne endre nettverksinnstillingene uten å ha full administratortilgang. Gruppen Nettverkskonfigurasjonsoperatører er som standard tom. Denne gruppen kan av og til brukes til å gi nettverkskonfigurasjonstillatelser til bestemte brukere. Eieren av en bærbar datamaskin kan for eksempel få denne tillatelsen. Brukere i gruppen Nettverkskonfigurasjonsoperatører har ofte fysisk kontroll over datamaskinen. Denne gruppen er imidlertid ikke beregnet på å gi disse brukerne full administratortilgang. Derfor bør denne tjenestens DACL ikke gi ChangeConf-tillatelser til gruppen Nettverkskonfigurasjonsoperatører.

Gode rutiner

Begrens tjeneste-DACLer til brukere som trenger en bestemt tilgangstype. Vær spesielt forsiktig med rettighetene nedenfor. Hvis disse rettighetene gis til en bruker eller en gruppe med lave rettigheter, kan rettighetene brukes til å utvide til LocalSystem på datamaskinen:

• ChangeConf (DC)
• WDac (WD)
• WOwn (WO)

Hvis du vil ha mer informasjon om tilgangsrettigheter og tillatelser, kan du gå til følgende Microsoft-webområde (dette webområdet kan være på engelsk):