Melhores práticas e orientações para os autores do serviço de Listas de Controle de Acesso Condicional

É possível usar esse artigo da Base de Dados de Conhecimento da Microsoft como um guia para ajudá-lo a avaliar a segurança das Listas de Controle de Acesso Condicional (DACLs).

Para exibir as DACLs para um serviço use o comando sc com o argumento sdshow conforme mostrado no seguinte exemplo onde, nome_do_serviço é o nome do serviço que contém as DACLs, as quais deseja desativar: O comando gera um resultado similar a:Esse exemplo obtido do comando sc mostra uma descrição de segurança do serviço na sintaxe Security Descriptor Definition Language (SDDL). Para obter informações sobre a sintaxe SDDL, visite o seguinte site da Microsoft (em inglês):Existem diversos elementos a serem pesquisados para determinar se o serviço DACL é vulnerável. As seguintes tabelas descrevem como ler os resultados do comando sc, como interpretar cada seqüência de permissão e, para quem a permissão é concedida.

Pode-se avaliar, independentemente, cada seqüência de caracteres que está entre parênteses usando a seguinte chave:Cada par de letras na seqüência de permissão corresponde a um direito específico ou a uma permissão:

Tenha muito cuidado com a permissão ChangeConf (DC). Procure-a quando estiver determinando se seu serviço é vulnerável a um ataque de aumento de privilégio. Essa permissão possibilita que uma pessoa designada modifique a configuração do serviço para incluir o arquivo binário que for executado quando o serviço inicia. Também é necessário ter um extremo cuidado com as permissões WDac (WD) e WOwn (WO), pois elas podem ser usadas para escalar permissões ao Sistema local. Verifique se esses direitos não são concedidos a um usuário que possui permissões baixas. A seguinte tabela lista os códigos usados para identificar o tipo de usuário que possui acesso na sintaxe SDDL.

Como interpretar uma seqüência DACL no formato SDDL

As seguintes informações descrevem como interpretar a seqüência de exemplo DACL que está listada no início desse artigo. Essa interpretação lista individualmente cada Entrada de Controle de Acesso (ACE).

• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
  
  Essa Entrada de Controle de Acesso (ACE) concede os seguintes direitos ao Sistema local (SY):
  • QueryConf
  • ChangeConf
  • QueryStat
  • EnumDeps
  • Start
  • Stop
  • Pause
  • Interrogate
  • UserDefined
  • Delete
  • RCtl
  • WDac
  • WOwn
  A Entrada de Controle de Acesso (ACE) é restrita ao Sistema local. Isso é favorável para a segurança pois o Sistema local já é o contexto de segurança mais sofisticado da estação de trabalho. Portanto, não existe elevação de risco.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
  
  Essa Entrada de Controle de Acesso (ACE) é aplicada nos administradores locais internos (BA). Essa Entrada de Controle de Acesso (ACE) concede a todos os administradores locais, os mesmos direitos que a Entrada de Controle de Acesso (ACE) anterior. Isso também é um contexto de segurança muito sofisticado da estação de trabalho. Portanto, novamente, não existe elevação de risco.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)
  
  Essa Entrada de Controle de Acesso (ACE) concede todos os direitos anteriores a qualquer usuário autenticado (AU).

Na última Entrada de Controle de Acesso (ACE) o usuário de um grupo com poucos direitos, como um usuário autenticado, pode modificar a configuração do serviço. A configuração inclui o arquivo binário que for executado quando o serviço inicia e, a conta na qual ele for executado.

O seguinte exemplo DACL não concede direitos ChangeConf aos usuários autenticados:
Nesta DACL, os usuários autenticados recebem apenas os seguintes direitos:

• QueryConf
• QueryStat
• EnumDeps
• Interrogate
• UserDefined
• RCtl

Não existe risco potencial de escalação por meio do grupo Usuários autentificados que recebeu esses direitos. O grupo Usuários avançados (PU) já pode escalar ao sistema local, por isso não deve ser considerado um risco de escalação. Neste exemplo, o grupo Usuários avançados possui todos os direitos do grupo Usuários autenticados, com exceção de que o primeiro grupo também pode iniciar o serviço (RP). O próximo grupo é Administradores locais (BA). Este grupo e o seguinte, o grupo Operadores do servidor (SO), possuem as permissões ChangeConf, WDac e WOwn. Isto é aceitável pois, apenas os usuários mais confiáveis devem estar nos grupos Administradores locais ou Operadores do servidor.

O grupo Sistema local (SY) recebe as mesmas permissões do grupo de Usuários avançados, além das permissões Stop e Pause. Isso parece ser apropriado. As duas próximas pequenas Entradas de Controle de Acesso (ACEs) concedem permissões às contas de Serviço local e do Serviço de rede para pausar o serviço. Também parece apropriado pois o Serviço local e o Serviço de rede são contas locais sofisticadas.

No entanto, o grupo Operadores de configuração de rede (NO) recebe permissões ChangeConf. Ele foi incluído no Windows XP para permitir que os usuários confiáveis modifiquem as configurações de rede sem possuir permissões totais de administrador. Por padrão, o grupo Operadores de configuração de rede está vazio. Às vezes, ele é usado para conceder permissões de configurações de rede a usuários específicos. Por exemplo, o proprietário de um computador portátil pode receber essa permissão. Os usuários do grupo Operadores de configuração de rede freqüentemente possuem o controle físico do computador. No entanto, a intenção desse grupo não é conceder permissões totais de administradores a esses usuários. Portanto, o serviço DACL não deve conceder permissões ChangeConf ao grupo Operadores de configuração de rede.

Recomendações

Limite o serviço DACLs apenas aos usuários que precisam de um tipo de acesso particular. Tenha um cuidado especial com os seguintes direitos. Se eles forem concedidos a um usuário ou a um grupo que possui poucos direitos, eles podem ser usados para elevar ao Sistema local de um computador.

• ChangeConf (DC)
• WDac (WD)
• WOwn (WO)

Para obter informações adicionais sobre os direitos e as permissões de acesso, visite o seguinte site da Microsoft (em inglês):