Melhores práticas e orientações para os autores do serviço de Listas de Controle de Acesso Condicional

Traduções deste artigo Traduções deste artigo
ID do artigo: 914392 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

As Listas de Controle de Acesso Condicional (DACLs) são componentes importantes da estação de trabalho e da segurança do servidor. Este artigo da Base de Dados de Conhecimento da Microsoft descreve como interpretar as DACLs nos serviços. Também recomenda uma orientação para os autores do serviço DACLs quando eles estiverem desenvolvendo e acessando a segurança de seus programas.

INTRODUÇÃO

É possível usar esse artigo da Base de Dados de Conhecimento da Microsoft como um guia para ajudá-lo a avaliar a segurança das Listas de Controle de Acesso Condicional (DACLs).

Mais Informações

Para exibir as DACLs para um serviço use o comando sc com o argumento sdshow conforme mostrado no seguinte exemplo onde, nome_do_serviço é o nome do serviço que contém as DACLs, as quais deseja desativar:
sc sdshow nome_do_serviço
O comando gera um resultado similar a:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Esse exemplo obtido do comando sc mostra uma descrição de segurança do serviço na sintaxe Security Descriptor Definition Language (SDDL). Para obter informações sobre a sintaxe SDDL, visite o seguinte site da Microsoft (em inglês):
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Existem diversos elementos a serem pesquisados para determinar se o serviço DACL é vulnerável. As seguintes tabelas descrevem como ler os resultados do comando sc, como interpretar cada seqüência de permissão e, para quem a permissão é concedida.

Pode-se avaliar, independentemente, cada seqüência de caracteres que está entre parênteses usando a seguinte chave:
(Allow/Deny;;String of permissions;;;SID ou, uma sigla para cota ou grupo interno)
Cada par de letras na seqüência de permissão corresponde a um direito específico ou a uma permissão:
Recolher esta tabelaExpandir esta tabela
ParDireito ou permissão
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Tenha muito cuidado com a permissão ChangeConf (DC). Procure-a quando estiver determinando se seu serviço é vulnerável a um ataque de aumento de privilégio. Essa permissão possibilita que uma pessoa designada modifique a configuração do serviço para incluir o arquivo binário que for executado quando o serviço inicia. Também é necessário ter um extremo cuidado com as permissões WDac (WD) e WOwn (WO), pois elas podem ser usadas para escalar permissões ao Sistema local. Verifique se esses direitos não são concedidos a um usuário que possui permissões baixas. A seguinte tabela lista os códigos usados para identificar o tipo de usuário que possui acesso na sintaxe SDDL.
Recolher esta tabelaExpandir esta tabela
CódigoTipo de usuário
DAAdministradores de domínio
DGConvidados de domínio
DUUsuários do domínio
EDControladores de domínio de empresa
DDControladores de domínio
DCComputadores de domínio
BAAdministradores internos (locais)
BGConvidados internos (locais)
BUUsuários internos (locais)
LAConta de administradores local
LGConta de convidado local
AOOperadores de conta
BOOperadores de backup
POOperadores de impressão
SOOperadores do servidor
AUUsuários autenticados
PSSi mesmo
COProprietário criador
CGGrupo criador
SYSistema local
PUUsuários avançados
WDTodos (mundial)
REReplicador
IUUsuário de logon interativo
NUUsuário de logon de rede
SUUsuário de logon de serviço
RCCódigo restrito
WREscrever código restrito
ANLogon anônimo
SAAdministradores de esquema
CAAdministradores do serviço de certificados
RSGrupo de servidores de acesso remoto
EAAdministradores de empresas
PAAdministradores de Diretivas de grupo
RUAlias para permitir o Windows 2000 mais antigo
LSConta de serviço local (para serviços)
NSConta do serviço de rede (para serviços)
RDUsuários da área de trabalho remota (para serviços de terminal)
NOOperadores de configuração de rede
MUUsuários do monitor de desempenho
LUUsuários de log de desempenho
ISUsuários de Internet anônimos
CYOperadores de criptografia
OWSID de direitos de proprietários
RMServiço RMS

Como interpretar uma seqüência DACL no formato SDDL

As seguintes informações descrevem como interpretar a seqüência de exemplo DACL que está listada no início desse artigo. Essa interpretação lista individualmente cada Entrada de Controle de Acesso (ACE).
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Essa Entrada de Controle de Acesso (ACE) concede os seguintes direitos ao Sistema local (SY):
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    A Entrada de Controle de Acesso (ACE) é restrita ao Sistema local. Isso é favorável para a segurança pois o Sistema local já é o contexto de segurança mais sofisticado da estação de trabalho. Portanto, não existe elevação de risco.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Essa Entrada de Controle de Acesso (ACE) é aplicada nos administradores locais internos (BA). Essa Entrada de Controle de Acesso (ACE) concede a todos os administradores locais, os mesmos direitos que a Entrada de Controle de Acesso (ACE) anterior. Isso também é um contexto de segurança muito sofisticado da estação de trabalho. Portanto, novamente, não existe elevação de risco.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Essa Entrada de Controle de Acesso (ACE) concede todos os direitos anteriores a qualquer usuário autenticado (AU).
Na última Entrada de Controle de Acesso (ACE) o usuário de um grupo com poucos direitos, como um usuário autenticado, pode modificar a configuração do serviço. A configuração inclui o arquivo binário que for executado quando o serviço inicia e, a conta na qual ele for executado.

O seguinte exemplo DACL não concede direitos ChangeConf aos usuários autenticados:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

Nesta DACL, os usuários autenticados recebem apenas os seguintes direitos:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
Não existe risco potencial de escalação por meio do grupo Usuários autentificados que recebeu esses direitos. O grupo Usuários avançados (PU) já pode escalar ao sistema local, por isso não deve ser considerado um risco de escalação. Neste exemplo, o grupo Usuários avançados possui todos os direitos do grupo Usuários autenticados, com exceção de que o primeiro grupo também pode iniciar o serviço (RP). O próximo grupo é Administradores locais (BA). Este grupo e o seguinte, o grupo Operadores do servidor (SO), possuem as permissões ChangeConf, WDac e WOwn. Isto é aceitável pois, apenas os usuários mais confiáveis devem estar nos grupos Administradores locais ou Operadores do servidor.

O grupo Sistema local (SY) recebe as mesmas permissões do grupo de Usuários avançados, além das permissões Stop e Pause. Isso parece ser apropriado. As duas próximas pequenas Entradas de Controle de Acesso (ACEs) concedem permissões às contas de Serviço local e do Serviço de rede para pausar o serviço. Também parece apropriado pois o Serviço local e o Serviço de rede são contas locais sofisticadas.

No entanto, o grupo Operadores de configuração de rede (NO) recebe permissões ChangeConf. Ele foi incluído no Windows XP para permitir que os usuários confiáveis modifiquem as configurações de rede sem possuir permissões totais de administrador. Por padrão, o grupo Operadores de configuração de rede está vazio. Às vezes, ele é usado para conceder permissões de configurações de rede a usuários específicos. Por exemplo, o proprietário de um computador portátil pode receber essa permissão. Os usuários do grupo Operadores de configuração de rede freqüentemente possuem o controle físico do computador. No entanto, a intenção desse grupo não é conceder permissões totais de administradores a esses usuários. Portanto, o serviço DACL não deve conceder permissões ChangeConf ao grupo Operadores de configuração de rede.

Recomendações

Limite o serviço DACLs apenas aos usuários que precisam de um tipo de acesso particular. Tenha um cuidado especial com os seguintes direitos. Se eles forem concedidos a um usuário ou a um grupo que possui poucos direitos, eles podem ser usados para elevar ao Sistema local de um computador.
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Para obter informações adicionais sobre os direitos e as permissões de acesso, visite o seguinte site da Microsoft (em inglês):
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Propriedades

ID do artigo: 914392 - Última revisão: quinta-feira, 15 de fevereiro de 2007 - Revisão: 1.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbinfo KB914392

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com