Советы и рекомендации для составителей списков управления доступом к службам на уровне пользователей

Переводы статьи Переводы статьи
Код статьи: 914392 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Списки управления доступом к службам на уровне пользователей (discretionary access control lists, DACL) являются важным компонентом системы безопасности рабочей станции или сервера. В этой статье базы знаний Майкрософт описывается, как интерпретировать DACL для служб. Также эта статья предоставляет советы и рекомендации для составителей списков DACL для служб при разработке и оценке безопасности их программ.

Введение

Можно использовать эту статью базы знаний Майкрософт в качестве руководства по оценке безопасности списков управления доступом к службам на уровне пользователей (DACL).

Дополнительная информация

Чтобы вывести на экран список DACL для службы, введите команду sc с аргументом sdshow, как показано в следующем примере, где имя_службы – это имя службы, DACL для которой необходимо отобразить:
sc sdshow имя_службы
Команда возвращает результат следующего вида:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Этот пример выходных данных команды sc отображает описание настроек безопасности службы в синтаксисе языка SDDL (Security Descriptor Definition Language). Дополнительные сведения о синтаксисе SDDL см. на веб-узле Майкрософт по адресу:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Существует несколько важных моментов, которые могут помочь в выявлении уязвимостей в списке DACL службы. В следующих таблицах описано, как следует читать результаты команды sc, как интерпретировать каждую строку разрешения и как интерпретировать, кому это разрешение выдано.

Можно независимо оценить каждую строку знаков, заключенных в скобки, с помощью следующего ключа:
(Allow/Deny;;Строка разрешений;;;SID или акроним для встроенной учетной записи или группы)
Каждая из пар букв в строке разрешений соответствует определенному праву или разрешению:
Свернуть эту таблицуРазвернуть эту таблицу
Пара Право или разрешение
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Особенно внимательным следует быть с разрешением ChangeConf (DC). Обратитесь к разрешению ChangeConf при проверке службы на уязвимость в случае атаки, направленной на несанкционированное получение прав. Это разрешение позволяет изменить конфигурацию службы, чтобы она включала двоичный файл, запускаемый при запуске службы. Также нужно быть особо осторожным с разрешениями WDac (WD) и WOwn (WO), поскольку их можно использовать, чтобы расширить права до уровня LocalSystem. Убедитесь, что эти разрешения не назначены пользователям с более низким уровнем разрешений. В таблице приведены коды в синтаксисе SDDL, обозначающие, какому типу пользователей предоставлен доступ.
Свернуть эту таблицуРазвернуть эту таблицу
КодТип пользователя
DAАдминистраторы домена
DGГости домена
DUПользователи домена
EDКонтроллеры домена предприятия
DDКонтроллеры домена
DCКомпьютеры домена
BAВстроенные (локальные) администраторы
BGВстроенные (локальные) гости
BUВстроенные (локальные) пользователи
LAУчетная запись локального администратора
LGУчетная запись локального гостя
AOОператоры учета
BOОператоры архива
POОператоры принтера
SOОператоры сервера
AUПрошедшие проверку
PSЛичный SELF
COСоздатель-владелец
CGГруппа-создатель
SYЛокальная система
PUОпытные пользователи
WDВсе (Общий доступ)
REРепликатор
IUПользователь интерактивного входа
NUСетевой пользователь
SUПользователь с правами службы
RCЗапрещенный код
WRКод, защищенный от записи
ANАнонимный вход
SAАдминистраторы схемы
CAАдминистраторы служб сертификации
RSГруппа серверов удаленного доступа
EAАдминистраторы предприятия
PAАдминистраторы групповой политики
RUПсевдоним для запуска версий Windows до Windows 2000
LSУчетная запись локальной службы (для служб)
NSУчетная запись сетевой службы (для служб)
RDПользователи удаленного рабочего стола (для служб терминалов)
NOОператоры настройки сети
MUПользователи системного монитора
LUПользователи журналов производительности
ISАнонимные пользователи Интернета
CYОператоры криптографии
OWSID с правами владельца
RMСлужба RMS

Как интерпретировать строку DACL в формате SDDL

Здесь описывается, как интерпретируется строка DACL, приведенная в качестве примера в начале статьи. В этой интерпретации каждая запись управления доступом (ACE) приведена отдельно.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Эта запись управления доступом (ACE) предоставляет локальной системе (LocalSystem, SY) следующие права:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    Эта запись управления доступом (ACE) относится исключительно к LocalSystem. Это полезно для безопасности, поскольку LocalSystem уже является самым сильным контекстом безопасности на рабочей станции. Поэтому отсутствует риск повышения уровня прав.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Эта запись управления доступом (ACE) относится к встроенным локальным администраторам (BA). Эта запись управления доступом (ACE) предоставляет те же права, что и предыдущая запись управления доступом (ACE), всем локальным администраторам. Это также очень сильный контекст безопасности на рабочей станции. Поэтому также отсутствует риск повышения уровня прав.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Эта запись управления доступом (ACE) предоставляет все перечисленные выше права любому пользователю, прошедшему проверку подлинности (AU).
Согласно последней записи управления доступом (ACE) пользователь в группе с низкими правами, такой как любой пользователь, прошедший проверку подлинности, может изменить конфигурацию службы. Конфигурация включает двоичный файл, который запускается при запуске службы, и учетную запись, под которой запускается служба.

Следующие пример DACL не предоставляет права ChangeConf пользователям, прошедшим проверку подлинности:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

В этом DACL прошедшим проверку пользователям (AU) предоставлены только следующие права:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
Если группе пользователей, прошедших проверку, предоставлены эти права, то потенциальный риск расширения прав отсутствует. Группа опытных пользователей (PU) уже может расширить права до уровня LocalSystem, поэтому нельзя считать, что они представляют собой риск расширения прав. В этом примере группа опытных пользователей имеет те же права, что и группа пользователей, прошедших проверку подлинности, а кроме того, опытные пользователи могут также запускать службу (RP). Следующая группа – это группа локальных администраторов (BA). Эта группа и группа операторов сервера (SO) имеют разрешения ChangeConf, WDac и WOwn. Это приемлемо, поскольку в группы локальных администраторов и операторов сервера должны входить только самые доверенные пользователи.

Группа LocalSystem (SY) имеет те же самые права, что и группа опытных пользователей, а также разрешения Stop и Pause. Это тоже выглядит приемлемо. Следующие две короткие записи управления доступом (ACE) предоставляют учетной записи локальной службы и учетной записи сетевой службы разрешения приостанавливать работу службы. Это также приемлемо, поскольку Local Service и Network Service являются мощными локальными учетными записями.

Однако группе операторов настройки сети (NO) предоставлены права ChangeConf. Группа операторов настройки сети была добавлена в Windows XP, чтобы доверенные пользователи могли менять настройки сети, не имея полных прав администратора. По умолчанию группа операторов настройки сети не заполнена. Эта группа иногда используется, чтобы предоставить права на настройку сети определенным пользователям. Например, такое разрешение может быть дано владельцу портативного компьютера. Пользователи в группе операторов настройки сети часто имеют физический контроль над компьютером. Однако эта группа предназначена для того, чтобы не предоставлять этим пользователям полные администраторские права. Поэтому DACL этой службы не должен предоставлять разрешения ChangeConf группе операторов настройки сети.

Рекомендации

Включите в DACL службы только тех пользователей, которым необходим определенный тип доступа. Будьте особенно осторожны при предоставлении следующих прав. Если эти права предоставить пользователю или группе с низким уровнем полномочий, эти права можно использовать, чтобы расширить полномочия до уровня LocalSystem на компьютере.
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Дополнительные сведения о правах доступа и разрешениях см. на веб-узле корпорации Microsoft по адресу:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Свойства

Код статьи: 914392 - Последний отзыв: 15 февраля 2007 г. - Revision: 1.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Операционная система Microsoft Windows 2000 Professional
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbinfo KB914392

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com