Metodtips och riktlinjer för DACL-listor (Discretionary Access Control List)

Du kan använda denna Knowledge Base-artikel för att utvärdera säkerheten för de DACL-listor som gäller för en viss tjänst.

Du visar de DACL-listor som gäller för en tjänst genom att använda kommandot sc med argumentet sdshow enligt följande exempel, där tjänstenamn är namnet på den tjänst vars DACL-listor du ska visa: Kommandots utdata ger följande resultat (eller liknande):Detta exempel på utdata från kommandot sc visar tjänstens säkerhetsbeskrivning med den syntax som definierats av SDDL (Security Descriptor Definition Language). Mer information om SDDL-syntaxen finns på följande Microsoft-webbplats:När du ska kontrollera om en tjänsts DACL-lista utgör en säkerhetsrisk måste du ta hänsyn till flera olika faktorer. I följande tabeller beskrivs hur du tolkar utdata från kommandot sc, hur du tolkar varje behörighetssträng och hur du avgör vem som beviljats behörighet.

Du kan tolka varje teckensträng inom parenteser var för sig genom att använda följande nyckel:Varje teckenpar i behörighetssträngen motsvarar en specifik rättighet eller behörighet:

Behörigheten ChangeConf (DC) är den behörighet som kan medföra de allvarligaste säkerhetsrelaterade problemen. Leta efter behörigheten ChangeCont när du försöker avgöra om tjänsten kan utsättas för en behörighetshöjning. Behörigheten gör det möjligt att ändra tjänstens konfiguration så att en binär fil körs samtidigt som tjänsten när den startas. Du bör dessutom vara mycket försiktig med behörigheterna WDac (WD) och WOwn (WO) eftersom båda kan användas för att eskalera behörigheter för LocalSystem. Kontrollera att dessa behörigheter inte beviljas en användare med icke-priviligierad behörighet. I tabellen nedan finns de koder som används för att identifiera vilken typ av användare som beviljas åtkomst med SDDL-syntax.

Tolka en DACL-sträng i SDDL-format

Denna information beskriver hur du tolkar DACL-exempelsträngen som visas i början av denna artikel. Varje enskild åtkomstkontrollpost (ACE) visas individuellt.

• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
  
  Denna åtkomstkontrollpost (ACE) ger LocalSystem (SY) följande rättigheter:
  • QueryConf
  • ChangeConf
  • QueryStat
  • EnumDeps
  • Start
  • Stop
  • Pause
  • Interrogate
  • UserDefined
  • Delete
  • RCtl
  • WDac
  • WOwn
  Åtkomstkontrollposten är begränsad till LocalSystem. Detta är positivt ur säkerhetssynvinkel eftersom LocalSystem redan är den kontext på arbetsstationen som har störst befogenheter. Därför finns det ingen risk att behörigheten kan höjas.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
  
  Denna åtkomstkontrollpost gäller inbyggda administratörer (BA). Åtkomstkontrollposten ger samma behörigheter som den tidigare posten till alla lokala administratörer. Även denna kontext har stora befogenheter på arbetsstationer. Detta innebär att risken för behörighetshöjningar är minimal.
• (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)
  
  Denna åtkomstkontrollpost ger alla tidigare rättigheter till alla autentiserade användare (AU).

I den senaste åtkomstkontrollposten har en användare i en grupp med begränsad behörighet (till exempel en autentiserad användare) möjlighet att ändra tjänstens konfiguration. Konfigurationen består bland annat av den binärfil som körs när tjänsten startas och det konto som tjänsten körs under.

Följande DACL ger inte rättigheten ChangeConf till autentiserade användare:
I denna DACL har autentiserade användare (AU) endast följande behörigheter:

• QueryConf
• QueryStat
• EnumDeps
• Interrogate
• UserDefined
• RCtl

Dessa behörigheter kan beviljas utan att gruppen Autentiserade användare kan användas för behörighetshöjning. Gruppen Priviligierade användare (PU) kan redan eskaleras till LocalSystem, vilket innebär att gruppen inte utgör en risk. I exemplet har gruppen Priviligierade användare samma rättigheter som gruppen Autentiserade användare, förutom att gruppen Priviligierade användare dessutom kan starta tjänsten (RP). Nästa gruppen är gruppen Lokala administratörer (BA). Denna grupp och nästa grupp (Serveransvariga, SO) har båda behörigheterna ChangeConf, WDac och WOwn. Detta är godtagbart ur säkerhetssynvinkel eftersom endast de mest betrodda användarna ska vara medlemmar i gruppen Lokala administratörer eller gruppen Serveransvariga.

Gruppen LocalSystem (SY) har samma behörigheter som gruppen Priviligierade användare, och har dessutom behörigheterna Stop och Pause. Detta är acceptabelt. De följande två åtkomstkontrollposterna ger kontot Lokal tjänst och Nätverkstjänst behörighet att pausa tjänsten. Detta är också acceptabelt, eftersom båda kontona är lokala konton med vittgående befogenheter.

Gruppen Ansvariga för nätverkskonfigurering (NO) har däremot behörigheten ChangeConf. Gruppen Ansvariga för nätverkskonfigurering lades till i Windows XP för att låta betrodda användare ändra nätverksinställningar utan att ha fullständiga administratörsrättigheter. Standardinställningen är att gruppen Ansvariga för nätverkskonfigurering är tom. Gruppen används ibland för att ge användare behörighet att ändra nätverkskonfigurationen. Till exempel kan den person som använder en bärbar dator beviljas denna behörighet. Användare i gruppen Ansvariga för nätverkskonfigurering har vanligen fysisk kontroll över den dator som ska konfigureras. Intentionen med gruppen är däremot inte att ge användarna fullständiga administratörsrättigheter. Detta innebär att tjänstens DACL inte ska ge behörigheten ChangeConf till gruppen Ansvariga för nätverkskonfigurering.

Metodtips

Begränsa DACL-behörigheter till de användare som verkligen behöver en viss typ av åtkomst. Var extra försiktig med följande rättigheter. Om rättigheterna beviljas en användare eller en grupp med begränsade rättigheter, kan rättigheterna användas för att höja behörigheten till LocalSystem på datorn:

• ChangeConf (DC)
• WDac (WD)
• WOwn (WO)

Mer information om åtkomsträttigheter och behörigheter finns på följande Microsoft-webbplats: