Metodtips och riktlinjer för DACL-listor (Discretionary Access Control List)

Artikelöversättning Artikelöversättning
Artikel-id: 914392 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

DACL-listor är viktiga verktyg för att skapa bättre säkerhet på arbetsstationer och servrar. Denna Knowledge Base-artikel beskriver hur du kan tolka DACL-listor för tjänster. Artikeln innehåller dessutom metodtips och riktlinjer för hur du skriver DACL-listor under utveckling av tjänster och hur du utvärderar säkerheten för de program som ingår i tjänsten.

INLEDNING

Du kan använda denna Knowledge Base-artikel för att utvärdera säkerheten för de DACL-listor som gäller för en viss tjänst.

Mer Information

Du visar de DACL-listor som gäller för en tjänst genom att använda kommandot sc med argumentet sdshow enligt följande exempel, där tjänstenamn är namnet på den tjänst vars DACL-listor du ska visa:
sc sdshow tjänstenamn
Kommandots utdata ger följande resultat (eller liknande):
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Detta exempel på utdata från kommandot sc visar tjänstens säkerhetsbeskrivning med den syntax som definierats av SDDL (Security Descriptor Definition Language). Mer information om SDDL-syntaxen finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
När du ska kontrollera om en tjänsts DACL-lista utgör en säkerhetsrisk måste du ta hänsyn till flera olika faktorer. I följande tabeller beskrivs hur du tolkar utdata från kommandot sc, hur du tolkar varje behörighetssträng och hur du avgör vem som beviljats behörighet.

Du kan tolka varje teckensträng inom parenteser var för sig genom att använda följande nyckel:
(Allow/Deny;;Behörighetssträng;;;SID eller förkortning för inbyggt konto eller grupp)
Varje teckenpar i behörighetssträngen motsvarar en specifik rättighet eller behörighet:
Dölj tabellenVisa tabellen
Teckenpar Rättighet eller behörighet
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Behörigheten ChangeConf (DC) är den behörighet som kan medföra de allvarligaste säkerhetsrelaterade problemen. Leta efter behörigheten ChangeCont när du försöker avgöra om tjänsten kan utsättas för en behörighetshöjning. Behörigheten gör det möjligt att ändra tjänstens konfiguration så att en binär fil körs samtidigt som tjänsten när den startas. Du bör dessutom vara mycket försiktig med behörigheterna WDac (WD) och WOwn (WO) eftersom båda kan användas för att eskalera behörigheter för LocalSystem. Kontrollera att dessa behörigheter inte beviljas en användare med icke-priviligierad behörighet. I tabellen nedan finns de koder som används för att identifiera vilken typ av användare som beviljas åtkomst med SDDL-syntax.
Dölj tabellenVisa tabellen
KodAnvändartyp
DADomänadministratörer
DGDomängäster
DUDomänanvändare
EDFöretagets domänkontrollanter
DDDomänkontrollanter
DCDomändatorer
BAInbyggda (lokala) administratörer
BGInbyggda (lokala) gäster
BUInbyggda (lokala) användare
LALokal administratör
LGLokal gäst
AOKontoansvariga
BOAnsvariga för säkerhetskopiering
POSkrivaransvariga
SOServeransvariga
AUAutentiserade användare
PSPersonen själv
COSkapare ägare
CGSkapare grupp
SYLokalt system
PUPrivilegierade användare
WDAlla (Hela världen)
REReplikeringskonto
IUAnvändare som loggar in interaktivt
NUAnvändare som loggar in över nätverket
SUAnvändare som loggar in som en tjänst
RCBegränsad kod
WRSkriv begränsad kod
ANAnonym inloggning
SASchemaadministratörer
CAAdministratörer för certifikattjänster
RSGruppen Fjärråtkomstservrar
EAAdministratörer på företagsnätverket
PAAdministratörer för grupprinciper
RUAlias som tillåter tidigare Windows 2000
LSLokalt tjänstekonto (för tjänster)
NSNätverkstjänstekonto (för tjänster)
RDAnvändare av fjärrskrivbord (för Terminal Services)
NOAnsvariga för nätverkskonfigurering
MUAnvändare av prestandaövervakning
LUAnvändare av prestandaloggar
ISAnonyma Internet-användare
CYKryptografiansvariga
OWÄgarrättigheter SID
RMRMS-tjänsten

Tolka en DACL-sträng i SDDL-format

Denna information beskriver hur du tolkar DACL-exempelsträngen som visas i början av denna artikel. Varje enskild åtkomstkontrollpost (ACE) visas individuellt.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    Denna åtkomstkontrollpost (ACE) ger LocalSystem (SY) följande rättigheter:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    Åtkomstkontrollposten är begränsad till LocalSystem. Detta är positivt ur säkerhetssynvinkel eftersom LocalSystem redan är den kontext på arbetsstationen som har störst befogenheter. Därför finns det ingen risk att behörigheten kan höjas.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    Denna åtkomstkontrollpost gäller inbyggda administratörer (BA). Åtkomstkontrollposten ger samma behörigheter som den tidigare posten till alla lokala administratörer. Även denna kontext har stora befogenheter på arbetsstationer. Detta innebär att risken för behörighetshöjningar är minimal.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    Denna åtkomstkontrollpost ger alla tidigare rättigheter till alla autentiserade användare (AU).
I den senaste åtkomstkontrollposten har en användare i en grupp med begränsad behörighet (till exempel en autentiserad användare) möjlighet att ändra tjänstens konfiguration. Konfigurationen består bland annat av den binärfil som körs när tjänsten startas och det konto som tjänsten körs under.

Följande DACL ger inte rättigheten ChangeConf till autentiserade användare:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

I denna DACL har autentiserade användare (AU) endast följande behörigheter:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
Dessa behörigheter kan beviljas utan att gruppen Autentiserade användare kan användas för behörighetshöjning. Gruppen Priviligierade användare (PU) kan redan eskaleras till LocalSystem, vilket innebär att gruppen inte utgör en risk. I exemplet har gruppen Priviligierade användare samma rättigheter som gruppen Autentiserade användare, förutom att gruppen Priviligierade användare dessutom kan starta tjänsten (RP). Nästa gruppen är gruppen Lokala administratörer (BA). Denna grupp och nästa grupp (Serveransvariga, SO) har båda behörigheterna ChangeConf, WDac och WOwn. Detta är godtagbart ur säkerhetssynvinkel eftersom endast de mest betrodda användarna ska vara medlemmar i gruppen Lokala administratörer eller gruppen Serveransvariga.

Gruppen LocalSystem (SY) har samma behörigheter som gruppen Priviligierade användare, och har dessutom behörigheterna Stop och Pause. Detta är acceptabelt. De följande två åtkomstkontrollposterna ger kontot Lokal tjänst och Nätverkstjänst behörighet att pausa tjänsten. Detta är också acceptabelt, eftersom båda kontona är lokala konton med vittgående befogenheter.

Gruppen Ansvariga för nätverkskonfigurering (NO) har däremot behörigheten ChangeConf. Gruppen Ansvariga för nätverkskonfigurering lades till i Windows XP för att låta betrodda användare ändra nätverksinställningar utan att ha fullständiga administratörsrättigheter. Standardinställningen är att gruppen Ansvariga för nätverkskonfigurering är tom. Gruppen används ibland för att ge användare behörighet att ändra nätverkskonfigurationen. Till exempel kan den person som använder en bärbar dator beviljas denna behörighet. Användare i gruppen Ansvariga för nätverkskonfigurering har vanligen fysisk kontroll över den dator som ska konfigureras. Intentionen med gruppen är däremot inte att ge användarna fullständiga administratörsrättigheter. Detta innebär att tjänstens DACL inte ska ge behörigheten ChangeConf till gruppen Ansvariga för nätverkskonfigurering.

Metodtips

Begränsa DACL-behörigheter till de användare som verkligen behöver en viss typ av åtkomst. Var extra försiktig med följande rättigheter. Om rättigheterna beviljas en användare eller en grupp med begränsade rättigheter, kan rättigheterna användas för att höja behörigheten till LocalSystem på datorn:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Mer information om åtkomsträttigheter och behörigheter finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

Egenskaper

Artikel-id: 914392 - Senaste granskning: den 15 februari 2007 - Revision: 1.4
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Nyckelord: 
kbinfo KB914392

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com