แนวทางปฏิบัติที่ดีที่สุดและคำแนะนำสำหรับการเขียนของตัวควบคุมการเข้าถึง discretionary บริการแสดงรายการ

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 914392 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

รายการการควบคุมการเข้าถึง discretionary บริการ (DACLs) เป็นส่วนประกอบที่สำคัญ ของเวิร์กสเตชัน และ ความปลอดภัยของเซิร์ฟเวอร์ บทความฐานความรู้ของ Microsoft นี้อธิบายวิธีการแปล DACLs บริการ บทความนี้ยังให้คำแนะนำวิธีปฏิบัติการดีที่สุดสำหรับการเขียนของบริการ DACLs เมื่อพวกเขาจะพัฒนา และ assessing ความปลอดภัยของโปรแกรมเหล่านั้น

บทนำ

คุณสามารถใช้บทความฐานความรู้ของ Microsoft นี้เป็นคำแนะนำเพื่อช่วยในการประเมินความปลอดภัยให้กับรายการควบคุมการเข้าถึง discretionary บริการ (DACLs)

ข้อมูลเพิ่มเติม

เมื่อต้องการแสดง DACLs สำหรับการบริการ ใช้scคำสั่งร่วมกับsdshowอาร์กิวเมนต์ดังที่แสดงในตัวอย่างต่อไปนี้ ที่ใดservice_nameคือชื่อของบริการ DACLs ซึ่งคุณต้องการแสดง:
sc sdshowservice_name
คำสั่งสร้างผลลัพธ์ที่คล้ายกับต่อไปนี้:
(a ccdclcswrpwpdtlocrsdrcwdwo;;; sy)(a ccdclcswrpwpdtlocrsdrcwdwo;;; ba)(a ccdclcswrpwpdtlocrsdrcwdwo;;; au)(a ccdclcswrpwpdtlocrsdrcwdwo;;; pu)(a ccdclcswlocrrc;;; ls)
แสดงผลตัวอย่างนี้จากนั้นscคำสั่งแสดงคำอธิบายเกี่ยวกับการรักษาความปลอดภัยของการบริการในไวยากรณ์ภาษาในคำนิยามตัวบอกลักษณะความปลอดภัย (SDDL) สำหรับข้อมูลเกี่ยวกับไวยากรณ์ SDDL แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
มีหลายสิ่งที่ค้นหาเพื่อตรวจสอบว่าบริการ DACL ภาวะ ตารางต่อไปนี้อธิบายวิธีการที่อ่านผลลัพธ์ของการscคำสั่ง วิธีการแปลสายอักขระแต่ละสิทธิ์ และวิธีการแปลไปยังผู้รับสิทธิ์ที่ได้รับ

คุณสามารถประเมินแต่ละสายอักขระของอักขระที่อยู่ในวงเล็บ โดยใช้คีย์ต่อไปนี้: อย่างอิสระ
(อนุญาต/ปฏิเสธ สายอักขระของสิทธิ์;;; SID หรือคำย่อสำหรับกลุ่มหรือบัญชีที่มีอยู่แล้ว)
คู่แต่ละตัวอักษรสองในสายอักขระของสิทธิ์ที่สอดคล้องกับขวาเฉพาะหรือสิทธิ์:
ยุบตารางนี้ขยายตารางนี้
คู่ไปทางขวาหรือไม่อนุญาต
สำเนาถึงQueryConf
dcChangeConf
lcQueryStat
swEnumDeps
rpเริ่มการทำงาน
wpSTOP:
dtหยุดชั่วคราว
lointerrogate
ซอยUserDefined
gaGenericAll
gxGenericExecute
gwGenericWrite
grGenericRead
sdDel
rcRCtl
WD:WDac
woWOwn

exercise สุดความระมัดระวัง ด้วยสิทธิ์ ChangeConf (DC) ค้นหาสิทธิ์ ChangeConf เมื่อคุณกำลังตรวจสอบว่าบริการของคุณต่อการถูกโจมตีการยกระดับสิทธิ์ สิทธิ์นี้ช่วยให้ designee เป็นการเปลี่ยนแปลงการกำหนดค่าบริการที่จะรวมแฟ้มไบนารีที่มีการเรียกใช้เมื่อมีเริ่มบริการ นอกจากนี้คุณควร exercise ข้อควรระวังจึง มีการ WDac (WD) และสิทธิ์ WOwn (WO) ได้เนื่องจากทั้งสองสามารถใช้ escalate สิทธิ์ในการ LocalSystem ตรวจสอบให้แน่ใจว่า สิทธิ์เหล่านี้ไม่ได้มีให้แก่ผู้ใช้ที่มีสิทธิ์ต่ำ ตารางนี้แสดงรหัสที่ใช้ในการระบุชนิดของผู้ใช้ที่จะได้รับสิทธิในไวยากรณ์ SDDL
ยุบตารางนี้ขยายตารางนี้
รหัสชนิดของผู้ใช้
daผู้ดูแลโดเมน
dgโดเมนแขก
duผู้ใช้โดเมน
edEnterprise Domain Controllers
พิ่มตัวควบคุมโดเมน
dcคอมพิวเตอร์โดเมน
baผู้ดูแล built-in (ภายในเครื่อง)
bgแขก built-in (ภายในเครื่อง)
buผู้ใช้ built-in (ภายในเครื่อง)
laบัญชีผู้ดูแลท้องถิ่น
lgบัญชี Guest ท้องถิ่น
aoผู้ปฏิบัติการบัญชี
boผู้ปฏิบัติการสำรองข้อมูล
poOperators ของเครื่องพิมพ์
ดังนั้นผู้ปฏิบัติการเซิร์ฟเวอร์:
auผู้ใช้ที่ได้รับการรับรองความถูกต้อง:
psSelf ส่วนบุคคล
coเจ้าของผู้สร้าง:
cgCreator Group
syระบบภายใน
puPower Users
WD:ทุกคน (เวิลด์)
ใหม่ตัวทำซ้ำ
iuผู้ใช้เข้าสู่ระบบแบบโต้ตอบ
nuผู้ใช้เข้าสู่ระบบเครือข่าย
suผู้ใช้เข้าสู่ระบบบริการ
rcรหัสที่ถูกจำกัด
wrรหัสที่ถูกจำกัดเขียน
มีAnonymous Logon
saผู้ดูแลระบบ schema
caผู้ดูแลบริการใบรับรอง
rsกลุ่มของเซิร์ฟเวอร์การเข้าถึงระยะไกล
eaผู้ดูแลระบบองค์กร
paผู้ดูแลของนโยบายกลุ่ม
ruนามแฝงเพื่ออนุญาตให้ Windows 2000 ที่ผ่านมา
lsบัญชีบริการภายใน (ตัวอย่างเซอร์วิส)
nsบัญชีบริการเครือข่าย (ตัวอย่างเซอร์วิส)
rdผู้ใช้เดสก์ท็อประยะไกล (สำหรับบริการเทอร์มินัล)
ไม่มีผู้ปฏิบัติการกำหนดค่าเครือข่าย
muผู้ใช้การตรวจสอบประสิทธิภาพการทำงาน
luผู้ใช้ล็อกประสิทธิภาพการทำงาน
คือผู้ใช้อินเทอร์เน็ตที่ไม่ระบุชื่อ
cyผู้ปฏิบัติการเข้ารหัสลับ
owสิทธิ์ของเจ้าของ SID
rmบริการ rms

วิธีการแปลสตริงที่ DACL ในรูปแบบ SDDL

ข้อมูลนี้อธิบายวิธีการแปลสตริงที่ DACL ตัวอย่างที่แสดงอยู่ด้านบนของบทความนี้ interpretation นี้แสดงรายการแต่ละรายการควบคุมการเข้าถึง (ACE) แต่ละรายการ
  • (a ccdclcswrpwpdtlocrsdrcwdwo;;; sy)

    รายการบัญชีการควบคุมการเข้าถึง (ACE) นี้ให้ LocalSystem (SY) สิทธิ์ต่อไปนี้:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • เริ่มการทำงาน
    • STOP:
    • หยุดชั่วคราว
    • interrogate
    • UserDefined
    • ลบ
    • RCtl
    • WDac
    • WOwn
    รายการการควบคุมการเข้าถึง (ACE) ถูกจำกัดการ LocalSystem นี่คือที่ดีสำหรับการรักษาความปลอดภัยได้เนื่องจาก LocalSystem อยู่บริบทการรักษาความปลอดภัยที่มีประสิทธิภาพมากที่สุดบนเวิร์กสเตชัน ดังนั้น จะไม่มีความเสี่ยงยกระดับสิทธิ์
  • (a ccdclcswrpwpdtlocrsdrcwdwo;;; ba)

    รายการบัญชีการควบคุมการเข้าถึง (ACE) นี้นำไปใช้กับผู้ดูแลท้องถิ่นในตัว (BA) รายการบัญชีการควบคุมการเข้าถึง (ACE) นี้ช่วยให้สิทธิ์เดียวกันในการก่อนหน้านี้ตัวควบคุมรายการการเข้าถึง (ACE) ถึงผู้ดูแลท้องถิ่นทั้งหมด นี่คือยังบริบทการรักษาความปลอดภัยที่มีประสิทธิภาพมากบนเวิร์กสเตชันนั้น ดังนั้น มีอยู่อีกครั้งไม่มีความเสี่ยงยกระดับสิทธิ์
  • (a ccdclcswrpwpdtlocrsdrcwdwo;;; au)

    รายการบัญชีการควบคุมการเข้าถึง (ACE) นี้ให้สิทธิ์ที่ก่อนหน้านี้ทั้งหมดไปยังผู้ใช้ใด ๆ authenticated (AU)
ในการเข้าถึงตัวควบคุมรายการสุดท้าย (ACE), ผู้ใช้ในกลุ่มที่มีสิทธิ์ต่ำ เช่นผู้ใช้ใด ๆ authenticated สามารถเปลี่ยนการตั้งค่าคอนฟิกของบริการ การตั้งค่าคอนฟิกที่รวมแฟ้มไบนารีที่มีรันเมื่อเริ่มต้นบริการและบัญชีผู้ใช้ภายใต้ซึ่งมีการเรียกใช้บริการ

ตัวอย่างต่อไปนี้ที่ DACL ไม่ให้สิทธิ์ ChangeConf การรับรองความถูกต้องผู้ใช้:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

In this DACL, authenticated users (AU) are given only the following rights:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
There are no potential risks of escalation via the Authenticated Users group with these rights granted. The Power Users (PU) group can already escalate to LocalSystem, so should not be considered an escalation risk. In this example, the Power Users group has all the same rights as the Authenticated Users group except that the Power Users group can also start the service (RP). The Local Administrators (BA) group is next. This group and the next group, the Server Operators (SO) group, both have ChangeConf, WDac, and WOwn permissions. This is acceptable because only the most-trusted users should be in the Local Administrators or the Server Operators group.

The LocalSystem (SY) group is given the same permissions as the Power Users group, but is also given Stop and Pause permissions. This seems to be appropriate. The next two short access control entries (ACEs) give the Local Service account and the Network Service account permissions to pause the service. This also seems to be appropriate because Local Service and Network Service are both powerful local accounts.

กลุ่มผู้ปฏิบัติการในการกำหนดค่าเครือข่าย (NO) อย่างไรก็ตาม ถูกกำหนด ChangeConf สิทธิ์ มีเพิ่มกลุ่มผู้ปฏิบัติการกำหนดค่าเครือข่ายใน Windows XP เพื่อให้การเปลี่ยนแปลงการตั้งค่าเครือข่ายโดยไม่ต้องมีสิทธิ์ผู้ดูแลเต็มรูปแบบผู้ใช้ที่เชื่อถือได้ โดยค่าเริ่มต้น กลุ่มผู้ปฏิบัติการกำหนดค่าเครือข่ายว่างเปล่า กลุ่มถูกใช้เพื่อให้สิทธิ์ในการกำหนดค่าเครือข่ายผู้ใช้เฉพาะในบางครั้ง ตัวอย่างเช่น เจ้าของเครื่องคอมพิวเตอร์แบบพกพาอาจได้รับอนุญาตนี้ ผู้ใช้ในกลุ่มผู้ปฏิบัติการกำหนดค่าเครือข่ายมักมีการควบคุมคอมพิวเตอร์ที่มีอยู่จริง อย่างไรก็ตาม แสดงของกลุ่มนี้จะไม่ให้ผู้ใช้เหล่านี้สิทธิ์ระดับผู้ดูแลเต็มรูปแบบ ดังนั้น DACL การบริการนี้จะไม่ให้ ChangeConf สิทธิ์ให้กับกลุ่มผู้ปฏิบัติการกำหนดค่าเครือข่าย

แนวทางปฏิบัติที่ดีที่สุด

จำกัด DACLs การบริการเฉพาะที่ผู้ใช้ต้องเฉพาะชนิดการเข้าถึง คุณสามารถ cautious โดยเฉพาะอย่างยิ่งกับสิทธิ์ต่อไปนี้ หากได้รับสิทธิ์เหล่านี้สำหรับผู้ใช้ หรือกลุ่มที่มีสิทธิ์ต่ำ สิทธิ์สามารถใช้ระดับ LocalSystem บนคอมพิวเตอร์:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์การเข้าถึง แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://msdn2.microsoft.com/en-us/library/ms685981.aspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 914392 - รีวิวครั้งสุดท้าย: 15 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbinfo kbmt KB914392 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:914392

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com