Makale numaras�: 914392 - Son G�zden Ge�irme: 15 �ubat 2007 Per�embe - G�zden ge�irme: 1.4

Hizmetlerin iste�e ba�l� eri�im denetim listelerini yazanlar i�in en iyi uygulama �rnekleri ve �neriler

Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Sistem �pucuBu makale, kulland��n�zdan farkl� bir i�letim sistemine y�neliktir. Sizinle ilgili olmayabilecek makale i�eri�i devre d�� b�rak�ld�.

�ste�e ba�l� hizmet eri�im denetim listeleri (DACL) i� istasyonunun ve sunucu g�venli�inin �nemli bile�enleridir. Bu Microsoft Bilgi Bankas� makalesinde hizmetlerdeki DACL'lerin nas�l yorumlanaca�� a��klanmaktad�r. Bu makale ayn� zamanda, programlar�n�n g�venli�ini geli�tiren ve �zerinde de�erlendirme yapan hizmet DACL'si yazarlar� i�in en iyi uygulama �nerileri sa�lar.

�ste

G�R��

Bu Microsoft Bilgi Bankas� makalesini, iste�e ba�l� hizmet eri�im denetim listelerinin (DACL) g�venli�ini de�erlendirmeye yard�mc� olan bir k�lavuz olarak kullanabilirsiniz.

�ste

Daha fazla bilgi

Bir hizmetin DACL'lerini g�r�nt�lemek i�in, sc komutunu a�a��daki �rnekte g�sterildi�i gibi sdshow de�i�keniyle birlikte kullan�n, burada hizmet_ad� DACL'lerini g�r�nt�lemek istedi�iniz hizmetin ad�d�r:

sc sdshow hizmet_ad�

Bu komut �unlara benzer sonu�lar �retir:

(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)

sc komutunun bu �rnek ��kt�s�, bir hizmetin g�venlik a��klamas�n� G�venlik Tan�mlay�c�s� Tan�m Dili (SDDL) s�zdiziminde g�sterir. SDDL s�zdizimi hakk�nda bilgi i�in, a�a��daki Microsoft Web sitesini ziyaret edin:

http://msdn2.microsoft.com/en-us/library/aa379567.aspx (http://msdn2.microsoft.com/en-us/library/aa379567.aspx)

Bir hizmet DACL'sinin savunmas�z olup olmad��n� belirlemek i�in bak�lmas� gereken birka� �ey vard�r. A�a��daki tablolar sc komutunun sonu�lar�n�n nas�l okunaca��n�, her bir izin dizesinin ve iznin kime verildi�inin nas�l yorumlanaca��n� a��klar.

A�a��daki anahtar� kullanarak ayra� i�indeki her bir karakter dizesini ba��ms�z olarak de�erlendirebilirsiniz:

(�zin Ver/Engelle;;�zin dizesi;;;Yerle�ik hesab�n veya grubun SID de�eri ya da k�sa ad�)

�zin dizesindeki iki harften olu�an her �ift belirli bir hakka veya izne kar��l�k gelir:

Bu tabloyu kapaBu tabloyu a�

�ift	Hak veya izin
CC	QueryConf
DC	ChangeConf
LC	QueryStat
SW	EnumDeps
RP	Start
WP	Stop
DT	Pause
LO	Interrogate
CR	UserDefined
GA	GenericAll
GX	GenericExecute
GW	GenericWrite
GR	GenericRead
SD	Del
RC	RCtl
WD	WDac
WO	WOwn

ChangeConf (DC) iznini �ok dikkatli kullan�n. Hizmetinizin ayr�cal�k y�kselmesi sald�r�s�na a��k olup olmad��n� belirlerken ChangeConf iznine bak�n. Bu izin, bir yetkilinin, hizmet ba�lad��nda �al��t�r�lan ikili dosyay� i�erecek �ekilde hizmetin yap�land�rmas�n� de�i�tirmesine olanak tan�r. �zinleri LocalSystem'a y�kseltmede kullan�labilecekleri i�in WDac (WD) ve WOwn (WO) izinlerinin ikisinde de son derece dikkatli olun. Bu haklar�n d��k d�zeyli izinleri olan bir kullan�c�ya verilmedi�inden emin olun. Bu tablo, SDDL s�zdiziminde izin verilen kullan�c� t�r�n� tan�mlamada kullan�lan kodlar� listeler.

Bu tabloyu kapaBu tabloyu a�

Kod	Kullan�c� t�r�
DA	Domain Administrators (Etki Alan� Y�neticileri)
DG	Domain Guests (Etki Alan� Konuklar�)
DU	Domain Users (Etki Alan� Kullan�c�lar�)
ED	Enterprise Domain Controllers (Kurulu� Etki Alan� Denetleyicileri)
DD	Domain Controllers (Etki Alan� Denetleyicileri)
DC	Domain Computers (Etki Alan� Bilgisayarlar�)
BA	Built-in (Local ) Administrators (Yerle�ik (Yerel) Y�neticiler)
BG	Built-in (Local ) Guests (Yerle�ik (Yerel) Konuklar)
BU	Built-in (Local ) Users (Yerle�ik (Yerel) Kullan�c�lar)
LA	Local Administrator Account (Yerel Y�netici Hesab�)
LG	Local Guest Account (Yerel Konuk Hesab�)
AO	Account Operators (Hesap ��letmenleri)
BO	Backup Operators (Yedekleme ��letmenleri)
PO	Printer Operators (Yaz�c� ��letmenleri)
SO	Server Operators (Sunucu ��letmenleri)
AU	Authenticated Users (Kimli�i Do�rulanm�� Kullan�c�lar)
PS	Personal Self (Ki�inin Kendisi)
CO	Creator Owner (Olu�turan-Sahibi)
CG	Creator Group (Olu�turan�n Grubu)
SY	Local System (Yerel Sistem)
PU	Power Users (Uzman Kullan�c�lar)
WD	Everyone (World) (Herkes (D�nya))
RE	Replicator (�o�alt�c�)
IU	Interactive Logon User (Etkile�imli Oturum Kullan�c�s�)
NU	Network Logon User (A� Oturumu Kullan�c�s�)
SU	Service Logon User (Hizmet Oturumu Kullan�c�s�)
RC	Restricted Code (K�s�tl� Kod)
WR	Write Restricted Code (K�s�tl� Kod Yazma)
AN	Anonymous Logon (Anonim Oturum)
SA	Schema Administrators (�ema Y�neticileri)
CA	Certificate Services Administrators (Sertifika Hizmetleri Y�neticileri)
RS	Remote Access Servers Group (Uzaktan Eri�im Hizmetleri Grubu)
EA	Enterprise Administrators (Kurulu� Y�neticileri)
PA	Group Policy Administrators (Grup �lkesi Y�neticileri)
RU	Alias to Allow Previous Windows 2000 (�nceki Windows 2000'e �zin Vermek i�in Di�er Ad)
LS	Local Service Account (for Services) (Yerel Hizmet Hesab� (Hizmetler i�in))
NS	Network Service Account (for Services) (A� Hizmeti Hesab� (Hizmetler i�in))
RD	Remote Desktop Users (for Terminal Services) (Uzak Masa�st� Kullan�c�lar� (Terminal Hizmetleri i�in))
NO	Network Configuration Operators (A� Yap�land�rma ��letmenleri)
MU	Performance Monitor Users (Performans �zleyicisi Kullan�c�lar�)
LU	Performance Log Users (Performans G�nl�� Kullan�c�lar�)
IS	Anonymous Internet Users (Anonim Internet Kullan�c�lar�)
CY	Crypto Operators (�ifreleme ��letmenleri)
OW	Owner Rights SID (Sahip Haklar� SID'si)
RM	RMS Service (RMS Hizmeti)

�ste

SDDL bi�imindeki bir DACL dizesi nas�l yorumlan�r

Bu bilgiler, bu makalenin ba��nda listelenen �rnek DACL dizesinin nas�l yorumlanaca��n� a��klar. Bu yorum, her bir eri�im denetim girdisini (ACE) ayr� ayr� listeler.

(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

Bu eri�im denetim girdisi (ACE) LocalSystem'a (SY) �u haklar� verir:
- QueryConf
- ChangeConf
- QueryStat
- EnumDeps
- Start
- Stop
- Pause
- Interrogate
- UserDefined
- Delete
- RCtl
- WDac
- WOwn
Eri�im denetim girdisi (ACE) yerel sistem ile s�n�rlanm��t�r. Yerel sistem zaten i� istasyonundaki en g��l� g�venlik i�eri�i oldu�undan, bu g�venlik i�in iyidir. Bu nedenle, bir y�kselme riski yoktur.
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

Bu eri�im denetim girdisi (ACE) yerle�ik yerel y�neticiler (BA) i�in ge�erlidir. Bu eri�im denetim girdisi (ACE) bir �nceki eri�im denetim girdisindekilerle (ACE) ayn� haklar� t�m yerel y�neticilere verir. Bu da i� istasyonundaki �ok g��l� bir g�venlik i�eri�idir. Bu nedenle, yine bir y�kselme riski yoktur.
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

Bu eri�im denetim girdisi (ACE) yukar�daki t�m haklar� kimli�i do�rulanm�� her kullan�c�ya (AU) verir.

Sonuncu eri�im denetim girdisindeyse (ACE), d��k d�zeyli izinleri olan grup i�indeki bir kullan�c� (kimli�i do�rulanm�� herhangi bir kullan�c� gibi) hizmetin yap�land�rmas�n� de�i�tirebilir. Bu yap�land�rma, hizmet ba�lat�ld��nda �al��t�r�lan ikili dosyas�n� ve hizmetin alt�nda �al��t�� hesab� i�erir.

A�a��daki �rnek DACL, kimli�i do�rulanm�� kullan�c�lara ChangeConf izinleri vermez:

(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

Bu DACL'de, kimli�i do�rulanm�� kullan�c�lara (AU) yaln�zca a�a��daki izinler verilmi�tir:

QueryConf
QueryStat
EnumDeps
Interrogate
UserDefined
RCtl

Bu haklar�n Authenticated Users (Kimli�i Do�rulanm�� Kullan�c�lar) grubuna verilmesi yoluyla olas� bir ayr�cal�k y�kselmesi riski yoktur. Power Users (PU, Uzman Kullan�c�lar) grubu zaten LocalSystem'� (Yerel Sistem) y�kseltebilece�i i�in, bunun bir y�kselme riski olarak g�r�lmemesi gerekir. Bu �rnekte, Power Users (Uzman Kullan�c�lar) grubu Authenticated Users (Kimli�i Do�rulanm�� Kullan�c�lar) grubuyla ayn� haklara sahiptir, ancak Power Users grubu ayr�ca hizmeti ba�latabilir (RP). Local Administrators (BA, Yerel Y�neticiler) grubu sonraki s�radad�r. Bu ve sonraki grup olan Server Operators (SO, Sunucu ��letmenleri) grubunun ikisi de ChangeConf, WDac ve WOwn izinlerine sahiptir. Yaln�zca en g�venilen kullan�c�lar�n Local Administrators (Yerel Y�neticiler) veya Server Operators (Sunucu ��letmenleri) grubunda olmalar� gerekti�i i�in, bu kabul edilebilir.

LocalSystem (SY, Yerel Sistem) grubuna Power Users (Uzman Kullan�c�lar) grubuyla ayn� izinler verilir, ancak ayr�ca Stop ve Pause izinleri de verilir. Bu uygun g�r�nmektedir. K�sa olan sonraki iki eri�im denetim girdisi, (ACE) Local Service (Yerel Hizmet) ve Network Service (A� Hizmeti) hesaplar�na hizmeti duraklatma izinleri verir. Local Service (Yerel Hizmet) ve Network Service (A� Hizmeti) hesaplar�n�n ikisi de g��l� yerel hesaplar oldu�u i�in, bu da uygun g�r�nmektedir.

Ancak, Network Configuration Operators (NO, A� Yap�land�rma ��letmenleri) grubuna ChangeConf izinleri verilmektedir. Network Configuration Operators (A� Yap�land�rma ��letmenleri) grubu, g�venilen kullan�c�lar�n tam y�netici izinleri olmadan a� ayarlar�n� de�i�tirmesine izin vermek i�in Windows XP'ye eklenmi�ti. Varsay�lan olarak, Network Configuration Operators (A� Yap�land�rma ��letmenleri) grubu bo�tur. Bu grup bazen belirli kullan�c�lara a� yap�land�rma izinleri vermede kullan�l�r. �rne�in, ta��nabilir bilgisayar sahibine bu izin verilebilir. Network Configuration Operators (A� Yap�land�rma ��letmenleri) grubundaki kullan�c�lar s�k�a bilgisayar�n fiziksel denetimine sahip olur. Ancak, bu grubun olu�turulmas�ndaki ama�, bu kullan�c�lara tam y�netici izinleri vermemektir. Bu nedenle, bu hizmet DACL'si Network Configuration Operators (A� Yap�land�rma ��letmenleri) grubuna ChangeConf izinleri vermemelidir.

�ste

En iyi uygulamalar

Hizmet DACL'lerini yaln�zca belirli bir eri�im t�r�ne gerek duyan kullan�c�larla s�n�rlay�n. �zellikle a�a��daki haklar� verirken dikkatli olun. Bu haklar d��k d�zeyli izinleri olan bir kullan�c� veya gruba verilirse, bilgisayardaki LocalSystem'a (Yerel Sistem) y�kselmek i�in kullan�labilirler:

ChangeConf (DC)
WDac (WD)
WOwn (WO)

Eri�im haklar� ve izinler hakk�nda daha fazla bilgi i�in, a�a��daki Microsoft Web sitesini ziyaret edin:

http://msdn2.microsoft.com/en-us/library/ms685981.aspx (http://msdn2.microsoft.com/en-us/library/ms685981.aspx)

�ste

Bu makaledeki bilginin uyguland�� durum:

Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 1a
Microsoft Windows XP Service Pack 2
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

�ste

kbinfo KB914392

�ste

Di�er Kaynaklar

Di�er Destek Siteleri

Topluluk

Hemen Yard�m Al

Destek Uzman�ndan; E-posta, �evrimi�i veya Telefonda Yard�m Al�n

Makale �evirileri

United States (English)

This site in other countries/regions:

Hizmetlerin iste�e ba�l� eri�im denetim listelerini yazanlar i�in en iyi uygulama �rnekleri ve �neriler

Bu Sayfada

�zet

G�R��

Daha fazla bilgi

SDDL bi�imindeki bir DACL dizesi nas�l yorumlan�r

En iyi uygulamalar

Bu makaledeki bilginin uyguland�� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Hemen Yard�m Al

Makale �evirileri

�lgili Destek Merkezleri

This site in other countries/regions:

Hizmetlerin iste�e ba�l� eri�im denetim listelerini yazanlar i�in en iyi uygulama �rnekleri ve �neriler

Bu Sayfada

�zet

G�R��

Daha fazla bilgi

SDDL bi�imindeki bir DACL dizesi nas�l yorumlan�r

En iyi uygulamalar

Bu makaledeki bilginin uyguland��� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Hemen Yard�m Al

Makale �evirileri

�lgili Destek Merkezleri

Bu makaledeki bilginin uyguland�� durum: