أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

أفضل الإجراءات والإرشادات لكتّاب قوائم التحكم بالوصول الاختيارية الخاصة بالخدمة

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

الموجز
تعد قوائم التحكم بالوصول الاختيارية (DACLs) الخاصة بالخدمة مكونات مهمة لأمان الملقم ومحطة العمل. وتوضح مقالة "قاعدة المعارف لـ Microsoft" هذه كيفية ترجمة قوائم التحكم بالوصول الاختيارية بالخدمات. وتوفر هذه المقالة أيضًا إرشادات لأفضل الإجراءات التي يمكن لكتّاب قوائم التحكم بالوصول الاختيارية الخاصة بالخدمة اتباعها عند قيامهم بتطوير وتقييم مستوى الأمان الخاص ببرامجهم.
مقدمة
يمكنك استخدام مقالة "قاعدة المعارف لـ Microsoft" هذه كدليل إرشادي لمساعدتك على تقييم أمان قوائم التحكم بالوصول الاختيارية الخاصة بالخدمة.
معلومات أخرى
لعرض قوائم التحكم بالوصول الاختيارية الخاصة بإحدى الخدمات، استخدم الأمر sc مع الوسيطة sdshow كما هو موضح في المثال التالي، حيث service_name هو اسم الخدمة التي تريد عرض قوائم التحكم بالوصول الاختيارية الخاصة بها:
sc sdshow service_name
يقوم الأمر بإرجاع نتائج مشابهة لما يلي:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
يوضح هذا المثال على المخرجات من الأمر sc وصفًا لمستوى الأمان الخاص بخدمة في سياق لغة تعريف واصف الأمان (SDDL). للحصول على معلومات حول سياق لغة تعريف واصف الأمان (SDDL)، قم بزيارة موقع Microsoft التالي على الويب:هناك العديد من العناصر التي يجب البحث عنها لتحديد ما إذا كانت إحدى قوائم التحكم بالوصول الاختيارية الخاصة بخدمة عرضة لأي مخاطرة أم لا. ويوضح الجدول التالي كيفية قراءة نتائج الأمر sc، وكيفية ترجمة كل سلسلة إذن، بالإضافة إلى كيفية ترجمة من الذي يتم منح الإذن له.

يمكنك بشكلٍ مستقل تقييم كل سلسلة من الأحرف المضمنة داخل أقواس باستخدام المفتاح التالي:
(Allow/Deny;;String of permissions;;;SID أو تسمية مختصرة للمجموعة المضمنة أو الحساب المضمن)
يتطابق كل حرفين في سلسلة الأذونات مع حق أو إذن محدد:
الحرفانالحق أو الإذن
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

كن على أشد درجات الحذر مع الإذن ChangeConf (DC). ابحث عن الإذن ChangeConf عند تحديد ما إذا كانت الخدمة الخاصة بك عرضة لهجوم رفع الامتياز أم لا. حيث يعمل هذا الإذن على تمكين أحد المرشحين لتغيير تكوين الخدمة لتتضمن الملف الثنائي الذي يتم تشغيله عند بدء الخدمة. كما يجب أيضًا أن تكون على أقصى درجات الحذر مع الإذنين WDac (WD) وWOwn (WO) لأنه يمكن استخدامهما لتصعيد الأذونات إلى LocalSystem. تأكد من أنه لم يتم منح هذه الحقوق لأحد المستخدمين ذوي الأذونات المنخفضة. يسرد الجدول التالي الرموز المستخدمة لتحديد نوع المستخدم الذي يتم منحه إمكانية الوصول إلى سياق لغة تعريف واصف الأمان.
الرمزنوع المستخدم
DADomain Administrators
DGDomain Guests
DUDomain Users
EDEnterprise Domain Controllers
DDDomain Controllers
DCDomain Computers
BABuilt-in (Local ) Administrators
BGBuilt-in (Local ) Guests
BUBuilt-in (Local ) Users
LALocal Administrator Account
LGLocal Guest Account
AOAccount Operators
BOBackup Operators
POPrinter Operators
SOServer operators
AUAuthenticated Users
PSPersonal Self
COCreator Owner
CGCreator Group
SYLocal System
PUPower Users
WDEveryone (World)
REReplicator
IUInteractive Logon User
NUNetwork Logon User
SUService Logon User
RCRestricted Code
WRWrite Restricted Code
ANAnonymous Logon
SASchema Administrators
CACertificate Services Administrators
RSRemote Access Servers Group
EAEnterprise Administrators
PAGroup Policy Administrators
RUAlias to Allow Previous Windows 2000
LSLocal Service Account (for Services)
NSNetwork Service Account (for Services)
RDRemote Desktop Users (for Terminal Services)
NONetwork Configuration Operators
MUPerformance Monitor Users
LUPerformance Log Users
ISAnonymous Internet Users
CYCrypto Operators
OWOwner Rights SID
RMRMS Service

كيفية ترجمة سلسلة قائمة التحكم بالوصول الاختيارية بتنسيق لغة تعريف واصف الأمان

توضح هذه المعلومات كيفية ترجمة نموذج لسلسلة قائمة التحكم بالوصول الاختيارية المسردة أعلى هذه المقالة. تسرد هذه الترجمة كل كائن من كائنات التحكم بالوصول (ACE) بشكلٍ فردي.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

    يقوم كائن التحكم بالوصول هذا بمنح LocalSystem (SY) الحقوق التالية:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Start
    • Stop
    • Pause
    • Interrogate
    • UserDefined
    • Delete
    • RCtl
    • WDac
    • WOwn
    كائن التحكم بالوصول مقصور على LocalSystem. ويعد ذلك مفيدًا للأمان لأن LocalSystem هو بالفعل سياق الأمان الأقوى في محطة العمل. ولذلك، لا توجد مخاطرة تصعيد.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

    ينطبق كائن التحكم بالوصول هذا على built-in local administrators (BA) (المسؤولين المحليين المضمنين). ويقوم كائن التحكم بالوصول هذا بمنح نفس الحقوق التي يمنحها كائن التحكم بالوصول السابق لكافة المسؤولين المحليين. ويعد ذلك أيضًا سياق أمان قوي جدًا في محطة العمل. ولذلك، لا توجد أيضًا مخاطرة تصعيد.
  • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

    يقوم كائن التحكم بالوصول هذا بمنح كافة الحقوق السابقة لأي authenticated user (AU) (مستخدم مُصادق).
في آخر كائن تحكم بالوصول، يمكن للمستخدم الذي يوجد ضمن مجموعة لديها حقوق منخفضة المستوى، مثل أي مستخدم مُصادق، تغيير تكوين الخدمة. ويتضمن التكوين الملف الثنائي الذي يتم تشغيله عند تشغيل الخدمة والحساب الذي يتم تشغيل الخدمة ضمنه.

لا يمنح نموذج قائمة التحكم بالوصول الاختيارية التالي حقوق ChangeConf للمستخدمين المُصادقين:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

في قائمة التحكم بالوصول الاختيارية هذه، يتم منح المستخدمين المصادقين (AU) الحقوق التالية فقط:
  • QueryConf
  • QueryStat
  • EnumDeps
  • Interrogate
  • UserDefined
  • RCtl
لا توجد أية مخاطر محتملة للتصعيد عبر مجموعة Authenticated Users الممنوحة تلك الحقوق. يمكن لمجموعة Power Users (PU) بالفعل التصعيد إلى LocalSystem، لذلك لا يجب اعتبار ذلك مخاطرة تصعيد. في هذا المثال، يكون لمجموعة Power Users نفس كافة الحقوق التي يتم منحها لمجموعة Authenticated Users، فيما عدا إمكانية قيام مجموعة Power Users ببدء تشغيل الخدمة (RP). ومجموعة Local Administrators (BA) هي المجموعة التالية. يكون لهذه المجموعة والمجموعة التالية - مجموعة Server Operators (SO) - الأذونات ChangeConf وWDac وWOwn. ويعد ذلك مقبولاً لأنه يجب أن يكون أكثر المستخدمين الموثوق بهم هم المتضمنون في المجموعة Local Administrators أو المجموعة Server Operators.

يتم منح المجموعة LocalSystem (SY) نفس الأذونات التي يتم منحها للمجموعة Power Users، ولكن يتم منحها الإذنين Stop وPause أيضًا. ويبدو ذلك مناسبًا. ويقوم كائنا التحكم بالوصول القصيران التاليان بمنح حساب Local Service وNetwork Service أذونات لإيقاف الخدمة مؤقتًا. ويبدو ذلك أيضًا ملائمًا لأن كل من Local Service وNetwork Service يعدان حسابات محلية قوية.

إلا أنه يتم منح المجموعة Network Configuration Operators (NO) أذونات ChangeConf. وتمت إضافة المجموعة Network Configuration Operators في نظام التشغيل Windows XP لتمكين المستخدمين الموثوق بهم من تغيير إعدادات الشبكة دون وجود أذونات المسؤول الكاملة. حسب الإعداد الافتراضي، تكون مجموعة Network Configuration Operators فارغة. ويتم أحيانًا استخدام هذه المجموعة لمنح أذونات تكوين الشبكة لمستخدمين محددين. على سبيل المثال، قد يتم منح مالك أحد أجهزة الكمبيوتر المحمولة هذا الإذن. ويكون للمستخدمين في مجموعة Network Configuration Operators أحيانًا إمكانية التحكم الفعلي في جهاز الكمبيوتر. على الرغم من ذلك، ليس هدف هذه المجموعة منح المستخدمين أذونات المسؤول الكاملة. ولذلك، لا يجب أن تقوم قائمة التحكم بالوصول الاختيارية الخاصة بهذه الخدمة بمنح ChangeConf أذونات لمجموعة Network Configuration Operators.

أفضل الإجراءات

يعد من أفضل الإجراءات تقييد قوائم التحكم بالوصول الاختيارية الخاصة بالخدمة لهؤلاء المستخدمون الذين يحتاجون إلى نوع وصول محدد. يجب توخي الحذر مع هذه الحقوق بشكلٍ خاص. في حالة منح هذه الحقوق لأحد المستخدمين ذوي الحقوق المنخفضة أو إحدى المجموعات ذات الحقوق المنخفضة، يمكن استخدام هذه الحقوق للتصعيد إلى LocalSystem على الكمبيوتر:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
لمزيد من المعلومات حول الأذونات والحقوق الخاصة بالوصول، قم بزيارة موقع Microsoft التالي على الويب:
خصائص

رقم الموضوع: 914392 - آخر مراجعة: 02/15/2007 06:38:00 - المراجعة: 1.4

  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 1a
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbinfo KB914392
تعليقات
cript>