Βέλτιστες πρακτικές και οδηγίες για συντάκτες υπηρεσία διακριτικού ελέγχου πρόσβασης λίστες

Σύνοψη

Υπηρεσία λίστες διακριτικού ελέγχου πρόσβασης (DACL σε υπηρεσίες) είναι σημαντικά στοιχεία του σταθμού εργασίας και της ασφάλειας διακομιστή. Αυτό το άρθρο της Γνωσιακής Βάσης της Microsoft περιγράφει τον τρόπο ερμηνείας τις DACL στις υπηρεσίες. Αυτό το άρθρο παρέχει επίσης οδηγίες βέλτιστων πρακτικών για συντάκτες λιστών διακριτικού κατά την ανάπτυξη και την αξιολόγηση της ασφάλειας των προγραμμάτων τους.

ΕΙΣΑΓΩΓΗ

Μπορείτε να χρησιμοποιήσετε αυτό το άρθρο της Microsoft (Knowledge Base) ως οδηγό για την αξιολόγηση της ασφάλειας των υπηρεσιών λίστες διακριτικού ελέγχου πρόσβασης (DACL).

Περισσότερες πληροφορίες

Για να εμφανίσετε τις DACL για μια υπηρεσία, χρησιμοποιήστε την εντολή sc μαζί με το όρισμα sdshow όπως φαίνεται στο παρακάτω παράδειγμα, όπου παράμετρο όνομα_υπηρεσίας είναι το όνομα της υπηρεσίας του οποίου DACL που θέλετε να εμφανίσετε:
sc sdshow παράμετρο όνομα_υπηρεσίας
Η εντολή δημιουργεί αποτελέσματα που είναι παρόμοια με τα παρακάτω:
(A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; AU) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; (PU) (A; CCDCLCSWLOCRRC;; LS)
Το δείγμα αποτελεσμάτων από την εντολή sc εμφανίζει την περιγραφή ασφάλειας μιας υπηρεσίας στη σύνταξη ασφαλείας περιγραφή Definition Language (SDDL). Για πληροφορίες σχετικά με τη σύνταξη SDDL, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Υπάρχουν αρκετά πράγματα για να αναζητήσετε για να προσδιορίσετε αν μια υπηρεσία DACL είναι ευάλωτο. Οι παρακάτω πίνακες περιγράφουν τον τρόπο ανάγνωσης των αποτελεσμάτων της εντολής sc , τον τρόπο ερμηνείας κάθε συμβολοσειράς δικαιώματος και τον τρόπο ερμηνείας του χρήστη στον οποίο έχει εκχωρηθεί το δικαίωμα.

Μπορείτε να αξιολογήσετε χωριστά κάθε συμβολοσειρά χαρακτήρων που περικλείεται σε παρενθέσεις χρησιμοποιώντας το ακόλουθο κλειδί:
(Allow/Deny; Συμβολοσειρά δικαιωμάτων;; (SID ή αρκτικόλεξο για ενσωματωμένο λογαριασμό ή ομάδα)
Κάθε ζεύγος δύο γραμμάτων στη συμβολοσειρά δικαιωμάτων αντιστοιχεί σε συγκεκριμένο δικαίωμα ή τα δικαιώματα:
ΖεύγοςΔικαίωμα
"ΚΟΙΝ."QueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RPΈναρξη
ΤΜΉΜΑΤΟΣ WEBΔιακοπή
DTΠαύση
LOINTERROGATE
CRΚαθορισμένη από το χρήστη
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDEL
RCRCtl
WDWDac
WOWOwn

Ασκούν είστε ιδιαίτερα προσεκτικοί με το δικαίωμα ChangeConf (DC). Αναζητήστε το δικαίωμα ChangeConf όταν προσδιορίζετε αν η υπηρεσία σας είναι ευάλωτη σε επίθεση ανύψωση δικαιωμάτων. Αυτό το δικαίωμα επιτρέπει στον κάτοχό του για να αλλάξετε τη ρύθμιση παραμέτρων της υπηρεσίας ώστε να περιλαμβάνουν το δυαδικό αρχείο που εκτελείται κατά την εκκίνηση της υπηρεσίας. Θα πρέπει επίσης να ασκήσετε είστε ιδιαίτερα προσεκτικοί με το WDac (WD) και τα δικαιώματα WOwn (WO) επειδή και τα δύο μπορούν να χρησιμοποιηθούν για την ανύψωση των δικαιωμάτων σε LocalSystem. Βεβαιωθείτε ότι αυτά τα δικαιώματα δεν έχουν εκχωρηθεί σε χρήστη με χαμηλά δικαιώματα πρόσβασης. Αυτός ο πίνακας παραθέτει τους κωδικούς που χρησιμοποιούνται για τον προσδιορισμό του τύπου χρήστη στον οποίο εκχωρείται πρόσβαση στη σύνταξη SDDL.
ΚωδικόςΤύπος χρήστη
DAΟι διαχειριστές τομέα
ΓΔΟι επισκέπτες του τομέα
DUΟι χρήστες του τομέα
ΕΠΕEnterprise Domain Controllers
ΗΗΕλεγκτές τομέα
DCΟι υπολογιστές του τομέα
BAΟι διαχειριστές ενσωματωμένο (τοπικά)
BGΕπισκέπτες ενσωματωμένο (τοπικά)
BUΟι χρήστες του ενσωματωμένου (τοπικά)
LAΛογαριασμός τοπικού διαχειριστή
LGΤοπικό λογαριασμό επισκέπτη
AOΧειριστών λογαριασμών
BOΧειριστές αντιγράφων ασφαλείας
POΤελεστές εκτυπωτή
ΈΤΣΙΧειριστές διακομιστή
AUΟι χρήστες με έλεγχο ταυτότητας
PSΟ ίδιος
COΚάτοχος δημιουργός
CGΔημιουργός ομάδας
SYΤοπικό σύστημα
PUΟι Προνομιούχοι χρήστες
WDΌλοι (World)
REΠρόγραμμα αναπαραγωγής
IUΧρήστης σύνδεσης αλληλεπίδρασης
NUΧρήστης σύνδεσης δικτύου
SUΧρήστης σύνδεσης υπηρεσίας
RCΚωδικός περιορισμού
WRΕγγραφή κωδικός περιορισμού
ΈΝΑΑνώνυμη σύνδεση
SAΔιαχειριστών σχήματος
ΑΡΧΉ ΈΚΔΟΣΗΣ ΠΙΣΤΟΠΟΙΗΤΙΚΏΝΟι διαχειριστές υπηρεσιών πιστοποιητικού
RSΟμάδα διακομιστές απομακρυσμένης πρόσβασης
EAΔιαχειριστές εταιρείας
PAΔιαχειριστές της πολιτικής ομάδας
RUΨευδώνυμο για να επιτρέψετε την προηγούμενη των Windows 2000
LSΛογαριασμός τοπικής υπηρεσίας (για υπηρεσίες)
NSΛογαριασμός υπηρεσίας δικτύου (για υπηρεσίες)
RDΧρήστες απομακρυσμένης επιφάνειας εργασίας (για τις υπηρεσίες Terminal Services)
ΌΧΙΟι χειριστές ρύθμισης παραμέτρων δικτύου
MUΧρήστες της εποπτείας επιδόσεων
LUPerformance Log Users
ΕΊΝΑΙΟι χρήστες του Internet ανώνυμης
CYΤελεστές κρυπτογράφησης
ΕΜΦΆΝΙΣΗΚάτοχος δικαιωμάτων SID
ΔΙΑΧΕΊΡΙΣΗ ΠΌΡΩΝΗ υπηρεσία RMS

Τρόπος ερμηνείας μιας συμβολοσειράς DACL σε μορφή SDDL

Οι πληροφορίες αυτές περιγράφουν τον τρόπο ερμηνείας του δείγματος συμβολοσειράς DACL που παρατίθεται στην αρχή αυτού του άρθρου. Αυτή η ερμηνεία εμφανίζει κάθε καταχώρηση ελέγχου πρόσβασης (ACE) χωριστά.
  • (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)

    Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) δίνει στο λογαριασμό LocalSystem (SY) τα παρακάτω δικαιώματα:
    • QueryConf
    • ChangeConf
    • QueryStat
    • EnumDeps
    • Έναρξη
    • Διακοπή
    • Παύση
    • INTERROGATE
    • Καθορισμένη από το χρήστη
    • Διαγραφή
    • RCtl
    • WDac
    • WOwn
    Η καταχώρηση ελέγχου πρόσβασης (ACE) περιορίζεται στο λογαριασμό LocalSystem. Αυτό είναι καλό για την ασφάλεια, επειδή ο λογαριασμός LocalSystem είναι ήδη το πιο ισχυρό περιβάλλον ασφαλείας στο σταθμό εργασίας. Επομένως, δεν υπάρχει κίνδυνος προβιβασμού.
  • (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)

    Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) εφαρμόζεται σε ενσωματωμένους τοπικούς διαχειριστές (BA). Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) δίνει τα ίδια δικαιώματα με την προηγούμενη καταχώρηση ελέγχου πρόσβασης (ACE) σε όλους τους τοπικούς διαχειριστές. Αυτό είναι επίσης ένα πολύ ισχυρό περιβάλλον ασφαλείας στο σταθμό εργασίας. Επομένως, υπάρχει πάλι υπάρχει κίνδυνος προβιβασμού δικαιωμάτων.
  • (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; AU)

    Αυτή η καταχώρηση ελέγχου πρόσβασης (ACE) δίνει όλα τα παραπάνω δικαιώματα σε οποιονδήποτε χρήστη με έλεγχο ταυτότητας (AU).
Στην τελευταία καταχώρηση ελέγχου πρόσβασης (ACE), ένας χρήστης σε ομάδα με χαμηλά δικαιώματα, όπως οποιοσδήποτε χρήστης με έλεγχο ταυτότητας, να αλλάξετε τη ρύθμιση παραμέτρων της υπηρεσίας. Η ρύθμιση παραμέτρων περιλαμβάνει το δυαδικό αρχείο που εκτελείται κατά την εκκίνηση της υπηρεσίας και ο λογαριασμός υπό τον οποίο εκτελείται η υπηρεσία.

Το ακόλουθο δείγμα DACL δεν δίνει δικαιώματα ChangeConf σε εξουσιοδοτημένους χρήστες:
(A; CCLCSWLOCRRC;; AU) (A; CCLCSWRPLOCRRC;; (PU) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; ΚΛΠ) (A; CCLCSWRPWPDTLOCRRC;; SY) (A; D T;; LS) (A; D T;; NS) (A; CCDCLCSWRPWPDTLOCRSDRCWDWO;; ΌΧΙ)

Σε αυτή τη λίστα DACL, οι χρήστες με έλεγχο ταυτότητας (AU) δίνεται μόνο τα παρακάτω δικαιώματα:
  • QueryConf
  • QueryStat
  • EnumDeps
  • INTERROGATE
  • Καθορισμένη από το χρήστη
  • RCtl
Υπάρχουν πιθανοί κίνδυνοι προβιβασμού δικαιωμάτων μέσω της ομάδας Authenticated Users με αυτά τα δικαιώματα. Η ομάδα Power Users (PU) μπορεί ήδη να προβιβαστεί σε LocalSystem, επομένως δεν θα πρέπει να θεωρούνται κίνδυνος προβιβασμού μέσω αυτής. Σε αυτό το παράδειγμα, η ομάδα Power Users έχει τα ίδια δικαιώματα με την ομάδα Authenticated Users με τη διαφορά ότι η ομάδα Power Users μπορούν επίσης να ξεκινήσετε την υπηρεσία (RP). Στην ομάδα τοπικών διαχειριστών (BA) είναι το επόμενο. Αυτή η ομάδα και την επόμενη ομάδα, ομάδα Server Operators (ΚΛΠ), και τα δύο έχουν δικαιώματα ChangeConf, WDac και WOwn. Αυτό είναι αποδεκτό, επειδή μόνο οι πιο αξιόπιστες χρήστες θα πρέπει να έχει το τοπικών διαχειριστών ή της ομάδας Χειριστών διακομιστή.

Η ομάδα LocalSystem (SY) λαμβάνει τα ίδια δικαιώματα με την ομάδα Power Users, αλλά αναφέρεται επίσης δικαιώματα διακοπής και παύσης. Αυτό φαίνεται να είναι κατάλληλες. Τα επόμενα δύο μικρές καταχωρήσεις ελέγχου πρόσβασης (ACE) δίνει στο λογαριασμό Local Service και το λογαριασμό Network Service δικαιώματα για παύση της υπηρεσίας. Φαίνεται επίσης να είναι κατάλληλα επειδή η τοπική υπηρεσία και υπηρεσία δικτύου είναι τόσο ισχυρές τοπικούς λογαριασμούς.

Ομάδα χειριστές ρύθμισης παραμέτρων δικτύου (ΌΧΙ), ωστόσο, λαμβάνει δικαιώματα ChangeConf. Προστέθηκε στην ομάδα οι χειριστές ρύθμισης παραμέτρων δικτύου στα Windows XP, για να επιτρέψετε σε αξιόπιστους χρήστες χωρίς δικαιώματα διαχειριστή πλήρους αλλάζει τις ρυθμίσεις δικτύου. Από προεπιλογή, η ομάδα χειριστές ρύθμισης παραμέτρων δικτύου είναι κενό. Η ομάδα χρησιμοποιείται μερικές φορές για να δώσετε δικαιώματα ρύθμισης παραμέτρων δικτύου σε συγκεκριμένους χρήστες. Για παράδειγμα, ο κάτοχος ενός φορητού υπολογιστή μπορεί να εκχωρηθεί αυτό το δικαίωμα. Οι χρήστες στην ομάδα οι χειριστές ρύθμισης παραμέτρων δικτύου έχουν συχνά φυσικό έλεγχο του υπολογιστή. Ωστόσο, η πρόθεση αυτής της ομάδας είναι να μην δώσετε σε αυτούς τους χρήστες δικαιώματα διαχειριστή πλήρη. Επομένως, αυτή η υπηρεσία DACL δεν θα πρέπει να δικαιώματα ChangeConf της ομάδας χειριστών ρύθμισης παραμέτρων δικτύου.

Βέλτιστες πρακτικές

Περιορισμός DACL υπηρεσίας μόνο στους χρήστες που χρειάζονται μια συγκεκριμένη πρόσβαση σε τύπο. Να είστε ιδιαίτερα προσεκτικοί με τα παρακάτω δικαιώματα. Εάν αυτά τα δικαιώματα εκχωρούνται σε ένα χρήστη ή μια ομάδα με χαμηλά δικαιώματα, τα δικαιώματα που μπορεί να χρησιμοποιηθεί για προβιβασμό σε LocalSystem στον υπολογιστή:
  • ChangeConf (DC)
  • WDac (WD)
  • WOwn (WO)
Για περισσότερες πληροφορίες σχετικά με τα δικαιώματα πρόσβασης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Ιδιότητες

Αναγνωριστικό άρθρου: 914392 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 2

Σχόλια