Parhaita käytäntöjä ja ohjeita palveluiden harkinnanvaraisten käyttöoikeusluetteloiden kirjoittajille

Windows XP:n tuki on päättynyt

Microsoft lopetti Windows XP:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Windows Server 2003:n tuki päättyi 14.7.2015

Microsoft lopetti Windows Server 2003:n tuen 14.7.2015. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Yhteenveto
Palveluiden harkinnanvaraiset käyttöoikeusluettelot (DACL) ovat työasemien ja palvelinten tietoturvan tärkeitä osia. Tässä Microsoft Knowledge Base -tietokannan artikkelissa kerrotaan, miten palveluiden harkinnanvaraisia käyttöoikeusluetteloita tulkitaan. Tässä artikkelissa on myös parhaiden käytäntöjen ohjeita palveluiden harkinnanvaraisten käyttöoikeusluetteloiden kirjoittajille, kun he kehittävät ja arvioivat ohjelmiensa tietoturvaa.
ESITTELY
Voit käyttää Microsoft Knowledge Base -tietokannan artikkelia ohjeena palveluiden harkinnanvaraisten käyttöoikeusluetteloiden (DACL) tietoturvan arvioinnissa.
Enemmän tietoa
Voit tarkastella palvelun harkinnanvaraisia käyttöoikeusluetteloita käyttämällä sc-komentoa yhdessä sdshow-argumentin kanssa seuraavan esimerkin mukaisesti. Tässä esimerkissä palvelun_nimi on sen palvelun nimi, jonka harkinnanvaraisia käyttöoikeusluetteloita haluat tarkastella:
sc sdshow palvelun_nimi
Tämä komento luo seuraavankaltaisia tuloksia:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Tämä sc-komennon suorittamisen mallituloste näyttää palvelun suojauskuvauksen SDDL (Security Descriptor Definition Language) -muodossa. Lisätietoja SDDL-muodosta on seuraavassa Microsoftin Web-sivustossa:Voit selvittää palvelun DACL-luettelon haavoittuvuuden tiettyjen merkintöjen perusteella. Seuraavissa taulukoissa kuvataan, miten sc-komennon tulokset luetaan, miten kunkin käyttöoikeusmerkkijono tulkitaan ja miten tulkitaan, kenelle oikeus on myönnetty.

Voit arvioida kunkin sulkeiden sisällä olevan merkkijonon erikseen seuraavan avaimen avulla:
(Allow/Deny;;Oikeuksien merkkijono;;;sisäisen tilin tai ryhmän SID tai lyhenne)
Kukin oikeusmerkkijonossa oleva kahden kirjaimen pari vastaa tiettyä oikeutta:
PariOikeus
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Käynnistys
WPPysäytys
DTTauko
LOKysely
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDPoisto
RCRCtl
WDWDac
WOWOwn

Käytä näistä oikeuksista eniten harkintaa ChangeConf (DC) -oikeuden suhteen. Etsi ChangeConf-oikeutta, kun selvität, onko palvelusi alttiina käyttöoikeuksien laajentamishyökkäykselle. Tämän oikeuden omistaja pystyy muuttamaan palvelun määrityksiä niin, että palvelun käynnistämisen yhteydessä suoritetaan binaaritiedosto. Käytä erityistä harkintaa myös WDac (WD)- ja WOwn (WO) -oikeuksien suhteen, koska molempia niistä voidaan käyttää oikeuksien laajentamiseen LocalSystem-oikeuksien tasolle. Varmista, ettei näitä oikeuksia myönnetä käyttäjälle, jonka käyttöoikeustaso on pieni. Tässä taulukossa on luettelo koodeista, joiden avulla tunnistetaan SDDL-muodossa se käyttäjätyyppi, jolle oikeus myönnetään.
KoodiKäyttäjätyyppi
DAToimialueen järjestelmänvalvojat
DGToimialueen vieraat
DUToimialueen käyttäjät
EDYritystoimialueen ohjauskoneet
DDToimialueen ohjauskoneet
DCToimialueen tietokoneet
BASisäiset (paikalliset) järjestelmänvalvojat
BGSisäiset (paikalliset) vieraat
BUSisäiset (paikalliset) käyttäjät
LAPaikallisen järjestelmänvalvojan tili
LGPaikallisen vieraan tili
AOTilioperaattorit
BOVarmuuskopiointioperaattorit
POTulostusoperaattorit
SOPalvelinoperaattorit
AUVahvistetut käyttäjät
PSItse
COLuoja-omistaja
CGLuojaryhmä
SYPaikallinen järjestelmä
PUTehokäyttäjät
WDKaikki (maailma)
REMonistus
IUVuorovaikutteisen kirjautumisen käyttäjä
NUVerkkokirjautumisen käyttäjä
SUPalvelun kirjautumisen käyttäjä
RCKäyttörajoitettu koodi
WRKirjoitusrajoitettu koodi
ANAnonyymi kirjautuminen
SASchema-järjestelmänvalvojat
CASertifikaattipalveluiden järjestelmänvalvojat
RSEtäkäyttöpalvelinten ryhmä
EAYrityksen järjestelmänvalvojat
PARyhmäkäytännön järjestelmänvalvojat
RUAlias aiemman Windows 2000:n sallimiseen
LSPaikallisen palvelun tili (palveluille)
NSVerkkopalvelun tili (palveluille)
RDEtätyöpöydän käyttäjät (päätepalveluille)
NOVerkonmääritysoperaattorit
MUResurssienvalvonnan käyttäjät
LUResurssilokin käyttäjät
ISAnonyymit Internet-käyttäjät
CYSalausoperaattorit
OWKäyttäjän oikeuksien SID
RMRMS-palvelu

SDDL-muotoisen DACL-merkkijonon tulkitseminen

Seuraavassa kuvataan, miten tämän artikkelin alussa kerrottu DACL-mallimerkkijono tulkitaan. Näissä tiedoissa luetellaan kukin käyttöoikeusmerkintä (ACE) yksitellen.
 • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

  Tämä käyttöoikeusmerkintä antaa LocalSystem (SY) -kohteelle seuraavat oikeudet:
  • QueryConf
  • ChangeConf
  • QueryStat
  • EnumDeps
  • Käynnistys
  • Pysäytys
  • Tauko
  • Kysely
  • UserDefined
  • Poisto
  • RCtl
  • WDac
  • WOwn
  Tämä käyttöoikeusmerkintä on rajoitettu LocalSystem-kohteelle. Tästä on hyötyä tietoturvan kannalta, koska LocalSystem on jo työaseman suurimmat käyttöoikeudet omistava suojauskonteksti. Tämän vuoksi käyttöoikeuksien laajentamisen riskiä ei ole.
 • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

  Tämä käyttöoikeusmerkintä koskee sisäisiä paikallisia järjestelmänvalvojia (BA). Tämä käyttöoikeusmerkintä antaa kaikille paikallisille järjestelmänvalvojille samat oikeudet kuin edellinen käyttöoikeusmerkintä. Tällä työaseman suojauskontekstilla on myös hyvin suuret käyttöoikeudet. Tämän vuoksi käyttöoikeuksien laajentamisen riskiä ei taaskaan ole.
 • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

  Tämä käyttöoikeusmerkintä antaa kaikki edelliset oikeudet kenelle tahansa vahvistetulle käyttäjälle (AU).
Viimeisimmässä käyttöoikeusmerkinnässä pienet käyttöoikeudet omistavan ryhmän jäsen, kuten kuka tahansa vahvistettu käyttäjä, voi muuttaa palvelun määrityksiä. Määritykset sisältävät binaaritiedoston, joka suoritetaan palvelun käynnistämisen yhteydessä, sekä tilin, jota käyttäen palvelu suoritetaan.

Seuraava DACL-malli ei anna ChangeConf-oikeuksia vahvistetuille käyttäjille:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

Tässä DACL-luettelossa vahvistetuille käyttäjille (AU) annetaan vain seuraavat oikeudet:
 • QueryConf
 • QueryStat
 • EnumDeps
 • Kysely
 • UserDefined
 • RCtl
Mahdollisia käyttöoikeuksien laajentamisen riskejä ei ole Vahvistetut käyttäjät -ryhmällä, jolle on myönnetty nämä oikeudet. Tehokäyttäjät (PU) -ryhmä pystyy jo laajentamaan käyttöoikeudet LocalSystem-tasolle, joten sitä ei tule pitää käyttöoikeuksien laajentamisen riskinä. Tässä esimerkissä Tehokäyttäjät-ryhmällä on kaikki samat oikeudet kuin Vahvistetut käyttäjät -ryhmällä lukuun ottamatta sitä, että Tehokäyttäjät-ryhmä pystyy myös käynnistämään palvelun (RP). Seuraavaksi on Paikalliset järjestelmänvalvojat (BA) -ryhmä. Tällä ryhmällä ja seuraavalla Palvelinoperaattorit (SO) -ryhmällä on ChangeConf-, WDac- ja WOwn-oikeudet. Tämä on hyväksyttävää, koska vain parhaiten luotettujen käyttäjien tulee olla Paikalliset järjestelmänvalvojat- tai Palvelinoperaattorit-ryhmässä.

LocalSystem (SY) -ryhmälle annetaan samat oikeudet kuin Tehokäyttäjät-ryhmälle, mutta sille annetaan myös Pysäytä- ja Tauko-oikeudet. Tämä vaikuttaa sopivalta. Seuraavat kaksi lyhyttä käyttöoikeusmerkintää antavat Paikallinen palvelu -tilille ja Verkkopalvelu-tilille oikeudet asettaa palvelulle tauko. Myös tämä vaikuttaa sopivalta, koska Paikallinen palvelu ja Verkkopalvelu ovat molemmat suuret käyttöoikeudet omistavia paikallisia tilejä.

Verkkomääritysoperaattorit (NO) -ryhmälle sen sijaan annetaan ChangeConf-oikeudet. Verkkomääritysoperaattorit-ryhmä lisättiin Windows XP:hen, jotta luotetut käyttäjät voivat muuttaa verkon asetuksia tarvitsematta täysiä järjestelmänvalvojan oikeuksia. Oletusarvon mukaan Verkkomääritysoperaattorit-ryhmä on tyhjä. Tätä ryhmää käytetään toisinaan antamaan verkkomääritysoikeudet tietyille käyttäjille. Tämä oikeus saatetaan antaa esimerkiksi kannettavan tietokoneen omistajalle. Verkkomääritysoperaattorit-ryhmän käyttäjillä on yleensä tietokoneen fyysinen hallinta. Tämän ryhmän käyttötarkoituksena ei kuitenkaan ole antaa näille käyttäjille täysiä järjestelmänvalvojan oikeuksia. Tämän vuoksi tämän palvelun DACL-luettelon ei pidä antaa Verkkomääritysoperaattorit-ryhmälle ChangeConf-oikeuksia.

Parhaat käytännöt

Rajoita palvelun harkinnanvaraiset käyttöoikeusluettelot vain niille käyttäjille, jotka tarvitsevat jonkin tietyn käyttöoikeustyypin. Ole erityisen varovainen seuraavien oikeuksien suhteen. Jos nämä oikeudet myönnetään käyttäjälle tai ryhmälle, jolla on pienet oikeudet, oikeuksia voidaan käyttää laajentamaan oikeudet tietokoneen LocalSystem-tasolle:
 • ChangeConf (DC)
 • WDac (WD)
 • WOwn (WO)
Lisätietoja käyttöoikeuksista on seuraavassa Microsoftin Web-sivustossa:
Ominaisuudet

Artikkelin tunnus: 914392 – Viimeisin tarkistus: 02/15/2007 06:38:00 – Versio: 1.4

Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Microsoft Windows XP Media Center Edition, Microsoft Windows XP Tablet PC Edition, Microsoft Windows XP Service Pack 1, Microsoft Windows XP Service Pack 1a, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

 • kbinfo KB914392
Palaute