Najważniejsze wskazówki dla autorów arbitralnych list kontroli dostępu dla usług

Streszczenie

Arbitralne listy kontroli dostępu (DACL) dla usług są ważnymi składnikami zabezpieczeń stacji roboczych i serwerów. W tym artykule bazy wiedzy Microsoft Knowledge Base opisano sposób interpretowania list DACL dla usług. Zamieszczono w nim również najważniejsze wskazówki dla autorów list DACL dla usług, opracowujących i oceniających zabezpieczenia swoich programów.

WPROWADZENIE

Ten artykuł bazy wiedzy Microsoft Knowledge Base może ułatwić ocenę zabezpieczeń arbitralnych list kontroli dostępu (DACL) dla usług.

Więcej informacji

Aby wyświetlić listy DACL dla usługi, należy użyć polecenia sc z argumentem sdshow w sposób przedstawiony w następującym przykładzie, gdzie nazwa_usługi jest nazwą usługi, której listy DACL powinny zostać wyświetlone:
sc sdshow nazwa_usługi
Polecenie generuje wyniki podobne do następujących:
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;PU)(A;;CCDCLCSWLOCRRC;;;LS)
Te przykładowe dane wyjściowe polecenia sc opisują zabezpieczenia usługi zgodnie ze składnią języka SDDL (Security Descriptor Definition Language). Aby uzyskać informacje dotyczące składni języka SDDL, odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby zidentyfikować luki w zabezpieczeniach listy DACL dla usługi, należy rozważyć kilka elementów. Następujące tabele opisują sposób odczytywania wyników polecenia sc, interpretowania poszczególnych ciągów uprawnień i ustalania, komu udzielono danego uprawnienia.

Należy niezależnie oszacować poszczególne ciągi znaków w nawiasach przy użyciu następującego klucza:
(Zezwalaj/Odmawiaj;;Ciąg uprawnień;;;Identyfikator SID albo akronim wbudowanego konta lub grupy)
Każda para liter w ciągu uprawnień odpowiada określonemu prawu lub uprawnieniu:
Para Prawo lub uprawnienie
CCQueryConf
DCChangeConf
LCQueryStat
SWEnumDeps
RP Start
WPStop
DTPause
LOInterrogate
CRUserDefined
GAGenericAll
GXGenericExecute
GWGenericWrite
GRGenericRead
SDDel
RCRCtl
WDWDac
WOWOwn

Należy zachować szczególną ostrożność w przypadku uprawnienia ChangeConf (DC). Uprawnienia ChangeConf należy poszukiwać, jeżeli konieczne jest ustalenie, czy usługa jest zabezpieczona przed atakiem opartym na nielegalnym podniesieniu poziomu uprawnień. Korzystając z tego uprawnienia, upoważniona osoba może zmienić konfigurację usługi w celu uwzględnienia pliku binarnego uruchamianego podczas uruchamiania usługi. Należy również zachować szczególną ostrożność w przypadku uprawnień WDac (WD) i WOwn (WO), ponieważ mogą one być wykorzystane do podniesienia poziomu uprawnień do konta LocalSystem. Należy upewnić się, że te prawa nie są udzielane użytkownikowi z ograniczonymi uprawnieniami. Ta tabela zawiera listę kodów używanych do identyfikacji typu użytkownika, któremu udzielono dostępu zgodnie ze składnią języka SDDL.
KodTyp użytkownika
DAAdministratorzy domeny
DGGoście domeny
DUUżytkownicy domeny
EDKontrolery domeny przedsiębiorstwa
DDKontrolery domeny
DCKomputery domeny
BAWbudowani (lokalni) administratorzy
BGWbudowani (lokalni) goście
BUWbudowani (lokalni) użytkownicy
LALokalne konto administratora
LGLokalne konto gościa
AOOperatorzy kont
BOOperatorzy kopii zapasowych
POOperatorzy drukowania
SOOperatorzy serwera
AUUżytkownicy uwierzytelnieni
PSOsobiste
COTwórca-właściciel
CGGrupa twórców
SYSystem lokalny
PUUżytkownicy zaawansowani
WDWszyscy
REReplikator
IUUżytkownik zalogowany interakcyjnie
NUUżytkownik zalogowany do sieci
SUUżytkownik zalogowany do usługi
RCKod zastrzeżony
WRZapis kodu zastrzeżonego
ANLogowanie anonimowe
SAAdministratorzy schematów
CAAdministratorzy usług certyfikatów
RSGrupa serwerów dostępu zdalnego
EAAdministratorzy przedsiębiorstwa
PAAdministratorzy zasad grupy
RUAlias akceptacji systemu Windows 2000
LSKonto Usługa lokalna (dla usług)
NSKonto Usługa sieciowa (dla usług)
RDUżytkownicy pulpitu zdalnego (dla usług terminalowych)
NOOperatorzy konfiguracji sieci
MUUżytkownicy monitora wydajności
LUUżytkownicy dzienników wydajności
ISAnonimowi użytkownicy Internetu
CYOperatorzy kryptografii
OWIdentyfikator SID właściciela praw
RMUsługa RMS

Jak interpretować ciąg DACL w formacie SDDL

Te informacje opisują sposób interpretowania przykładowego ciągu DACL zamieszczonego na początku tego artykułu. W tym przypadku interpretowane są indywidualne wpisy kontroli dostępu (ACE).
 • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

  Ten wpis kontroli dostępu (ACE) udziela kontu LocalSystem (SY) następujących praw:
  • QueryConf
  • ChangeConf
  • QueryStat
  • EnumDeps
  • Start
  • Stop
  • Pause
  • Interrogate
  • UserDefined
  • Delete
  • RCtl
  • WDac
  • WOwn
  Ten wpis kontroli dostępu (ACE) jest ograniczony do konta LocalSystem. Jest to korzystne dla zabezpieczeń, ponieważ konto LocalSystem jest już najbardziej zaawansowanym kontekstem zabezpieczeń na danej stacji roboczej. Nie istnieje więc ryzyko podniesienia poziomu uprawnień.
 • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)

  Ten wpis kontroli dostępu (ACE) dotyczy wbudowanych administratorów lokalnych (BA). Ten wpis kontroli dostępu (ACE) udziela tych samych praw, jakie są udzielane w poprzednim wpisie kontroli dostępu, wszystkim administratorom lokalnym. Jest to również bardzo zaawansowany kontekst zabezpieczeń na danej stacji roboczej. Dlatego też w tym przypadku również nie istnieje ryzyko podniesienia poziomu uprawnień.
 • (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AU)

  Ten wpis kontroli dostępu (ACE) udziela wszystkich powyższych praw dowolnemu użytkownikowi uwierzytelnionemu (AU).
W przypadku powyższego wpisu kontroli dostępu (ACE) członek grupy z ograniczonymi uprawnieniami, taki jak dowolny użytkownik uwierzytelniony, może zmienić konfigurację usługi. Konfiguracja uwzględnia plik binarny uruchamiany podczas uruchamiania usługi i konto używane do uruchomienia usługi.

W następującym przykładzie lista DACL nie udziela praw ChangeConf użytkownikom uwierzytelnionym:
(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;DT;;;LS)(A;;DT;;;NS)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;NO)

W przypadku tej listy DACL użytkownikom uwierzytelnionym (AU) są udzielane tylko następujące prawa:
 • QueryConf
 • QueryStat
 • EnumDeps
 • Interrogate
 • UserDefined
 • RCtl
Nie istnieje potencjalne ryzyko podniesienia poziomu uprawnień za pośrednictwem grupy Użytkownicy uwierzytelnieni, której udzielono tych praw. Grupa Użytkownicy zaawansowani (PU) może już podnosić poziom uprawnień do konta LocalSystem, dlatego nie powinna być uważana za źródło zagrożenia. W tym przykładzie grupa Użytkownicy zaawansowani ma wszystkie prawa, które uzyskała grupa Użytkownicy uwierzytelnieni, jednak grupa Użytkownicy zaawansowani może również uruchamiać usługę (RP). Następny składnik jest związany z grupą Administratorzy lokalni (BA). Zarówno ta grupa, jak i następna grupa, Operatorzy serwera (SO), uzyskały uprawnienia ChangeConf, WDac i WOwn. Można zaakceptować ten stan, ponieważ tylko najbardziej zaufani użytkownicy powinni być członkami grupy Administratorzy lokalni lub Operatorzy serwera.

Grupie LocalSystem (SY) udzielane są nie tylko te same uprawnienia, które są udzielane grupie Użytkownicy zaawansowani, ale również uprawnienia Stop i Pause. Takie rozwiązanie można uznać za właściwe. Dwa następne krótkie wpisy kontroli dostępu (ACE) udzielają kontom Usługa lokalna i Usługa sieciowa uprawnień do wstrzymywania usługi. To również można uznać za właściwe, ponieważ Usługa lokalna i Usługa sieciowa są zaawansowanymi kontami lokalnymi.

Grupie Operatorzy konfiguracji sieci (NO) udzielane jest jednak uprawnienie ChangeConf. Grupę Operatorzy konfiguracji sieci dodano w systemie Windows XP, aby umożliwić zaufanym użytkownikom zmianę ustawień sieciowych bez udzielania jej pełnych uprawnień administratora. Domyślnie grupa Operatorzy konfiguracji sieci jest pusta. Ta grupa jest czasami używana do udzielania uprawnień konfiguracji sieci określonym użytkownikom. Na przykład to uprawnienie może zostać udzielone właścicielowi komputera przenośnego. Użytkownicy należący do grupy Operatorzy konfiguracji sieci często fizycznie kontrolują dany komputer. Ta grupa nie została jednak utworzona w celu udzielenia tym użytkownikom pełnych uprawnień administratora. Ta lista DACL dla usługi nie powinna więc udzielać uprawnienia ChangeConf grupie Operatorzy konfiguracji sieci.

Najważniejsze wskazówki

Należy ograniczyć listy DACL dla usług do użytkowników, którzy wymagają określonego typu dostępu. Należy zachować szczególną ostrożność w przypadku następujących praw. Jeżeli te prawa zostaną udzielone użytkownikowi lub grupie z ograniczonymi prawami, mogą zostać wykorzystane do podniesienia poziomu uprawnień do konta LocalSystem na danym komputerze:
 • ChangeConf (DC)
 • WDac (WD)
 • WOwn (WO)
Aby uzyskać więcej informacji dotyczących praw dostępu i uprawnień, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 914392 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia