Dodatek C

Listy domyślnych grup,
przywilejów i praw użytkownika

W tym dodatku przedstawiliśmy zestawienie standardowych
i

zaawansowanych praw użytkownika, które mogą zostać

przydzielone w

systemie Windows NT . Większość praw

przypisywana jest grupom użytkowników, jednak każdy
użytkownik może otrzymać dodatkowe prawa - albo w sposób
jawny albo też przez przypisanie do innej grupy użytkowników,
prawem tym dysponującej.

Standardowe prawa użytkownika

Standardowe prawa użytkownika umożliwiają wykonywanie prac
administracyjnych - takich jak tworzenie kopii archiwalnych,
odzyskiwanie danych na nich zapisanych, ustawianie czasu
systemowego serwera.

Pierwsza kolumna tabeli C.1 zawiera nazwy praw użytkownika.
Poniżej niektórych z nich, w nawiasach, zapisaliśmy wewnętrzne
nazwy danego prawa, pojawiające się w Przeglądarce zdarzeń (Event
Viewer).

Kolumna druga tabeli zawiera opis danego prawa, wraz
z ewentualnymi komentarzami. Zaznaczyliśmy tutaj także te
prawa, które nie zostały jeszcze zaimplementowane w systemie
Windows NT .

T rzecia kolumna obejmuje nazwy grup, którym dane prawo
przydzielane jest domyślnie - w

przypadku serwerów NT ,

pracujących jako serwery składowe (nie jako kontrolery domen)
oraz stacji roboczych NT .

W kolumnie czwartej zebraliśmy nazwy grup, którym dane prawo
przydzielane jest domyślnie - w

przypadku serwerów NT ,

pełniących rolę podstawowych kontrolerów domen - PDC (Primary

1232

Dodatek C

Domain Controller) lub jako rezerwowe kontrolery domen BDC
(Backup Domain Controller).

Tabela C.1. Standardowe prawa użytkownika

Prawo użytkownika systemu NT

Domyślne dla

Domyślne dla

Opis dla serwera i stacji roboczej NT

grup na serwerze
i stacji roboczej
NT

grup na
kontrolerze
domen

Dostęp do komputera poprzez sieć

Prawo to zezwala na rejestrację określonym
użytkownikom na danym komputerze poprzez sieć
komputerową. Należy zauważyć, że możliwości
dokonania rejestracji w systemie NT z konsoli
systemowej i poprzez sieć są kontrolowane przez
dwa niezależne od siebie prawa.

Administratorzy,
wszyscy

Administratorzy,
wszyscy,
użytkownicy
o specjalnych
uprawnieniach

Tworzenie kopii archiwalnych plików i kartotek
(SeBackup Privilege)

Posiadacz tego prawa ma możliwość ominięcia
praw dostępu systemu NTFS, na poziomie plików
i

kartotek, dla utworzenia kopii archiwalnych

dowolnych plików. Należy zauważyć, że narzędzia -
takie jak SCOPY - także z tej sposobności korzy-
stają i mogą być zastosowane do ominięcia systemu
bezpieczeństwa. Prawo to należy przydzielać
z rozwagą.

Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne

Administratorzy,
operatorzy
wykonujący
kopie archiwalne

Zmiana czasu systemowego (SeSystemTime
Privilege

)

Określeni użytkownicy mają prawo dokonywania
zmiany ustawienia zegara systemowego komputera.

Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne

Administratorzy,
operatorzy
wykonujący
kopie archiwalne

Wymuszenie zamknięcia systemu z poziomu
systemu zdalnego
(

SeRemote

Shutdown

Privilege

)

Listy domyślnych grup, przywilejów i praw użytkownika

1233

Prawo użytkownika systemu NT

Domyślne dla

Domyślne dla

Opis dla serwera i stacji roboczej NT

grup na serwerze
i stacji roboczej
NT

grup na
kontrolerze
domen

Celem tego prawa jest zezwolenie określonym
użytkownikom na zdalne zainicjowanie procesu
zamknięcia systemu. Prawo to nie zostało zaimple-
mentowane w obecnej wersji Windows NT, a jego
nadanie nie przynosi żadnych rezultatów.

Administratorzy,
operatorzy
serwerów

Administratorzy,
użytkownicy
o specjalnych
uprawnieniach

Rejestracja lokalna

Prawo to zezwala użytkownikowi na rejestrację
w

systemie NT z

wykorzystaniem klawiatury

konsoli systemowej i uzyskanie dostępu do pulpitu
interaktywnego. Należy zauważyć, że możliwości
dokonania rejestracji w systemie NT z konsoli
systemowej i poprzez sieć są kontrolowane przez
dwa niezależne od siebie prawa.

Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne,
operatorzy
obsługujący
konta, operatorzy
zarządzający
wydrukiem

Administratorzy,
operatorzy
wykonujący
kopie archiwalne,
użytkownicy
o specjalnych
uprawnieniach,
użytkownicy,
goście

Zarządzanie nadzorem i protokołem
bezpieczeństwa
(SeSecurity Privilege)

Prawo to zezwala użytkownikowi na przeglądanie
i

czyszczenie dzienników bezpieczeństwa, jak

również na określanie obiektów, do których dostęp
jest śledzony przez system. Nie umożliwia ono
użytkownikowi uruchamiania (i wstrzymywania)
ogólnosystemowej strategii śledzenia.

Administratorzy

Administratorzy

Odtwarzanie plików i kartotek
(SeRestore Privilege)

1234

Dodatek C

Prawo użytkownika systemu NT

Domyślne dla

Domyślne dla

Opis dla serwera i stacji roboczej NT

grup na serwerze
i stacji roboczej
NT

grup na
kontrolerze
domen

Posiadacz tego prawa ma możliwość obejścia praw
dostępu systemu NTFS na poziomie plików
i kartotek - w celu odtworzenia dowolnego pliku
w systemie. Zezwala ono również na odtworzenie
atrybutów bezpieczeństwa w

systemie NTFS,

włączając w to informacje o posiadaczach plików.
Należy zauważyć, że narzędzia - takie jak SCOPY -
także z tej sposobności korzystają i mogą być
zastosowane do ominięcia systemu bezpieczeństwa.
Prawo to należy przydzielać z rozwagą.

Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne

Administratorzy,
operatorzy
wykonujący
kopie archiwalne

Zamknięcie systemu (SeShutdown Privilege)

Prawo to zezwala użytkownikowi zarejestrowanemu
z

poziomu konsoli systemowej na rozpoczęcie

procesu zamykania systemu.

Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne,
operatorzy
obsługujący
konta, operatorzy
zarządzający
wydrukiem

Administratorzy,
operatorzy
wykonujący
kopie archiwalne,
użytkownicy
o specjalnych
uprawnieniach,
użytkownicy,
goście

Przejęcie praw własności pliku lub innego
obiektu
(

SeTake Ownership

Privilege

)

Posiadanie tego prawa umożliwia użytkownikowi
przejęcie prawa własności obiektu w systemie NT,
włączając w to pliki, kartoteki, a także procesy - bez
względu na to, jakie są aktualne prawa użytkownika
do danego zasobu.

Administratorzy

Administratorzy

Zaawansowane prawa użytkownika

Zaawansowane prawa użytkownika nie wywołują takiego
zainteresowania administratorów, jak prawa standardowe. Ich
wartości domyślne zmieniane są rzadko. Ich modyfikacji nie
możemy jednak wykluczyć - zwłaszcza gdy w środowisku NT

Listy domyślnych grup, przywilejów i praw użytkownika

1235

piszemy i

uruchamiamy programy. Powinniśmy być zawsze

świadomi znaczenia poszczególnych praw i konsekwencji ich
zmiany, ponieważ większość z

nich umożliwia pominięcie

fragmentów systemu bezpieczeństwa NT .

W pierwszej kolumnie tabeli C.2 zapisaliśmy nazwy praw
użytkownika. Poniżej niektórych z nich, w nawiasach, podano
wewnętrzne nazwy praw, pojawiające się w Przeglądarce zdarzeń
(Event Viewer).

Kolumna druga tabeli zawiera opis danego prawa, wraz
z ewentualnymi komentarzami. Oznaczyliśmy też tutaj te prawa,
które nie zostały jeszcze zaimplementowane w systemie Windows
NT .

T rzecia kolumna obejmuje nazwy grup, którym dane prawo
przydzielane jest domyślnie - w

przypadku serwerów NT

pracujących jako serwery składowe (nie jako kontrolery domen)
oraz w przypadku stacji roboczych NT .

W kolumnie czwartej zebrano nazwy grup, którym - w przypadku
serwerów NT , pełniących rolę podstawowych kontrolerów domen
(PDC) lub rezerwowych kontrolerów domen (BDC) - dane prawo
przydzielane jest domyślnie

Tabela C.2. Zaawansowane prawa użytkownika

Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT

Domyślne dla
grup na serwerze
i stacji roboczej
NT

Domyślne dla
grup na
kontrolerze
domen

Pełnienie roli części systemu operacyjnego

Prawo to pozwala użytkownikowi na obejście
pewnych ograniczeń systemowych i pełnienie roli
zaufanego obiektu (Konto SYSTEM ma takie prawo,
a także niektóre podsystemy). Pewne wywołania
interfejsu Win32API, takie jak Logon User()
i CreateProcessAsUser(), wymagają
nadania im tego prawa.

Nikt

Nikt

Dodanie stacji roboczej do domeny

Prawo to pozwala użytkownikowi na stworzenie
konta komputerowego typu stacja robocza NT lub
serwer NT w domenie NT. Jest ono na stałe

Nikt

Nie dotyczy

1236

Dodatek C

Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT

Domyślne dla
grup na serwerze
i stacji roboczej
NT

Domyślne dla
grup na
kontrolerze
domen

ustawione dla administratorów oraz dla operatorów
obsługujących konta. Należy zauważyć, że w doku-
mentacji Windows NT, w wersjach 3.5 i 3.51,
mylnie podano - jako posiadaczy tego prawa -
operatorów obsługujących serwery (zamiast
obsługujących konta). Wiele materiałów opracowy-
wanych na podstawie tej dokumentacji powiela
wspomniany błąd. Więcej na ten temat można
znaleźć w notatce Microsoftu TechNote Q129116.

Obejście kontroli przechodniości
(SeChangeNotify Privilege)

Pozwala użytkownikowi na dostęp do zasobów, dla
których ma ustawione prawa dostępu - nawet
wtedy, gdy użytkownik nie ma ustawionych praw
dostępu do wszystkich zasobów macierzystych.
Więcej na ten temat można znaleźć w rozdziale 25
niniejszej książki.

Wszyscy

Wszyscy

Tworzenie pliku wymiany (SeCreatePagefile
Privilege

)

Prawo to pozwala użytkownikowi stworzyć plik
wymiany. W obecnej wersji systemu Windows NT
nie przynosi ono żadnego efektu.

Administratorzy

Administratorzy

Tworzenie obiektu typu znacznik
(SeCreateToken Privilege)

Prawo umożliwia jego posiadaczowi tworzenie
znaczników ochrony dostępu, co w normalnych
sytuacjach leży w gestii lokalnego nadzoru ochrony
(Local Security Authority) - w chwili rejestracji
w NT każdego użytkownika. Kontrola jego
wykorzystania jest niemożliwa. Pewne wywołania
interfejsu Win32API, takie jak LogonUser()
i CreateProcessAsUser(), wymagają nada-
nia im tego prawa.

Nikt

Nikt

Tworzenie stałego obiektu współdzielonego
(SeCreate PermanetPrivilege)

Posiadanie tego prawa pozwala użytkownikowi na
tworzenie stałego obiektu współdzielonego. Uwaga:

Nikt

Nikt

Listy domyślnych grup, przywilejów i praw użytkownika

1237

Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT

Domyślne dla
grup na serwerze
i stacji roboczej
NT

Domyślne dla
grup na
kontrolerze
domen

nie należygo mylić z

możliwością tworzenia

udziałów sieciowych!

Usuwanie błędów z programów
(SeDebugPrivilege)

Prawo to pozwala użytkownikowi na uzyskanie
pełnego dostępu do dowolnego procesu na
poziomie systemu, włączając w to możliwość prze-
glądania przestrzeni pamięci operacyjnej procesu,
jego zatrzymania, rozmnożenia w postaci dodatko-
wych procesów i wątków poprzez systemowy kon-
tekst bezpieczeństwa. Prawo to zostało stworzone
z myślą o

usuwaniu błędów w

uruchamianych

programach i powinno być przydzielane z rozwagą.
Jego wykorzystanie nie może być kontrolowane.

Administratorzy

Administratorzy

Generowanie kontroli bezpieczeństwa
(SeAuditPrivilege)

Nadanie tego prawa użytkownikowi umożliwia mu
uruchamianie procesów, które dokonują zapisu
w systemowych

dziennikach

bezpieczeństwa.

Dzienniki te mogą być przeglądane w przeglądarce
Event Viewer. Nie można kontrolować jego
wykorzystania..

Nikt

Nikt

Zwiększanie nałożonych ograniczeń
(SeIncreaseQuota Privilege)

Prawo to pozwala zwiększać ograniczenia nakładane
na obiekty (nie zostało zaimplementowane
w bieżącej wersji systemu NT).

Administratorzy
(począwszy od
systemu NT
w wersji 3.51)

Administratorzy
(począwszy od
systemu NT
w wersji 3.51)

Zwiększenie priorytetów szeregowania

(SeIncreaseBase PriorityPrivilege)

Posiadając to prawo można zmieniać priorytet
aplikacji Win32. Uwaga: nadmierne zwiększenie
priorytetu procesu może doprowadzić do wstrzyma-
nia realizacji innych procesów (włączając w to
system).

Administratorzy

Administratorzy

Załadowanie i rozładowanie sterownika

1238

Dodatek C

Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT

Domyślne dla
grup na serwerze
i stacji roboczej
NT

Domyślne dla
grup na
kontrolerze
domen

urządzenia (SeLoadDriver Privilege)

Prawo to pozwala użytkownikowi na zainstalowanie
i usunięcie sterowników urządzeń NT.

Administratorzy

Administratorzy

Blokowanie stron pamięci
(SeLockMemory Privilege)

Pozwala to procesom danego użytkownika na
zablokowanie stron pamięci, uniemożliwiając ich
usunięcie z

pamięci. Należy zauważyć,

że

blokowanie stron pamięci istotnie redukuje obszar
pamięci fizycznej, dostępny dla pozostałych
procesów w systemie. Zazwyczaj jedynie procesy
systemowe powinny mieć możliwość blokowania
stron pamięci.

Nikt

Nikt

Rejestracja w trybie przetwarzania wsadowego
(SeBatchSid)

Prawo to umożliwia użytkownikowi dokonanie
rejestracji w systemie z wykorzystaniem kolejek
wsadowych, (nie zostało zaimplementowane
w obecnej wersji Windows NT). Nadanie tego
prawa nie przynosi żadnych rezultatów.

Nikt

Nikt

Rejestracja jako usługa (SeServiceSid)

Prawo to umożliwia użytkownikowi rejestrację
w systemie w jako usługa. Domyślnie większość
usług w systemie NT działa w kontekście związa-
nych z kontem użytkownika SYSTEM. Jeśli chcemy
uruchomić usługę (np. program szeregujący)
w kontekście innego użytkownika, powinniśmy
nadać omawiane prawo właściwemu użytkowni-
kowi.

Nikt

Nikt

Modyfikacja zmiennych środowiskowych
oprogramowania sprzętowego
(

SeSystem

Environmet Privilege

)

Prawo to pozwala użytkownikowi na dokonanie
zmian ustawień środowiskowych zapisanych
w pamięci o dostępie bezpośrednim (NVRAM).
Oczywiście odnosi się to wyłącznie do systemów
wyposażonych w taką pamięć. Należy zauważyć, że

Administratorzy

Administratorzy

Listy domyślnych grup, przywilejów i praw użytkownika

1239

Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT

Domyślne dla
grup na serwerze
i stacji roboczej
NT

Domyślne dla
grup na
kontrolerze
domen

omawiane prawo nie ma nic wspólnego z systemo-
wymi zmiennymi środowiskowymi, czy też
zmiennymi użytkownika (które można ustawić
w Panelu sterowania).

Charakterystyka pojedynczego procesu

(SeProfileSingle ProcessPrivilege)

Prawo to umożliwia użytkownikowi - w

celu

monitorowania charakterystyki pojedynczego
procesu - stosowanie narzędzi przeznaczonych do
monitorowania wydajności systemu NT. Nie zosta-
ło zaimplementowane w obecnej wersji Windows
NT. Jego nadanie nie przynosi żadnych rezultatów.

Administratorzy

Administratorzy
użytkownicy
o specjalnych
uprawnieniach

Charakterystyka wydajności systemu
(SeSystemProfile Privilege)

Prawo to umożliwia użytkownikowi wykorzystanie
narzędzi przeznaczonych do monitorowania wydaj-
ności systemu NT .

Administratorzy

Administratorzy

Wymiana znaczników na poziomie procesów
(

SeAssignPrimary TokenPrivilege

)

Prawo to pozwala użytkownikowi na modyfikowa-
nie znaczników dostępu procesów. Pewne wywoła-
nia interfejsu Win32API, takie jak LogonUser()
i CreateProcessAsUser(), takiego prawa
wymagają.

Nikt

Nikt