Dodatek C
Listy domyślnych grup,
przywilejów i praw użytkownika
W tym dodatku przedstawiliśmy zestawienie standardowych
i
zaawansowanych praw użytkownika, które mogą zostać
przydzielone w
systemie Windows NT . Większość praw
przypisywana jest grupom użytkowników, jednak każdy
użytkownik może otrzymać dodatkowe prawa - albo w sposób
jawny albo też przez przypisanie do innej grupy użytkowników,
prawem tym dysponującej.
Standardowe prawa użytkownika
Standardowe prawa użytkownika umożliwiają wykonywanie prac
administracyjnych - takich jak tworzenie kopii archiwalnych,
odzyskiwanie danych na nich zapisanych, ustawianie czasu
systemowego serwera.
Pierwsza kolumna tabeli C.1 zawiera nazwy praw użytkownika.
Poniżej niektórych z nich, w nawiasach, zapisaliśmy wewnętrzne
nazwy danego prawa, pojawiające się w Przeglądarce zdarzeń (Event
Viewer).
Kolumna druga tabeli zawiera opis danego prawa, wraz
z ewentualnymi komentarzami. Zaznaczyliśmy tutaj także te
prawa, które nie zostały jeszcze zaimplementowane w systemie
Windows NT .
T rzecia kolumna obejmuje nazwy grup, którym dane prawo
przydzielane jest domyślnie - w
przypadku serwerów NT ,
pracujących jako serwery składowe (nie jako kontrolery domen)
oraz stacji roboczych NT .
W kolumnie czwartej zebraliśmy nazwy grup, którym dane prawo
przydzielane jest domyślnie - w
przypadku serwerów NT ,
pełniących rolę podstawowych kontrolerów domen - PDC (Primary
1232
Dodatek C
Domain Controller) lub jako rezerwowe kontrolery domen BDC
(Backup Domain Controller).
Tabela C.1. Standardowe prawa użytkownika
Prawo użytkownika systemu NT
Domyślne dla
Domyślne dla
Opis dla serwera i stacji roboczej NT
grup na serwerze
i stacji roboczej
NT
grup na
kontrolerze
domen
Dostęp do komputera poprzez sieć
Prawo to zezwala na rejestrację określonym
użytkownikom na danym komputerze poprzez sieć
komputerową. Należy zauważyć, że możliwości
dokonania rejestracji w systemie NT z konsoli
systemowej i poprzez sieć są kontrolowane przez
dwa niezależne od siebie prawa.
Administratorzy,
wszyscy
Administratorzy,
wszyscy,
użytkownicy
o specjalnych
uprawnieniach
Tworzenie kopii archiwalnych plików i kartotek
(SeBackup Privilege)
Posiadacz tego prawa ma możliwość ominięcia
praw dostępu systemu NTFS, na poziomie plików
i
kartotek, dla utworzenia kopii archiwalnych
dowolnych plików. Należy zauważyć, że narzędzia -
takie jak SCOPY - także z tej sposobności korzy-
stają i mogą być zastosowane do ominięcia systemu
bezpieczeństwa. Prawo to należy przydzielać
z rozwagą.
Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne
Administratorzy,
operatorzy
wykonujący
kopie archiwalne
Zmiana czasu systemowego (SeSystemTime
Privilege
)
Określeni użytkownicy mają prawo dokonywania
zmiany ustawienia zegara systemowego komputera.
Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne
Administratorzy,
operatorzy
wykonujący
kopie archiwalne
Wymuszenie zamknięcia systemu z poziomu
systemu zdalnego
(
SeRemote
Shutdown
Privilege
)
Listy domyślnych grup, przywilejów i praw użytkownika
1233
Prawo użytkownika systemu NT
Domyślne dla
Domyślne dla
Opis dla serwera i stacji roboczej NT
grup na serwerze
i stacji roboczej
NT
grup na
kontrolerze
domen
Celem tego prawa jest zezwolenie określonym
użytkownikom na zdalne zainicjowanie procesu
zamknięcia systemu. Prawo to nie zostało zaimple-
mentowane w obecnej wersji Windows NT, a jego
nadanie nie przynosi żadnych rezultatów.
Administratorzy,
operatorzy
serwerów
Administratorzy,
użytkownicy
o specjalnych
uprawnieniach
Rejestracja lokalna
Prawo to zezwala użytkownikowi na rejestrację
w
systemie NT z
wykorzystaniem klawiatury
konsoli systemowej i uzyskanie dostępu do pulpitu
interaktywnego. Należy zauważyć, że możliwości
dokonania rejestracji w systemie NT z konsoli
systemowej i poprzez sieć są kontrolowane przez
dwa niezależne od siebie prawa.
Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne,
operatorzy
obsługujący
konta, operatorzy
zarządzający
wydrukiem
Administratorzy,
operatorzy
wykonujący
kopie archiwalne,
użytkownicy
o specjalnych
uprawnieniach,
użytkownicy,
goście
Zarządzanie nadzorem i protokołem
bezpieczeństwa
(SeSecurity Privilege)
Prawo to zezwala użytkownikowi na przeglądanie
i
czyszczenie dzienników bezpieczeństwa, jak
również na określanie obiektów, do których dostęp
jest śledzony przez system. Nie umożliwia ono
użytkownikowi uruchamiania (i wstrzymywania)
ogólnosystemowej strategii śledzenia.
Administratorzy
Administratorzy
Odtwarzanie plików i kartotek
(SeRestore Privilege)
1234
Dodatek C
Prawo użytkownika systemu NT
Domyślne dla
Domyślne dla
Opis dla serwera i stacji roboczej NT
grup na serwerze
i stacji roboczej
NT
grup na
kontrolerze
domen
Posiadacz tego prawa ma możliwość obejścia praw
dostępu systemu NTFS na poziomie plików
i kartotek - w celu odtworzenia dowolnego pliku
w systemie. Zezwala ono również na odtworzenie
atrybutów bezpieczeństwa w
systemie NTFS,
włączając w to informacje o posiadaczach plików.
Należy zauważyć, że narzędzia - takie jak SCOPY -
także z tej sposobności korzystają i mogą być
zastosowane do ominięcia systemu bezpieczeństwa.
Prawo to należy przydzielać z rozwagą.
Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne
Administratorzy,
operatorzy
wykonujący
kopie archiwalne
Zamknięcie systemu (SeShutdown Privilege)
Prawo to zezwala użytkownikowi zarejestrowanemu
z
poziomu konsoli systemowej na rozpoczęcie
procesu zamykania systemu.
Administratorzy,
operatorzy
serwerów,
operatorzy
wykonujący kopie
archiwalne,
operatorzy
obsługujący
konta, operatorzy
zarządzający
wydrukiem
Administratorzy,
operatorzy
wykonujący
kopie archiwalne,
użytkownicy
o specjalnych
uprawnieniach,
użytkownicy,
goście
Przejęcie praw własności pliku lub innego
obiektu
(
SeTake Ownership
Privilege
)
Posiadanie tego prawa umożliwia użytkownikowi
przejęcie prawa własności obiektu w systemie NT,
włączając w to pliki, kartoteki, a także procesy - bez
względu na to, jakie są aktualne prawa użytkownika
do danego zasobu.
Administratorzy
Administratorzy
Zaawansowane prawa użytkownika
Zaawansowane prawa użytkownika nie wywołują takiego
zainteresowania administratorów, jak prawa standardowe. Ich
wartości domyślne zmieniane są rzadko. Ich modyfikacji nie
możemy jednak wykluczyć - zwłaszcza gdy w środowisku NT
Listy domyślnych grup, przywilejów i praw użytkownika
1235
piszemy i
uruchamiamy programy. Powinniśmy być zawsze
świadomi znaczenia poszczególnych praw i konsekwencji ich
zmiany, ponieważ większość z
nich umożliwia pominięcie
fragmentów systemu bezpieczeństwa NT .
W pierwszej kolumnie tabeli C.2 zapisaliśmy nazwy praw
użytkownika. Poniżej niektórych z nich, w nawiasach, podano
wewnętrzne nazwy praw, pojawiające się w Przeglądarce zdarzeń
(Event Viewer).
Kolumna druga tabeli zawiera opis danego prawa, wraz
z ewentualnymi komentarzami. Oznaczyliśmy też tutaj te prawa,
które nie zostały jeszcze zaimplementowane w systemie Windows
NT .
T rzecia kolumna obejmuje nazwy grup, którym dane prawo
przydzielane jest domyślnie - w
przypadku serwerów NT
pracujących jako serwery składowe (nie jako kontrolery domen)
oraz w przypadku stacji roboczych NT .
W kolumnie czwartej zebrano nazwy grup, którym - w przypadku
serwerów NT , pełniących rolę podstawowych kontrolerów domen
(PDC) lub rezerwowych kontrolerów domen (BDC) - dane prawo
przydzielane jest domyślnie
Tabela C.2. Zaawansowane prawa użytkownika
Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT
Domyślne dla
grup na serwerze
i stacji roboczej
NT
Domyślne dla
grup na
kontrolerze
domen
Pełnienie roli części systemu operacyjnego
Prawo to pozwala użytkownikowi na obejście
pewnych ograniczeń systemowych i pełnienie roli
zaufanego obiektu (Konto SYSTEM ma takie prawo,
a także niektóre podsystemy). Pewne wywołania
interfejsu Win32API, takie jak Logon User()
i CreateProcessAsUser(), wymagają
nadania im tego prawa.
Nikt
Nikt
Dodanie stacji roboczej do domeny
Prawo to pozwala użytkownikowi na stworzenie
konta komputerowego typu stacja robocza NT lub
serwer NT w domenie NT. Jest ono na stałe
Nikt
Nie dotyczy
1236
Dodatek C
Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT
Domyślne dla
grup na serwerze
i stacji roboczej
NT
Domyślne dla
grup na
kontrolerze
domen
ustawione dla administratorów oraz dla operatorów
obsługujących konta. Należy zauważyć, że w doku-
mentacji Windows NT, w wersjach 3.5 i 3.51,
mylnie podano - jako posiadaczy tego prawa -
operatorów obsługujących serwery (zamiast
obsługujących konta). Wiele materiałów opracowy-
wanych na podstawie tej dokumentacji powiela
wspomniany błąd. Więcej na ten temat można
znaleźć w notatce Microsoftu TechNote Q129116.
Obejście kontroli przechodniości
(SeChangeNotify Privilege)
Pozwala użytkownikowi na dostęp do zasobów, dla
których ma ustawione prawa dostępu - nawet
wtedy, gdy użytkownik nie ma ustawionych praw
dostępu do wszystkich zasobów macierzystych.
Więcej na ten temat można znaleźć w rozdziale 25
niniejszej książki.
Wszyscy
Wszyscy
Tworzenie pliku wymiany (SeCreatePagefile
Privilege
)
Prawo to pozwala użytkownikowi stworzyć plik
wymiany. W obecnej wersji systemu Windows NT
nie przynosi ono żadnego efektu.
Administratorzy
Administratorzy
Tworzenie obiektu typu znacznik
(SeCreateToken Privilege)
Prawo umożliwia jego posiadaczowi tworzenie
znaczników ochrony dostępu, co w normalnych
sytuacjach leży w gestii lokalnego nadzoru ochrony
(Local Security Authority) - w chwili rejestracji
w NT każdego użytkownika. Kontrola jego
wykorzystania jest niemożliwa. Pewne wywołania
interfejsu Win32API, takie jak LogonUser()
i CreateProcessAsUser(), wymagają nada-
nia im tego prawa.
Nikt
Nikt
Tworzenie stałego obiektu współdzielonego
(SeCreate PermanetPrivilege)
Posiadanie tego prawa pozwala użytkownikowi na
tworzenie stałego obiektu współdzielonego. Uwaga:
Nikt
Nikt
Listy domyślnych grup, przywilejów i praw użytkownika
1237
Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT
Domyślne dla
grup na serwerze
i stacji roboczej
NT
Domyślne dla
grup na
kontrolerze
domen
nie należygo mylić z
możliwością tworzenia
udziałów sieciowych!
Usuwanie błędów z programów
(SeDebugPrivilege)
Prawo to pozwala użytkownikowi na uzyskanie
pełnego dostępu do dowolnego procesu na
poziomie systemu, włączając w to możliwość prze-
glądania przestrzeni pamięci operacyjnej procesu,
jego zatrzymania, rozmnożenia w postaci dodatko-
wych procesów i wątków poprzez systemowy kon-
tekst bezpieczeństwa. Prawo to zostało stworzone
z myślą o
usuwaniu błędów w
uruchamianych
programach i powinno być przydzielane z rozwagą.
Jego wykorzystanie nie może być kontrolowane.
Administratorzy
Administratorzy
Generowanie kontroli bezpieczeństwa
(SeAuditPrivilege)
Nadanie tego prawa użytkownikowi umożliwia mu
uruchamianie procesów, które dokonują zapisu
w systemowych
dziennikach
bezpieczeństwa.
Dzienniki te mogą być przeglądane w przeglądarce
Event Viewer. Nie można kontrolować jego
wykorzystania..
Nikt
Nikt
Zwiększanie nałożonych ograniczeń
(SeIncreaseQuota Privilege)
Prawo to pozwala zwiększać ograniczenia nakładane
na obiekty (nie zostało zaimplementowane
w bieżącej wersji systemu NT).
Administratorzy
(począwszy od
systemu NT
w wersji 3.51)
Administratorzy
(począwszy od
systemu NT
w wersji 3.51)
Zwiększenie priorytetów szeregowania
(SeIncreaseBase PriorityPrivilege)
Posiadając to prawo można zmieniać priorytet
aplikacji Win32. Uwaga: nadmierne zwiększenie
priorytetu procesu może doprowadzić do wstrzyma-
nia realizacji innych procesów (włączając w to
system).
Administratorzy
Administratorzy
Załadowanie i rozładowanie sterownika
1238
Dodatek C
Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT
Domyślne dla
grup na serwerze
i stacji roboczej
NT
Domyślne dla
grup na
kontrolerze
domen
urządzenia (SeLoadDriver Privilege)
Prawo to pozwala użytkownikowi na zainstalowanie
i usunięcie sterowników urządzeń NT.
Administratorzy
Administratorzy
Blokowanie stron pamięci
(SeLockMemory Privilege)
Pozwala to procesom danego użytkownika na
zablokowanie stron pamięci, uniemożliwiając ich
usunięcie z
pamięci. Należy zauważyć,
że
blokowanie stron pamięci istotnie redukuje obszar
pamięci fizycznej, dostępny dla pozostałych
procesów w systemie. Zazwyczaj jedynie procesy
systemowe powinny mieć możliwość blokowania
stron pamięci.
Nikt
Nikt
Rejestracja w trybie przetwarzania wsadowego
(SeBatchSid)
Prawo to umożliwia użytkownikowi dokonanie
rejestracji w systemie z wykorzystaniem kolejek
wsadowych, (nie zostało zaimplementowane
w obecnej wersji Windows NT). Nadanie tego
prawa nie przynosi żadnych rezultatów.
Nikt
Nikt
Rejestracja jako usługa (SeServiceSid)
Prawo to umożliwia użytkownikowi rejestrację
w systemie w jako usługa. Domyślnie większość
usług w systemie NT działa w kontekście związa-
nych z kontem użytkownika SYSTEM. Jeśli chcemy
uruchomić usługę (np. program szeregujący)
w kontekście innego użytkownika, powinniśmy
nadać omawiane prawo właściwemu użytkowni-
kowi.
Nikt
Nikt
Modyfikacja zmiennych środowiskowych
oprogramowania sprzętowego
(
SeSystem
Environmet Privilege
)
Prawo to pozwala użytkownikowi na dokonanie
zmian ustawień środowiskowych zapisanych
w pamięci o dostępie bezpośrednim (NVRAM).
Oczywiście odnosi się to wyłącznie do systemów
wyposażonych w taką pamięć. Należy zauważyć, że
Administratorzy
Administratorzy
Listy domyślnych grup, przywilejów i praw użytkownika
1239
Prawo użytkownika systemu NT
Opis dla serwera i stacji roboczej NT
Domyślne dla
grup na serwerze
i stacji roboczej
NT
Domyślne dla
grup na
kontrolerze
domen
omawiane prawo nie ma nic wspólnego z systemo-
wymi zmiennymi środowiskowymi, czy też
zmiennymi użytkownika (które można ustawić
w Panelu sterowania).
Charakterystyka pojedynczego procesu
(SeProfileSingle ProcessPrivilege)
Prawo to umożliwia użytkownikowi - w
celu
monitorowania charakterystyki pojedynczego
procesu - stosowanie narzędzi przeznaczonych do
monitorowania wydajności systemu NT. Nie zosta-
ło zaimplementowane w obecnej wersji Windows
NT. Jego nadanie nie przynosi żadnych rezultatów.
Administratorzy
Administratorzy
użytkownicy
o specjalnych
uprawnieniach
Charakterystyka wydajności systemu
(SeSystemProfile Privilege)
Prawo to umożliwia użytkownikowi wykorzystanie
narzędzi przeznaczonych do monitorowania wydaj-
ności systemu NT .
Administratorzy
Administratorzy
Wymiana znaczników na poziomie procesów
(
SeAssignPrimary TokenPrivilege
)
Prawo to pozwala użytkownikowi na modyfikowa-
nie znaczników dostępu procesów. Pewne wywoła-
nia interfejsu Win32API, takie jak LogonUser()
i CreateProcessAsUser(), takiego prawa
wymagają.
Nikt
Nikt