Windows Vista. Для профессионалов - Роман Клименко

Привилегия предоставлена группе Администраторы.

• SeRemoteShutdownPrivilege (принудительное удаленное завершение работы) – необходима, чтобы процесс winlogon.exe разрешил удаленно завершить работу компьютера.

Привилегия предоставлена группе Администраторы.

• SeRestorePriviLege (восстановление файлов и каталогов) – разрешает службе или учетной записи выполнять операции восстановления. Данная привилегия позволяет учетной записи или службе открывать файлы и каталоги независимо от того, разрешена для них эта операция с помощью DACL или нет. При этом она позволяет обходить проверку таких разрешений, как Обзор папок/Выполнение файлов и Запись. Однако DACL обходится только в том случае, если установлен флаг FILE_FLAG_BACKUP_SEMANTIC.

Привилегия предоставлена группам Администраторы и Операторы архива.

• SeSecurityPriviLege (управление аудитом и журналом безопасности) – необходима для доступа к SACL дескриптора защиты, а также для чтения и очистки журнала событий безопасности. Она идентифицирует своего владельца в качестве оператора системы безопасности.

Привилегия предоставлена группе Администраторы.

• SeShutdownPrivilege (завершение работы системы) – разрешает службе или учетной записи завершать работу операционной системы.

Привилегия предоставлена группам Администраторы, Операторы архива, Пользователи.

• SeSystemEnvironmentPrivilege (изменение параметров среды изготовителя) – необходима для чтения переменных окружения микрокода из энергонезависимой памяти компьютеров с помощью HAL. Эта привилегия применима только к компьютерам с архитектурой, отличной от х86 – единственное, к чему можно получить доступ с помощью этой привилегии на компьютерах х86, так это к сведениям о последней удачной конфигурации. Также эта привилегия требуется для установки и модернизации операционной системы.

Привилегия предоставлена группе Администраторы.

• SeSystemProfilePrivilege (профилирование производительности системы) – проверяется API-функцией NtCreateProfile. Данная привилегия необходима для использования средства мониторинга производительности системных процессов.

Привилегия предоставлена группе Администраторы.

• SeSystemtimePriviLege (изменение системного времени) – разрешает изменять на компьютере время и дату.

Привилегия предоставлена группе Администраторы, учетной записи локальной службы.

• SeTakeOwnershipPriviLege (смена владельцев файлов и других объектов) – позволяет службе или учетной записи получать права владельца на любой объект файловой системы (объекты Active Directory, файлы и папки, принтеры, разделы реестра , процессы и потоки), но не предоставляет полного доступа к объекту.

Привилегия предоставлена группе Администраторы.

• SeTimeZonePriviLege (изменение часового пояса) – разрешает пользователю изменять временную зону, установленную в операционной системе.

Привилегия предоставлена группе Администраторы, учетной записи локальной службы.

• SeTcbPriviLege (работа в составе операционной системы) – повышает общие права службы или учетной записи до уровня операционной системы (идентифицирует владельца привилегии как часть доверенного блока компьютеров). Например, это позволяет создавать новый сеанс от имени любого локального пользователя, относящегося к любой группе (позволяет олицетворять любого пользователя локального компьютера без аутентификации и получать доступ к тем ресурсам, к которым может получить доступ другой пользователь).

Привилегия предоставлена: никому.

• SeUndockPriviLege (отключение компьютера от стыковочного узла) – необходима, чтобы режим Plug and Play разрешил извлечение компьютера из стыковочного устройства.

Привилегия предоставлена группам Администраторы, Пользователи.

Если же вам необходимо узнать, какие привилегии предоставлены текущему пользователю, то можно воспользоваться новой программой командной строки операционной системы Windows Vista Whoami.ехе. Для этого применяется следующий синтаксис программы: Whoami /priv.

Права учетной записи

Подраздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Назначение прав пользователя оснастки Редактор объектов групповой политики содержит также набор прав, которые могут предоставляться пользователю.

Список большинства этих прав приведен ниже.

• SeAssign Primary Token Privilege (замена маркера уровня процесса) – позволяет процессам использовать API-функцию CreateProcessAsUser для запуска других процессов, не используя свой маркер доступа. Например, эта привилегия может использоваться одной службой для запуска другой. В частности, она используется планировщиком заданий.

Право предоставлено учетным записям сетевой и локальной службы.

• SeAuditPriviLege (управлять аудитом и журналом безопасности) – разрешает службе или учетной записи создание записей в стандартном журнале безопасности системы (eventvwr.msc) с помощью API-функции ReportEvent.

Право предоставлено учетным записям сетевой и локальной службы.

• SeCreatePermanentPriviLege (создание постоянных общих объектов) – позволяет службе или учетной записи создавать постоянные объекты (объекты, не удаляемые при отсутствии ссылок на них). Например, создавать объекты каталога с помощью диспетчера объектов.

Право предоставлено: никому.

• SeCreateTokenPriviLege (создание маркерного объекта) – разрешает службе или учетной записи создавать первичные маркеры. Иначе говоря, учетная запись может создать маркер, содержащий любые SID и привилегии, и запустить с его помощью процесс.

Право предоставлено: никому.

• SeEnableDelegationPrivilege (разрешить доверия к учетным записям компьютеров и пользователей при делегировании) – используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр Делегирование разрешено для пользовательского или компьютерного объекта. Этот параметр можно устанавливать только для тех учетных записей пользователей или компьютеров, для которых снят флажок Учетная запись не может быть делегирована.

Право предоставлено: никому.

• SeLockMemoryPrivilege (блокировка страниц в памяти) – разрешает службе или учетной записи выполнять блокировку физических страниц памяти. Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки, то есть они всегда будут находиться в оперативной памяти.

Право предоставлено: никому.

• SeMachineAccountPrivilege (добавление рабочих станций к домену) – необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до десяти компьютеров в домен.

Право предоставлено пользователям, прошедшим проверку.

• SeSyncAgentPrivilege (синхронизировать данные службы каталогов) – позволяет пользователям выполнять синхронизацию Active Directory. Данное право позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают.

Право предоставлено: никому.

Редактирование DACL объекта

По умолчанию, если вы еще не отключили механизм UAC, большинство ветвей реестра подраздела HKEY_LOCAL_MACHINE и системных файлов доступны администраторам только для чтения. Полный же доступ на них имеет пользователь TrustedlnstaLLer, который также является и их владельцем. Поэтому администраторы не смогут изменить права доступа на ветвь реестра или файл, пока не сменят владельца на него.

Операция смены владельца проходит так же, как и в Windows ХР. Например, для смены владельца файла нужно отобразить окно Свойства данного файла, перейти на вкладку Безопасность и нажать кнопку Изменить. После этого отобразится копия окна Безопасность, в которой нужно нажать кнопку Дополнительно, чтобы отобразилось еще одно окно, имеющее вкладку Владелец. Чтобы сменить владельца файла, нужно перейти на данную вкладку и в поле Изменить владельца на: выбрать нового владельца. После нажатия кнопки ОК владелец файла будет изменен, и вы сможете изменить разрешения на доступ к файлу. Похожим образом выполняется изменение владельца ветви реестра.

Программа для работы с DACL icacls.exe

Вы, наверное, знаете, что в предыдущих версиях операционной системы Windows присутствовала программа командной строки cacls.ехе, с помощью которой можно изменять DACL определенного файла. Данная программа присутствует и в Windows Vista, однако, кроме нее, в новой операционной системе есть еще одна программа для работы с DACL – icacls.ехе. Основные возможности данной программы лучше всего рассмотреть на примерах ее использования. Полное же описание ее возможностей можно увидеть, введя в командной строке команду icacls /?.

Архивирование и восстановление DACL файла или нескольких файлов и каталогов

Интересной возможностью данной программы является возможность архивирования DACL файлов или каталогов с целью их дальнейшего восстановления на локальном или удаленном компьютере.

Для архивирования DACL файла достаточно воспользоваться командой icacls.ехе <путь к файлу и его имя> /save <путь к архиву и его имя>. Например: