privilegii
Numărul de privilegii definite în sistemul de operare a crescut în timp. Spre deosebire de drepturile utilizatorului care sunt impuse într-un singur loc de către serviciul LSA, diferitele privilegii sunt definite de componente diferite și sunt de asemenea utilizate. De exemplu, privilegiile de depanare, care permit procesului să ocolească permisiunile de acces la deschiderea unui mâner în alt proces prin API-ul OpenProcess, sunt verificate de managerul de proces. Lista completă a privilegiilor este prezentată în Tabelul 8-5.
Componentele pe care trebuie să verificați marcatorul pentru prezența anumitor privilegii, se referă la PrivilegeCheck API-funcție sau LsaEnumerateAccountRights, în cazul în care se execută în modul de utilizator, sau la SeSingle-PrivilegeCbeck sau SePrivilegeCbeck, în cazul în care se execută în modul nucleu. Funcțiile API care funcționează cu privilegii nu cunosc nimic despre drepturile de cont, dar sunt cunoscute funcțiile API care funcționează cu privilegii.
Spre deosebire de drepturile de cont privilegiate, puteți activa sau dezactiva privilegii. Pentru ca verificarea privilegiilor să aibă succes, acest privilegiu trebuie să fie în jetonul specificat și trebuie să fie activat. Sensul unei astfel de scheme este acela că privilegiile ar trebui incluse doar în folosirea reală și că procesul nu a putut efectua accidental o operație privilegiată.
EXPERIMENT: supravegherea includerii privilegiului
Următoarea procedură vă permite să vedeți, ca data și ora Applet (data și ora) din Control Panel includ privilegiul SeSystemTime-privilegiu, bazat pe faptul că interfața sa va fi utilizată pentru a modifica data sau ora computerului.
2. Porniți Process Explorer și selectați Paused (Pauză) pentru rata de actualizare.
3. Faceți clic pe fila Securitate din fereastra de proprietăți a unui proces, de exemplu Explorer. Ar trebui să vedeți că privilegiul SeChange-SystemTimePrivilege este dezactivat.
4. Rulați aplicația de dată și oră din panoul de control și reîmprospătați fereastra Process Explorer. Un nou proces Rundll apare în listă, evidențiat în verde.
5. Deschideți fereastra de proprietăți pentru procesul Rundll (faceți dublu clic pe numele acestui proces) și asigurați-vă că linia de comandă conține textul "Timedate.Cpl". Prezența acestui argument îi spune Rundll (procesul de găzduire a DLL-ului Panoului de control) să încarce un DLL care implementează interfața de utilizare, ceea ce vă permite să modificați data și ora.
6. Faceți clic pe fila Securitate din fereastra proprietăților procesului Rundll și veți vedea că privilegiul SeSystemTimePrivilege este activat.
EXPERIMENT: privilegiul de bypass Traverse Checking
Dacă sunteți un administrator de sistem, trebuie să știți despre privilegiile Bypass Traverse Verificare (Bypass traversa verificarea) * (numele intern - SeNotifyPrivilege) și ce consecințe implică includerea. Acest experiment demonstrează că neînțelegerea comportamentului ei poate duce la o încălcare gravă a securității.
1. Creați un dosar și în el - un fișier text nou cu text.
2. Mergeți la Explorer în noul fișier și deschideți fila Securitate în fereastra proprietăților. Faceți clic pe butonul Avansat și debifați caseta de selectare care controlează moștenirea. Selectați Copiere (copiere) când vi se solicită să ștergeți sau să copiați permisiunile moștenite.
3. Apoi, asigurați-vă că contul dvs. nu poate accesa acest nou dosar. Pentru aceasta, selectați contul dvs., iar în lista de permisiuni selectați toate casetele de selectare Dene (respingeți sau respingeți).
4. Porniți Notepad-ul și încercați să îl transferați într-un folder nou prin intermediul interfeței acestuia. Nu puteți face asta.
5. În câmpul Nume fișier din caseta de dialog Deschidere, tastați calea completă la noul fișier. Fișierul ar trebui să se deschidă. Dacă contul dvs. nu are privilegiul Bypass Traverse Checking, NTFS va verifica drepturile de acces la fiecare director din calea fișierului atunci când încercați să deschideți acest fișier. Și numai în acest caz vi se va refuza accesul la acest fișier.
* Deci, acest privilegiu este numit în versiunea rusă a Windows XP, dar de fapt nu există nici o verificare încrucișată - directoarele intermediare sunt verificate în calea către fișier. Prin urmare, acest privilegiu ar trebui să fie denumit "Bypass of checks intermediates". - Notă. Trans.
Articole similare
Trimiteți-le prietenilor: