привилегии
Броят на привилегии, определени в операционната система, в крайна сметка е нараснал. В противовес на правата на потребителите, които са влезли в сила в едно място LSA услуга, различни привилегии, се определят от различни компоненти и те също се прилагат. Например, привилегията за отстраняване на грешки позволява процес да заобиколи проверка на правата за достъп, когато отваряте дръжката на друг процес чрез API-функция OpenProcess, провери мениджър на процеса. Пълен списък на привилегии е дадена в таблица 8-5.
Компоненти, които трябва да се провери маркера за наличието на определени привилегии, се отнася до PrivilegeCheck на API-функция или LsaEnumerateAccountRights, ако тя работи в режим на потребителя, или да SeSingle-PrivilegeCbeck или SePrivilegeCbeck, ако тя работи в режим на ядрото. операционни привилегии API-функционални, те не знаят нищо за правата на сметки, но API-функции, работещи с правата, привилегиите известни.
B за разлика от привилегиите на правата акаунт, можете да включвате и изключвате. За да проверите привилегиите успее, това право трябва да бъде определен в причина и трябва да бъдат включени. Смисълът на тази схема е, че ползите трябва да бъдат включени само в действителното използване на тях, както и факта, че процесът не може случайно да изпълнява привилегирована работа.
Експеримент: Преглед на включването на привилегии
Следващата процедура позволява да видите, като Applet Дата и час (дата и час) от контролния панел включва привилегия SeSystemTime-Privilege, въз основа на факта, че неговият интерфейс ще се използва за промяна на дата или час на компютъра ви.
2. Стартирайте Explorer процес и стойността изберете актуализация честота пауза.
3. Изберете раздела Защита в качествата на един процес, като например Explorer. Трябва да се види, че SeChange-SystemTimePrivilege привилегия е забранено.
4. Начални дата и час аплет в контролния панел и актуализира прозореца на Process Explorer. списък Б Rundll нов процес ще бъде показан в зелено.
5. Отворете прозореца Properties за процеса Rundll (чрез двукратно щракване върху името на процеса), и се уверете, командния ред съдържа текста «Timedate.Cpl». Наличието на този аргумент информира Rundll (процес домакин Control Panel DLL) зареди DLL, реализира потребителския интерфейс, който ви позволява да промените датата и часа.
6. Щракнете върху раздела Защита на прозорец Rundll процеса имоти и ще видите, че SeSystemTimePrivilege привилегия активирана.
Експеримент: Байпас Traverse Проверка привилегия
Ако сте системен администратор, вие трябва да знаете за привилегиите байпас Traverse Проверка (байпас преминават проверка) * (вътрешното си име - SeNotifyPrivilege) и какви последствия води до включване. Този експеримент показва, че липсата на разбиране на поведението му може да доведе до сериозно нарушаване на сигурността.
1. Създаване на папка, а в него - нов текстов файл с произволен текст.
2. Отидете в Explorer към нов файл и след това отворете раздела Security (сигурност) в прозореца със свойства. Щракнете върху бутона Advanced (Разширени) и премахнете отметката, която контролира наследство. Изберете Копиране (Copy), когато има ще бъдете подканени да копирате или премахване на наследени разрешения.
3. След това се уверете, че по сметката си, не могат да бъдат достъпни за тази нова папка. За да направите това, изберете профила си и в списъка с разрешения, изберете всички квадратчета от типа на Deny (да отхвърли или да отрече).
4. Започнете Notepad, и се опитват да преминат през нейния интерфейс в новата папка. Вие не можете да направите това.
5. В полето Име на файла (името на файла), в диалоговия прозорец Open (Отвори), въведете пълния път до новия файл. Файлът трябва да бъде отворена. Ако профилът ви не разполага с привилегии за заобикаляне на Traverse Проверка, NTFS ще провери права за достъп до всяка папка на пътя до файла, когато се опитате да отворите файла. Само в този случай, ще бъде отказан достъп до файла.
* Тъй като тази привилегия се нарича в руската версия на Windows XP, но в действителност не е насрещна проверка не е - проверих междинните директории в пътя до файла. Ето защо, тази привилегия трябва да се нарича "Заобикаляйки междинни инспекции". - Прибл. Транс.
Свързани статии