В этой статье рассмотрим права и привилегии пользователей в системе. Вы узнаете где они устанавливаются и чем права отличаются от привилегий.
Назначение прав и привилегий
Привилегии — это возможность выполнять связанные с системой операции, например выключение компьютера или изменение системного времени.
Право — разрешает или запрещает выполнять конкретный тип входа в систему, например локальный или вход по сети.
Для того чтобы управлять привилегиями и правами, нужно использовать ММС-оснастку «Локальная политика безопасности» (secpol.msc). В этой оснастке можно настроить и права и привилегии для пользователей или групп. Вы можете различить права от привилегий тем, что права связаны со входом в систему, а привилегии не связаны.
Права учетной записи
Права хоть и находятся в одной и той же оснастке с привилегиями, но технически отличаются т привилегий. Они не связаны с монитором безопасности SRM и не хранятся в маркерах доступа в отличие от привилегий.
Возможные права:
- право локального входа в систему (logon locally);
- возможность входить в систему по сети (logon over the network);
- право входить в систему через службу терминалов (logon through Terminal Services);
- возможность входить в систему в качестве службы (logon as a service);
- возможность входить в систему в качестве пакетного задания (logon as a batch job).
Привилегии
Привилегии пользователя находятся в маркере доступа. А вот не полный список привилегий:
- Резервное копирование файлов и каталогов. Заставляет NTFS предоставлять некоторый доступ к файлам, даже если дескриптор безопасности не дает таких разрешений.
- Восстановление файлов и каталогов. Заставляет NTFS предоставлять некоторый доступ к файлам, даже если дескриптор безопасности не дает таких разрешений.
- Повышение приоритета планирования. Требуется для повышения приоритета процесса.
- Загрузка и выгрузка драйверов устройств.
- Добавление рабочих станций в домен.
- Выполнение операций сопровождения с томом. Например, выполнение дефрагментации или проверка диска.
- Изменение маркера объекта. Например, разрешает запуск программ от имени администратора.
- Управление аудитом и журналом безопасности. Необходимо для обращения к списку SACL.
- Выключение системы.
- Изменение системного времени.
- Получение прав владения. Для файлов и других объектов.
Включение привилегий по требованию
Привилегии включаются по требованию, чтобы понять это, проведем эксперимент.
Запустите Process Explorer с повышенными привилегиями. А затем щелкните правой кнопкой мыши на часах в области уведомлений и выберите команду «Настройка даты и времени«. После чего найдите и откройте свойства процесса «SystemSettings.exe» в «Process Explorer«.
Далее, перейдите на вкладку «Security» и там вы увидите, что привилегия «SeTimeZonePrivilege» отключена:
Затем измените часовой пояс, закройте и снова откройте окно свойств процесса » SystemSettings.exe «. И вы увидите, что привилегия «SeTimeZonePrivilege» включилась:
Получается что процесс может иметь какую-то привилегию, но пока он ей не воспользуется, привилегия будет в выключенном состоянии.
Привилегия обхода промежуточных проверок NTFS
А теперь разберём ещё одну интересную привилегию. Она позволяет получить доступ к файлу, даже если у вас нет доступа к папке в которой этот файл находится. Такая привилегия называется SeNotifyPrivilege.
Во-первых создайте папку, а внутри этой папки создайте новый текстовый документ. Затем перейдите в Проводнике к этому файлу, откройте его свойства и перейдите на вкладку «Безопасность«. Там щелкните на кнопке «Дополнительно» и снимите флажок «Наследование«. А затем примените изменения. Когда появится предложение удалить или скопировать права наследования, выберите «Копировать«.
Теперь измените безопасность новой папки, чтобы у вашей учетной записи не было никакого доступа к ней. Для этого выберите свою учетную запись, а затем выберите все флажки «Запретить» в списке разрешений.
Запустите программу «Блокнот«. В меню «Файл» выберите команду «Открыть» и перейдите к новому каталогу. Вы не сможете открыть его, так как доступ быть запрещен. Но вы можете в поле «Имя файла» диалогового окна «Открыть» набрать полный путь к новому файлу. После чего файл должен открыться.
Если бы у вашей учетной записи не было «Привилегии обхода промежуточных проверок«, то NTFS выполнял бы проверки доступа к каждому каталогу пути при попытке открыть файл. Что в данном примере привело бы к запрещению доступа к файлу.
Супер привилегии
Это очень серьёзные привилегии и при включенной системе UAC они будут предоставляться только приложениям запущенным на высоком уровне целостности ( high или выше). Ну и конечно учетная запись должна обладать этими привилегиями.
Вот список таких супер привилегий:
- Проводить отладку программ. Пользователь с этой привилегией может открывать любой процесс в системе, не обращая внимания на имеющийся у процесса дескриптор безопасности. И может не только смотреть содержимое памяти процесса, но и выполнить свой код от имени этого процесса.
- Приобретать права владения. Эта привилегия позволяет приобретать права владения любым объектом в системе.
- Восстанавливать файлы и каталоги. Пользователь, получивший эту привилегию, может заменять любые файлы в системе своими собственными файлами.
- Загружать и выгружать драйверы устройств. Такая привилегия позволит загрузить в систему любой драйвер, который будет работать в режиме ядра.
- Создавать объект маркера. Эта привилегия может использоваться, чтобы запустить приложение с любым маркером доступа.
- Действовать в качестве части операционной системы. Эта привилегия позволяет устанавливать доверенное подключение к LSASS, что даст возможность создавать новые сеансы входа в систему.
Помимо всего прочего, следует помнить, что привилегии не выходят за границы одной машины и не распространяются на сеть.
