Авторизация



Теги сайта



0х0000007b 1c access control list acl activation active directory ad roles add route adexplorer apache authentication to zabbix bare metal recovery bg zsh bicycle books bruteforce c admin ccna centos centos packet change net adapter name chap chkrootkit chmod cisco clipboard cmd configuring cpu cores cron crontab csc cut cvsup cvsup-without-gui db dev null 2 1 dhcp dhcp reservation disable ipv6 diskpart dism dns domain naming master domain roles download download powershell enable routing on windows enabled end-system doc english english language esx eventlog exe file associations fail2ban fastest_cvsup fedora fg zsh formatdatabase freebsd fsmo get-aduser group policy management hardware https hyper-v idioms iis iperf iptables iscsi jobs kernel panic ldap ldap аутентификация zabbix limit lingualeo linux malware posix mcitp mcsa mcse memory check microsoft mod_ssl mount mssql mysql mysql user password netcache network network config network diagram network document network load balance cluster network scripts nginx nlb num lock numlock openssl pap partition pdc permissions php pipeline pkg_version ports upgrade portupgrade posix powershell ppp pwdlastset rdp reg add regedit registry remote enable restrictions reverse proxy rhel rid rope jumping bridge мост прыжок высота route add route freebsd router switch doc routing protocol rpm sc sc sdset sc sdshow schema scope script output secure web security seize role service permissions services set dns servers set ip address sftp shell script show variables snmp sound scheme sounds speed ssh standard-supfile subinacl supfile switch switchport sync syncronization task sсheduler tempdb topology map transfer role tripplite monitoring tweaks unix user must change password at next logon utf8 vim vlan vmware w32tm web windows windows 2003 r2 windows 2008 r2 windows administrative share windows firewall windows server windows server 2012 windows server backup windows service permissions windows пингалка winre wsus xargs yum zabbix zabbix external check zabbix ldap authentication zsh автоматическое обновление портов freebsd автономные файлы активация английский язык ассоциации файлов windows база данных безопасность active directory буфер вело велосипед видео включение роутинга в windows внешняя проверка zabbix вредоносное программное обеспечение posix документация сети задание двумерного массива захват ролей dc звуки звуковая схема идиомы иероглифы киев кодировка командная строка конфигурация сети маршрутизация маршруты в freebsd маршруты в redhat linux область ограничения windows основные команды отключение административных ресурсов пакеты centos перевод передача ролей dc перенос планировщик задач покатушки полет над днепром проблемы кодировки протокол путь развития в it разрешения служб windows регистрируем cmd скриптом недоступность хоста реестр резервирование ip скриптом роли домена русские символы синхронизация скачать скачать powershell скачать книгу скорость сети списки контроля доступа тарзанка твики фоновые процессы цикл mssql

Главная страница MICROSOFT Разрешения служб Windows средствами команды SC
Разрешения служб Windows средствами команды SC Печать

Назначение разрешений на управление службой с помощью нативной команды SC.

 

Узнать какие права у службы сейчас можно командой sc sdshow servicename :

C:\> sc sdshow snmptrap

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

 

вывод этой команды показал нам две группы контрольных листов:

D: - Discretionary Access Control List (DACL) - с этой мы сейчас будем работать

S: - System Access Control List (SACL) - эту не трогаем

 

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)

то что в одних скобках (действие;;тип разрешений;;;кому применяется) - это отдельное разрешение для отдельного пользователя или группы:

A - Allow (разрешить)
D - Deny (запретить)
;;
CC - SERVICE_QUERY_CONFIG
LC - SERVICE_QUERY_STATUS
SW - SERVICE_ENUMERATE_DEPENDENTS
LO - SERVICE_INTERROGATE
CR - SERVICE_USER_DEFINED_CONTROL
RC - READ_CONTROL
RP - SERVICE_START
WP - SERVICE_STOP
DT - SERVICE_PAUSE_CONTINUE
;;;
AU - Authenticated Users
AO - Account operators
RU - Alias to allow previous Windows 2000
AN - Anonymous logon
AU - Authenticated users
BA - Built-in administrators
BG - Built-in guests
BO - Backup operators
BU - Built-in users
CA - Certificate server administrators
CG - Creator group
CO - Creator owner
DA - Domain administrators
DC - Domain computers
DD - Domain controllers
DG - Domain guests
DU - Domain users
EA - Enterprise administrators
ED - Enterprise domain controllers
WD - Everyone
PA - Group Policy administrators
IU - Interactively logged-on user
LA - Local administrator
LG - Local guest
LS - Local service account
SY - Local system
NU - Network logon user
NO - Network configuration operators
NS - Network service account
PO - Printer operators
PS - Personal self
PU - Power users
RS - RAS servers group
RD - Terminal server users
RE - Replicator
RC - Restricted code
SA - Schema administrators
SO - Server operators
SU - Service logon user
S-1-5-32-568 - указанный нами SID пользователя или группы (в данном случае BUILTIN\iis_iusrs)

Узнать SID по имени можно используя мою статью по PowerShell или с помощью команды psgetsid (ссылка (182.8 Кб) [скачано:963 раз(а)]) из инструментов Марка Русиновича:

C:\> psgetsid domain\user

PsGetSid v1.43 - Translates SIDs to names and vice versa
Copyright (C) 1999-2006 Mark Russinovich
Sysinternals - www.sysinternals.com

SID for domain\user:
S-1-5-21-251547391-2892178632-4239030845-27132

 

Для примера, запрещаем нашему пользователю domain\user изменение, остановку и паузу службы SNMPTRAP, используя команду sc sdset servicename (наше разрешение в круглых скобках ставим в самое начало группы контрольных листов D:):

C:\> sc sdshow snmptrap

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)


C:\> sc sdset snmptrap D:(D;;WPDT;;;S-1-5-21-251547391-2892178632-4239030845-27132)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
[SC] SetServiceObjectSecurity SUCCESS


Комментарии:

 

Добавить комментарий

Чтобы иметь дополнительные опции редактирования, возможность оценивать чужие комментарии и не вводить код Captcha с картинки перед отправкой сообщения, войдите под своим аккаунтом или зарегистрируйтесь.

Защитный код
Обновить

Главная страница MICROSOFT Разрешения служб Windows средствами команды SC