Posso definir uma regra de "negação" em um privilégio do Windows?

4

Privilégios do Windows ( exemplos ) são atribuídos a contas e grupos e, por padrão, o principal interno "SERVICE" possui alguns privilégios atribuídos, como o privilégio "personificar usuário".

Eu quero criar uma conta restrita para um serviço que não tenha esse privilégio. Posso de alguma forma definir uma regra de "negação" para esse privilégio, assim como se pode usar com ACLs de arquivo? Ou eu tenho que remover "SERVICE" da lista de beneficiários SeImpersonatePrivilege para conseguir isso? (algo que eu prefiro evitar, se puder, uma vez que isso pode possivelmente quebrar outros serviços)

Editado para corrigir uma conflação induzida por uma nuvem cerebral de duas coisas completamente não relacionadas em uma monstruosidade de uma questão.

    
por RomanSt 19.12.2011 / 01:03

1 resposta

3

Não, os privilégios do Windows são completamente diferentes das ACLs do sistema de arquivos.

Você usa a API do Windows para ajustar programaticamente os privilégios do Windows. Não há GUI. Eles são binários; os privilégios podem ser adicionados ou removidos, mas não há um mecanismo "Negar" como ocorre nas ACLs NTFS, etc.

Por exemplo, eu precisava importar advapi32.dll para o meu código para acessar a função GetTokenInformation (), que, entre outras coisas, contém os privilégios para uma conta de um determinado SID.

Não tenho certeza se concordo com sua afirmação de que o grupo \ Usuários do domínio possui o SeImpersonatePrivilege por padrão. Isso iria prejudicar qualquer tentativa de proteger um ambiente Windows.

Verifique sua política de segurança local e suas políticas de domínio e expanda Configuração do computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Atribuição de direitos de usuário e marque a configuração "Representar um cliente após a autenticação". Eu não vejo o grupo Usuários listado em algum lugar.

    
por 21.12.2011 / 23:11