|
| БЕСПЛАТНАЯ ежедневная online лотерея! Выигрывай каждый день БЕСПЛАТНО! |
|
|
Privileges
A privilege is used to control access to an object or service more strictly than is normal with discretionary access control. A system manager uses privileges to control which users are able to manipulate system resources. An application uses privileges when it changes a system resource, such as when it changes the system time or shuts down the system.
A privilege is a locally unique identifier (LUID) identified by a character string. This 64-bit value is guaranteed to be unique on the operating system that generated it until the system is restarted. For example, SE_SYSTEMTIME_NAME is a string identifying an LUID. A privilege has three representations, as shown below.
· A string name, meaningful across systems, called a global program name (for example, SE_SYSTEMTIME_NAME). · A readable name that can be displayed to the user when necessary. For example, "Change the system time." · A local representation that differs from computer to computer.
Privileges provide access to services rarely needed by most users. An account usually has privileges that are disabled, and they must be enabled to be used. For example, to set the time on the local computer, an application has to set the SE_PRIVILEGE_ENABLED attribute for the SE_SYSTEMTIME_NAME privilege. For security reasons, disable an enabled privilege when it is no longer needed. The following privileges are defined by Windows NT.
Privilege Description SE_ASSIGNPRIMARYTOKEN_NAME Required to assign the primary token of a process. SE_AUDIT_NAME Required to generate audit-log entries. Give this privilege to secure servers. SE_BACKUP_NAME Required to perform backup operations. SE_CHANGE_NOTIFY_NAME Required to receive notifications of changes to files or directories. This privilege also causes the system to skip all traversal access checks. It is enabled by default for all users. SE_CREATE_PAGEFILE_NAME Required to create a paging file. SE_CREATE_PERMANENT_NAME Required to create a permanent object. SE_CREATE_TOKEN_NAME Required to create a primary token. SE_DEBUG_NAME Required to debug a process. SE_INC_BASE_PRIORITY_NAME Required to increase the base priority of a process. SE_INCREASE_QUOTA_NAME Required to increase the quota assigned to a process. SE_LOAD_DRIVER_NAME Required to load or unload a device driver. SE_LOCK_MEMORY_NAME Required to lock physical pages in memory. SE_PROF_SINGLE_PROCESS_NAME Required to gather profiling information for a single process. SE_REMOTE_SHUTDOWN_NAME Required to shut down a system using a network request. SE_RESTORE_NAME Required to perform restore operations. SE_SECURITY_NAME Required to perform a number of security-related functions, such as controlling and viewing audit messages. This privilege identifies its holder as a security operator. SE_SHUTDOWN_NAME Required to shut down a local system. SE_SYSTEM_ENVIRONMENT_NAME Required to modify the non-volatile RAM of systems that use this type of memory to store configuration information. SE_SYSTEM_PROFILE_NAME Required to gather profiling information for the entire system. SE_SYSTEMTIME_NAME Required to modify the system time. SE_TAKE_OWNERSHIP_NAME Required to take ownership of an object without being granted discretionary access. This privilege allows the owner value to be set only to those values that the holder may legitimately assign as the owner of an object. SE_TCB_NAME This privilege identifies its holder as part of the trusted computer base. Some trusted protected subsystems are granted this privilege. SE_UNSOLICITED_INPUT_NAME Required to read unsolicited input from a terminal device.
The following functions are provided for working with privileges.
Function Description LookupPrivilegeValue Allows an application to retrieve the LUID corresponding to a privilege on the local system. This is the local representation of that privilege and an application can set it in the TOKEN_PRIVILEGES and LUID_AND_ATTRIBUTES structures. LookupPrivilegeDisplayName Retrieves a displayable privilege name. For example, "Force shutdown from a remote system." LookupPrivilegeName Retrieves a programmatic privilege name. PrivilegeCheck Determines whether a client application has the privileges required to gain access to an object, such as, SE_REMOTE_SHUTDOWN_NAME.
| Пригласи друзей и счет твоего мобильника всегда будет положительным! |
| Пригласи друзей и счет твоего мобильника всегда будет положительным! |
Привилегии
Привилегия использована, чтобы управлять доступом к объекту или услуга более строго чем нормальное с дискреционным управлением доступа. Системный менеджер использует привилегии, чтобы управлять какими потребителями способные манипулировать системными ресурсами. Приложение использует привилегии когда оно изменяет системный ресурс, как например, когда это изменяет системное время или отключает систему.
Привилегия является локально уникальным идентификатором (LUID) идентифицированным символьной строкой. Эта 64- битовая величина гарантирована, чтобы быть уникальным в операционной системе, что сгенерированное это пока система не будет перезапущена. Например, SE_SYSTEMTIME_NAME - строка, опознающая LUID. Привилегия имеет три представительства, как показано ниже.
Имя строки, значимое через системы, назвавшие глобальное программное имя (например, SE_SYSTEMTIME_NAME). Удобочитаемое имя, которое может быть отображено потребителю когда необходимо. Например, "Изменять системное время." Локальное представление, которое отличается от компьютера в компьютер.
Привилегии обеспечивают доступ к услугам редко, которому нужно большинством потребителями. Счет обычно имеет привилегии, которые выведены из строя, и они должны быть позволены быть использованн. Например, чтобы устанавливать время в локальном компьютере, приложение должно устанавливать атрибут SE_PRIVILEGE_ENABLED для привилегии SE_SYSTEMTIME_NAME. Для причин безопасности, выведите из строя разблокированную привилегию когда это не - больше не нужно. Следующие привилегии определены Windows NT.
Описание Привилегии SE_ASSIGNPRIMARYTOKEN_NAME Требовавшийся, чтобы назначать первичный признак процесса. SE_AUDIT_NAME Требовавшийся, чтобы генерировать проверять-регистрационные данные. Дайте эту привилегию, чтобы обеспечивать серверы. SE_BACKUP_NAME Требовавшийся, чтобы выполнять операции копии. SE_CHANGE_NOTIFY_NAME Требовавшийся, чтобы получать уведомления об изменениях в файлы или директории. Эта привилегия также заставляет систему, чтобы пропускать все чеки доступа прохождения. Приспособлено по умолчанию для всех пользователей. SE_CREATE_PAGEFILE_NAME Требовавшийся, чтобы создавать файл подкачки. SE_CREATE_PERMANENT_NAME Требовавшийся, чтобы создавать постоянный объект. SE_CREATE_TOKEN_NAME Требовавшийся, чтобы создавать первичный признак. SE_DEBUG_NAME Требовавшийся, чтобы отлаживать процесс. SE_INC_BASE_PRIORITY_NAME Требовавшийся, чтобы увеличивать базовый приоритет процесса. SE_INCREASE_QUOTA_NAME Требовавшийся, чтобы увеличивать квоту назначенную в процесс. SE_LOAD_DRIVER_NAME Требовавшийся, чтобы загружать или снимать драйвер устройства. SE_LOCK_MEMORY_NAME Требовавшийся, чтобы запирать физические страницы в памяти. SE_PROF_SINGLE_PROCESS_NAME Требовавшийся, чтобы собирать profiling информацию для единственного процесса. SE_REMOTE_SHUTDOWN_NAME Требовавшийся, чтобы отключать систему, использовавшую сетевой запрос. SE_RESTORE_NAME Требовавшийся, чтобы выполнять операции восстановления. SE_SECURITY_NAME Требовавшийся, чтобы выполнять множество связанных функций безопасности, как например, управление и рассматривая сообщения проверки. Эта привилегия идентифицирует своего держателя как оператора безопасности. SE_SHUTDOWN_NAME Требовавшийся, чтобы отключать локальную систему. SE_SYSTEM_ENVIRONMENT_NAME Требовавшийся, чтобы модифицировать не-летучее РАМ систем, которые используют этот тип памяти, чтобы загружать информацию конфигурации. SE_SYSTEM_PROFILE_NAME Требовавшийся, чтобы собирать profiling информацию для целой системы. SE_SYSTEMTIME_NAME Требовавшийся, чтобы модифицировать системное время. SE_TAKE_OWNERSHIP_NAME Требовавшийся, чтобы брать собственность на объект без предоставившее дискреционный доступ. Эта привилегия позволяет величину владельца, чтобы быть установленн только в те величины, что держатель может законно назначить как владелец объекта. SE_TCB_NAME Этой привилегии идентифицирует своего держателя как часть надежной компьютерной базы. Некоторые поверенным защищать подсистемам предоставляют эту привилегию. SE_UNSOLICITED_INPUT_NAME Требовавшийся, чтобы читать непредусмотренный ввод с терминального устройства.
Следующие функции предусмотрены для работы привилегиями.
Описание Функции LookupPrivilegeValue ПОЗВОЛЯЕТ приложение, чтобы извлекать LUID, соответствующее в привилегию в локальной системе. Это - локальное представление этой привилегии и приложение может установить это в TOKEN_PRIVILEGES и структурах LUID_AND_ATTRIBUTES. LookupPrivilegeDisplayName ИЗВЛЕКАЕТ воспроизводимое имя привилегии. Например, "Принудительное выключение из дистанционной системы." LookupPrivilegeName ИЗВЛЕКАЕТ programmatic имя привилегии. PrivilegeCheck ОПРЕДЕЛЯЕТ потребовало приложение клиента привилегии, чтобы приобретать доступ к объекту, как например,, SE_REMOTE_SHUTDOWN_NAME.
|
|
|
|
| |