structure SE_EXPORTS (ntifs.h)

Article
04/28/2024

La structure SeExports est une grande structure statique externe SE_EXPORTS qui définit un certain nombre de constantes de sécurité connues pour les valeurs de privilèges et les identificateurs de sécurité.

Syntaxe

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Membres

SeCreateTokenPrivilege

Privilège requis pour créer un jeton d’accès principal.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Create un objet de jeton ».

SeAssignPrimaryTokenPrivilege

Privilège requis pour affecter le jeton principal d’un processus. Le privilège permet à un processus parent de remplacer le jeton d’accès associé à un processus enfant.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne droite de l’utilisateur suivante : « Remplacer un jeton au niveau du processus ».

SeLockMemoryPrivilege

Privilège requis pour verrouiller les pages physiques en mémoire. Ce privilège permet à un processus de conserver des données en mémoire physique, ce qui empêche le système de paginer les données dans la mémoire virtuelle sur un disque.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droite de l’utilisateur suivante : « Obligatoire pour verrouiller les pages physiques en mémoire ».

SeIncreaseQuotaPrivilege

Privilège requis pour augmenter le quota affecté à un processus. Le privilège permet à un processus qui a accès à un deuxième processus d’augmenter le quota de processeur attribué au deuxième processus. Ce privilège est utile pour le réglage du système, mais il peut être utilisé.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne droite de l’utilisateur suivante : « Ajuster les quotas de mémoire pour un processus ».

SeUnsolicitedInputPrivilege

Privilège requis pour lire une entrée non sollicitée à partir d’un appareil de terminal. Ce privilège est obsolète et inutilisé. Elle n’a aucun effet sur le système.

SeTcbPrivilege

Privilège qui identifie son titulaire dans le cadre de la base de l’ordinateur approuvé. En règle générale, seuls les services d’authentification de bas niveau nécessitent ce privilège. Ce privilège est accordé à certains sous-systèmes protégés approuvés.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit d’utilisateur suivante : « Agir dans le cadre du système d’exploitation ».

SeSecurityPrivilege

Privilège requis pour effectuer un certain nombre de fonctions liées à la sécurité, telles que le contrôle et l’affichage des messages d’audit. Ce privilège identifie son titulaire en tant qu’opérateur de sécurité. Ce privilège permet à un utilisateur de spécifier des options d’audit d’accès aux objets pour des ressources individuelles, notamment des fichiers, des objets Active Directory et des clés de Registre. Un utilisateur disposant de ce privilège peut également afficher et effacer le journal de sécurité de observateur d'événements.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne droite de l’utilisateur suivante : « Gérer le journal d’audit et de sécurité ».

SeTakeOwnershipPrivilege

Privilège requis pour prendre possession d’un objet sans bénéficier d’un accès discrétionnaire. Ce privilège permet à l’utilisateur de prendre possession de n’importe quel objet sécurisable dans le système, y compris les objets Active Directory, les fichiers et dossiers, les imprimantes, les clés de Registre, les processus et les threads. Ce privilège permet à la valeur propriétaire d’être définie uniquement sur les valeurs que le titulaire peut légitimement affecter en tant que propriétaire d’un objet.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit d’utilisateur suivante : « Prendre possession des fichiers ou d’autres objets ».

SeLoadDriverPrivilege

Privilège requis pour charger ou décharger un pilote de périphérique. Ce privilège permet à un utilisateur d’installer et de supprimer des pilotes pour Plug-and-Play appareils. Ce privilège n’est pas requis si un pilote signé pour le nouveau matériel existe déjà dans le fichier Driver.cab sur l’ordinateur.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne droite de l’utilisateur suivante : « Charger et décharger les pilotes de périphérique ».

SeCreatePagefilePrivilege

Privilège requis pour créer et modifier la taille d’un fichier de pagination.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit d’utilisateur suivante : « Create un pagefile ».

SeIncreaseBasePriorityPrivilege

Privilège requis pour augmenter la priorité de base d’un processus. Ce privilège permet à un utilisateur d’augmenter la classe de priorité de base d’un processus. L’augmentation de la priorité relative au sein d’une classe de priorité n’est pas une opération privilégiée et n’a pas besoin de ce privilège.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne à droite de l’utilisateur suivante : « Augmenter la priorité de planification ».

SeSystemProfilePrivilege

Privilège requis pour collecter des informations de profilage pour l’ensemble du système. Le privilège permet à un utilisateur d’échantillonner les performances des processus système.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droite de l’utilisateur suivante : « Performances du système de profil ».

SeSystemtimePrivilege

Privilège requis pour modifier l’heure système. Ce privilège permet à l’utilisateur d’ajuster l’heure sur l’horloge interne de l’ordinateur. Ce privilège n’est pas nécessaire pour modifier le fuseau horaire ou d’autres caractéristiques d’affichage de l’heure système.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droite de l’utilisateur suivante : « Modifier l’heure système ».

SeProfileSingleProcessPrivilege

Privilège requis pour collecter des informations de profilage pour un processus unique. Le privilège permet à un utilisateur d’échantillonner les performances d’un processus d’application.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droite de l’utilisateur suivante : « Profile single process ».

SeCreatePermanentPrivilege

Privilège requis pour créer un objet permanent. Ce privilège permet à un processus de créer un objet de répertoire dans le gestionnaire d’objets. Ce privilège est utile pour les composants en mode noyau qui étendent l’espace de noms d’objet. Les composants qui s’exécutent en mode noyau disposent de ce privilège par nature.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Create objets partagés permanents ».

SeBackupPrivilege

Privilège requis pour effectuer des opérations de sauvegarde. Ce privilège permet à l’utilisateur de contourner les autorisations de fichier et de répertoire pour sauvegarder le système. Ce privilège oblige le système à accorder tout le contrôle d’accès en lecture à n’importe quel fichier, quelle que soit la liste de contrôle d’accès (ACL) spécifiée pour le fichier. Toute demande d’accès autre que la lecture est toujours évaluée avec la liste de contrôle d’accès. Ce privilège est requis par les routines RegSaveKey et RegSaveKeyEx en mode utilisateur. Les droits d’accès suivants sont accordés si ce privilège est détenu :

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit utilisateur suivante : « Sauvegarder des fichiers et des répertoires ».

SeRestorePrivilege

Privilège requis pour effectuer des opérations de restauration. Ce privilège permet à un utilisateur de contourner les autorisations de fichiers et de répertoires lors de la restauration de fichiers et de répertoires sauvegardés et de définir un principal de sécurité valide en tant que propriétaire d’un objet. Ce privilège oblige le système à accorder tout le contrôle d’accès en écriture à n’importe quel fichier, quelle que soit la liste de contrôle d’accès spécifiée pour le fichier. Toute demande d’accès autre que l’écriture est toujours évaluée avec la liste de contrôle d’accès. En outre, ce privilège vous permet de définir n’importe quel SID d’utilisateur ou de groupe valide en tant que propriétaire d’un fichier. Ce privilège est requis par les routines RegLoadKey et RegUnLoadKey en mode utilisateur qui ajoutent ou suppriment une ruche du Registre. Les droits d’accès suivants sont accordés si ce privilège est détenu :

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
Suppression

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Restaurer des fichiers et des répertoires ».

SeShutdownPrivilege

Privilège requis pour arrêter un système local.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne droite de l’utilisateur suivante : « Arrêter le système ».

SeDebugPrivilege

Privilège requis pour déboguer et ajuster la mémoire d’un processus appartenant à un autre compte. Ce privilège permet à l’utilisateur d’attacher un débogueur à n’importe quel processus. Ce privilège permet d’accéder aux composants sensibles et critiques du système d’exploitation.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Programmes de débogage ».

SeAuditPrivilege

Privilège requis pour générer des entrées de journal d’audit dans le journal de sécurité. Le journal de sécurité peut être utilisé pour suivre l’accès non autorisé au système. Ce privilège doit être accordé aux serveurs sécurisés.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne à droite de l’utilisateur suivante : « Générer des audits de sécurité ».

SeSystemEnvironmentPrivilege

Privilège requis pour modifier la RAM non volatile des systèmes qui utilisent ce type de mémoire pour stocker les informations de configuration.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droite de l’utilisateur suivante : « Modifier les valeurs d’environnement du microprogramme ».

SeChangeNotifyPrivilege

Privilège requis pour recevoir des notifications de modifications apportées aux fichiers ou répertoires. Ce privilège permet à l’utilisateur de passer à travers des dossiers auxquels l’utilisateur n’a pas accès lors de la navigation dans un chemin d’accès d’objet dans le système de fichiers NTFS ou dans le Registre. Ce privilège ne permet pas à l’utilisateur de répertorier le contenu d’un dossier ; elle permet à l’utilisateur de parcourir uniquement ses répertoires. Ce privilège oblige le système à ignorer toutes les vérifications d’accès par traversée. Il est activé par défaut pour tous les utilisateurs.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Contourner la vérification de la traversée ».

SeRemoteShutdownPrivilege

Privilège requis pour arrêter un système à l’aide d’une requête réseau. Ce privilège permet à un utilisateur d’arrêter un ordinateur à partir d’un emplacement distant sur le réseau.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Forcer l’arrêt à partir d’un système distant ».

SeNullSid

SID null.

SeWorldSid

SID qui correspond à tout le monde.

SeLocalSid

SID local.

SeCreatorOwnerSid

SID qui correspond au propriétaire ou au créateur d’un objet. Ce SID est utilisé dans les entrées de contrôle d’accès (ACE) qui peuvent être héritées.

SeCreatorGroupSid

SID qui correspond au groupe créateur d’un objet. Ce SID est utilisé dans les AE hérités.

SeNtAuthoritySid

SID de l’autorité Microsoft Windows NT.

SeDialupSid

SID d’un compte d’accès à distance.

SeNetworkSid

SID d’un compte réseau. Ce SID est ajouté au processus d'un jeton lorsqu'il se connecte sur un réseau. Le type d’ouverture de session correspondant est LOGON32_LOGON_NETWORK.

SeBatchSid

SID d’un processus par lots. Ce SID est ajouté au processus d'un jeton lorsqu'il se connecte en tant que tâche batch. Le type d’ouverture de session correspondant est LOGON32_LOGON_BATCH.

SeInteractiveSid

SID d’un compte interactif. Ce SID est ajouté au processus d'un jeton lorsqu'il se connecte de manière interactive. Le type d’ouverture de session correspondant est LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

SID qui correspond au compte LocalSystem, un compte local prédéfini utilisé par le Gestionnaire de contrôle des services. Ce compte n’est pas reconnu par le sous-système de sécurité. Il dispose de privilèges étendus sur l’ordinateur local et agit en tant qu’ordinateur sur le réseau. Son jeton inclut les SID Windows NT AUTHORITY\SYSTEM et BUILTIN\Administrators ; ces comptes ont accès à la plupart des objets système. Le nom du compte dans tous les paramètres régionaux est « .\LocalSystem ». Le nom« LocalSystem » ou « ComputerName\LocalSystem » peut également être utilisé. Ce compte n’a pas de mot de passe.

Un service qui s’exécute dans le contexte du compte LocalSystem hérite du contexte de sécurité du Gestionnaire de contrôle des services. Le compte n’est associé à aucun compte d’utilisateur connecté.

Le compte LocalSystem dispose des privilèges suivants :

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

La plupart des services n’ont pas besoin d’un niveau de privilège aussi élevé. Si votre service n’a pas besoin de ces privilèges et qu’il ne s’agit pas d’un service interactif, envisagez d’utiliser le compte LocalService ou le compte NetworkService.

SeAliasAdminsSid

SID qui correspond au compte d’administrateur.

SeAliasUsersSid

SID qui correspond aux comptes d’utilisateur intégrés.

SeAliasGuestsSid

SID qui correspond au compte invité.

SeAliasPowerUsersSid

SID qui correspond au groupe utilisateurs avec pouvoir.

SeAliasAccountOpsSid

SID qui correspond au compte d’opérateurs de compte.

SeAliasSystemOpsSid

SID qui correspond au groupe d’opérateurs système.

SeAliasPrintOpsSid

SID qui correspond au groupe d’opérateurs d’impression.

SeAliasBackupOpsSid

SID qui correspond au groupe d’opérateurs de sauvegarde.

SeAuthenticatedUsersSid

SID qui correspond à n’importe quel utilisateur authentifié.

SeRestrictedSid

SID pour le code restreint.

SeAnonymousLogonSid

SID du compte anonyme.

SeUndockPrivilege

Privilège requis pour supprimer un ordinateur d’une station d’accueil. Ce privilège permet à l’utilisateur d’un ordinateur portable de désaffecter l’ordinateur en cliquant sur Démarrer, puis sur Éjecter le PC.

SeSyncAgentPrivilege

Privilège requis pour synchroniser les données du service d’annuaire. Ce privilège permet à un processus de lire tous les objets et propriétés du répertoire, quelle que soit la protection définie sur les objets et propriétés. Ce privilège est requis pour utiliser les services de synchronisation d’annuaires LDAP (Lightweight Directory Access Protocol) (Dirsync). Ce privilège est requis pour qu’un contrôleur de domaine utilise les services de synchronisation d’annuaires LDAP.

SeEnableDelegationPrivilege

Privilège requis pour permettre aux comptes d’ordinateur et d’utilisateur d’être approuvés pour la délégation.

SeLocalServiceSid

SID qui correspond au compte LocalService, un compte local prédéfini. Le compte LocalService dispose de privilèges minimum sur l’ordinateur local et présente des informations d’identification anonymes sur le réseau. Le nom du compte dans tous les paramètres régionaux est « NT AUTHORITY\LocalService ». Ce compte n’a pas de mot de passe. Le compte LocalService a sa propre sous-clé sous la clé de Registre HKEY_USERS. Par conséquent, la clé de Registre HKEY_CURRENT_USER est associée au compte LocalService.

Le compte LocalService dispose des privilèges suivants :

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tous les privilèges attribués aux utilisateurs et aux utilisateurs authentifiés

Le compte LocalService est disponible sur les systèmes d’exploitation Microsoft Windows XP et ultérieurs.

SeNetworkServiceSid

SID qui correspond au compte NetworkService, un compte local prédéfini. Le compte NetworkService dispose de privilèges minimum sur l’ordinateur local et agit en tant qu’ordinateur sur le réseau. Le nom du compte dans tous les paramètres régionaux est « NT AUTHORITY\NetworkService ». Ce compte n’a pas de mot de passe.

Un service qui s’exécute dans le contexte du compte NetworkService présente les informations d’identification de l’ordinateur aux serveurs distants. Par défaut, le jeton distant contient des SID pour les groupes Tout le monde et Utilisateurs authentifiés.

Le compte NetworkService a sa propre sous-clé sous la clé de Registre HKEY_USERS. Par conséquent, la clé de Registre HKEY_CURRENT_USER est associée au compte NetworkService.

Le compte NetworkService dispose des privilèges suivants :

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tous les privilèges attribués aux utilisateurs et utilisateurs authentifiés

SeManageVolumePrivilege

Privilège requis pour permettre à un utilisateur non administratif ou distant de gérer des volumes ou des disques. Le système d’exploitation recherche ce privilège dans le jeton d’accès d’un utilisateur lorsqu’un processus s’exécutant dans le contexte de sécurité de l’utilisateur appelle la routine SetFileValidData en mode utilisateur.

SeImpersonatePrivilege

Privilège requis pour emprunter l’identité d’un utilisateur.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Emprunt d’identité d’un client après l’authentification ».

SeCreateGlobalPrivilege

Privilège requis pour qu’un compte d’utilisateur crée des objets globaux dans une session Des services Terminal Server. Notez que les utilisateurs peuvent toujours créer des objets spécifiques à une session sans se voir attribuer ce droit d’utilisateur. Par défaut, ce privilège est attribué aux membres du groupe Administrateurs, au compte système et aux services démarrés par le Gestionnaire de contrôle de service. Ce privilège est disponible sur Windows 2000 avec Service Pack 4 et versions ultérieures.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit d’utilisateur suivante : « Create Objets globaux ».

SeTrustedCredManAccessPrivilege

Privilège requis pour accéder au Gestionnaire d’informations d’identification en tant qu’appelant approuvé.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Accéder au Gestionnaire d’informations d’identification en tant qu’appelant approuvé ».

SeRelabelPrivilege

Privilège requis pour modifier le niveau d’intégrité obligatoire d’un objet.

Les applications en mode utilisateur représentent ce privilège sous la forme de la chaîne de droit de l’utilisateur suivante : « Modifier une étiquette d’objet ».