структура SE_EXPORTS (ntifs.h)

Статья
04/23/2024

Структура SeExports — это большая внешняя статическая SE_EXPORTS структура, которая определяет ряд известных констант безопасности для значений привилегий и идентификаторов безопасности.

Синтаксис

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Члены

SeCreateTokenPrivilege

Привилегия, необходимая для создания основного маркера доступа.

Приложения пользовательского режима представляют эту привилегию в виде следующей правой строки: "Create объект токена".

SeAssignPrimaryTokenPrivilege

Привилегия, необходимая для назначения первичного маркера процесса. Привилегия позволяет родительскому процессу заменить маркер доступа, связанный с дочерним процессом.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Замена маркера уровня процесса".

SeLockMemoryPrivilege

Привилегия, необходимая для блокировки физических страниц в памяти. Эта привилегия позволяет процессу хранить данные в физической памяти, что предотвращает разбиение данных на страницы в виртуальную память на диске.

Приложения пользовательского режима представляют эту привилегию в виде следующей правой строки: "Требуется для блокировки физических страниц в памяти".

SeIncreaseQuotaPrivilege

Привилегия, необходимая для увеличения квоты, назначенной процессу. Эта привилегия позволяет процессу, который имеет доступ ко второму процессу, увеличить квоту процессора, назначенную второму процессу. Эта привилегия полезна для настройки системы, но ее можно злоупотреблять.

Приложения пользовательского режима представляют эту привилегию в виде следующей правой строки: "Настройка квот памяти для процесса".

SeUnsolicitedInputPrivilege

Привилегия, необходимая для чтения незапрошенных входных данных с устройства терминала. Эта привилегия устарела и не используется. Это не влияет на систему.

SeTcbPrivilege

Привилегия, определяющая владельца как часть базы доверенного компьютера. Как правило, эти привилегии требуются только низкоуровневым службам проверки подлинности. Некоторые доверенные защищенные подсистемы получают эту привилегию.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей строки права пользователя: "Действовать как часть операционной системы".

SeSecurityPrivilege

Привилегия, необходимая для выполнения ряда функций, связанных с безопасностью, таких как управление и просмотр сообщений аудита. Эта привилегия определяет владельца как оператора безопасности. Эта привилегия позволяет пользователю указывать параметры аудита доступа к объектам для отдельных ресурсов, включая файлы, объекты Active Directory и разделы реестра. Пользователь с этой привилегией также может просматривать и очищать журнал безопасности из Просмотр событий.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Управление журналом аудита и безопасности".

SeTakeOwnershipPrivilege

Привилегия, необходимая для владения объектом без предоставления дискреционного доступа. Эта привилегия позволяет пользователю овладевать любым защищаемым объектом в системе, включая объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки. Эта привилегия позволяет задать значение владельца только для тех значений, которые владелец может законно назначить в качестве владельца объекта.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей строки прав пользователя: "Получение прав владения файлами или другими объектами".

SeLoadDriverPrivilege

Привилегия, необходимая для загрузки или выгрузки драйвера устройства. Эта привилегия позволяет пользователю устанавливать и удалять драйверы для Plug and Play устройств. Эта привилегия не требуется, если подписанный драйвер для нового оборудования уже существует в файлеDriver.cab на компьютере.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Загрузка и выгрузка драйверов устройств".

SeCreatePagefilePrivilege

Привилегия, необходимая для создания и изменения размера файла подкачки.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Create файл подкачки".

SeIncreaseBasePriorityPrivilege

Привилегия, необходимая для повышения базового приоритета процесса. Эта привилегия позволяет пользователю увеличить базовый класс приоритета процесса. Увеличение относительного приоритета в классе приоритета не является привилегированной операцией и не требует этой привилегии.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Увеличение приоритета планирования".

SeSystemProfilePrivilege

Привилегия, необходимая для сбора сведений профилирования для всей системы. Привилегия позволяет пользователю выполнять выборку производительности системных процессов.

Приложения пользовательского режима представляют эту привилегию в виде следующей правой строки: "Профилирование производительности системы".

SeSystemtimePrivilege

Привилегия, необходимая для изменения системного времени. Эта привилегия позволяет пользователю настраивать время на внутренних часах компьютера. Эта привилегия не требуется для изменения часового пояса или других характеристик отображения системного времени.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Изменить системное время".

SeProfileSingleProcessPrivilege

Привилегия, необходимая для сбора сведений профилирования для одного процесса. Привилегия позволяет пользователю выполнять выборку производительности процесса приложения.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Профилирование одного процесса".

SeCreatePermanentPrivilege

Привилегия, необходимая для создания постоянного объекта. Эта привилегия позволяет процессу создать объект каталога в диспетчере объектов. Эта привилегия полезна для компонентов режима ядра, расширяющих пространство имен объекта. Компоненты, работающие в режиме ядра, имеют эту привилегию по своей природе.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей строки прав пользователя: "Create постоянные общие объекты".

SeBackupPrivilege

Привилегия, необходимая для выполнения операций резервного копирования. Эта привилегия позволяет пользователю обойти разрешения файлов и каталогов для резервного копирования системы. Эта привилегия приводит к тому, что система предоставляет все возможности управления доступом на чтение любому файлу, независимо от списка управления доступом (ACL), указанного для файла. Все запросы на доступ, отличные от чтения, по-прежнему оцениваются с помощью ACL. Это разрешение требуется для процедур RegSaveKey и RegSaveKeyEx в пользовательском режиме. Если эта привилегия имеется, предоставляются следующие права доступа:

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Резервное копирование файлов и каталогов".

SeRestorePrivilege

Привилегия, необходимая для выполнения операций восстановления. Эта привилегия позволяет пользователю обойти разрешения файлов и каталогов при восстановлении резервных копий файлов и каталогов, а также задать любого допустимого субъекта безопасности в качестве владельца объекта. Эта привилегия позволяет системе предоставлять доступ ко всем файлам, независимо от ACL, указанного для файла. Любой запрос доступа, отличный от записи, по-прежнему оценивается с помощью ACL. Кроме того, эта привилегия позволяет задать любого допустимого идентификатора безопасности пользователя или группы в качестве владельца файла. Это разрешение требуется подпрограммам RegLoadKey и RegUnLoadKey в пользовательском режиме, которые добавляют куст из реестра или удаляют его из реестра. Если эта привилегия имеется, предоставляются следующие права доступа:

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
DELETE

Приложения пользовательского режима представляют эту привилегию в виде следующей правой строки: "Восстановление файлов и каталогов".

SeShutdownPrivilege

Привилегия, необходимая для завершения работы локальной системы.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Завершение работы системы".

SeDebugPrivilege

Привилегия, необходимая для отладки и настройки памяти процесса, принадлежащего другой учетной записи. Эта привилегия позволяет пользователю подключать отладчик к любому процессу. Эта привилегия предоставляет доступ к конфиденциальным и критически важным компонентам операционной системы.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Debug programs".

SeAuditPrivilege

Привилегия, необходимая для создания записей журнала аудита в журнале безопасности. Журнал безопасности можно использовать для отслеживания несанкционированного доступа к системе. Эта привилегия должна быть предоставлена защищенным серверам.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Создание аудита безопасности".

SeSystemEnvironmentPrivilege

Привилегия, необходимая для изменения энергонезависимого ОЗУ систем, использующих этот тип памяти для хранения сведений о конфигурации.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей правой строки: "Изменить значения среды встроенного ПО".

SeChangeNotifyPrivilege

Привилегия, необходимая для получения уведомлений об изменениях в файлах или каталогах. Эта привилегия позволяет пользователю передавать папки, к которым у пользователя в противном случае нет доступа, при переходе по пути к объекту в файловой системе NTFS или в реестре. Эта привилегия не позволяет пользователю выводить список содержимого папки; позволяет пользователю только просматривать свои каталоги. Эта привилегия приводит к тому, что система пропускает все проверки доступа обхода. Он включен по умолчанию для всех пользователей.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки прав пользователя: "Обход проверки обхода".

SeRemoteShutdownPrivilege

Привилегия, необходимая для завершения работы системы с помощью сетевого запроса. Эта привилегия позволяет пользователю завершить работу компьютера из удаленного расположения в сети.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей строки с правами пользователя: "Принудительное завершение работы удаленной системы".

SeNullSid

Идентификатор безопасности null.

SeWorldSid

Идентификатор безопасности, соответствующий всем.

SeLocalSid

Локальный идентификатор безопасности.

SeCreatorOwnerSid

Идентификатор безопасности, соответствующий владельцу или создателю объекта. Этот идентификатор безопасности используется в наследуемых записях управления доступом (ACE).

SeCreatorGroupSid

Идентификатор безопасности, соответствующий группе создателей объекта. Этот идентификатор безопасности используется в наследуемых ACE.

SeNtAuthoritySid

Идентификатор безопасности для центра microsoft Windows NT.

SeDialupSid

Идентификатор безопасности для учетной записи удаленного доступа.

SeNetworkSid

Идентификатор безопасности для сетевой учетной записи. Этот идентификатор добавляется в процесс маркера, когда он входит в систему по сети. Соответствующий тип входа — LOGON32_LOGON_NETWORK.

SeBatchSid

Идентификатор безопасности для пакетного процесса. Этот идентификатор добавляется в процесс маркера, когда он входит в систему в качестве пакетного задания. Соответствующий тип входа — LOGON32_LOGON_BATCH.

SeInteractiveSid

Идентификатор безопасности для интерактивной учетной записи. Этот идентификатор добавляется в процесс маркера, когда он входит в систему интерактивно. Соответствующий тип входа — LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

Идентификатор безопасности, соответствующий учетной записи LocalSystem, предопределенной локальной учетной записи, используемой диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности. Он имеет обширные привилегии на локальном компьютере и действует как компьютер в сети. Его маркер включает идентификаторы безопасности Windows NT AUTHORITY\SYSTEM и BUILTIN\Administrators. Эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех языковых стандартах — ".\LocalSystem". Также можно использовать имя LocalSystem или ComputerName\LocalSystem. У этой учетной записи нет пароля.

Служба, которая выполняется в контексте учетной записи LocalSystem, наследует контекст безопасности диспетчера управления службами. Учетная запись не связана с учетной записью пользователя, выполнившего вход.

Учетная запись LocalSystem имеет следующие привилегии:

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

Большинству служб не требуется такой высокий уровень привилегий. Если вашей службе не требуются эти привилегии и она не является интерактивной службой, рассмотрите возможность использования учетной записи LocalService или NetworkService.

SeAliasAdminsSid

Идентификатор безопасности, соответствующий учетной записи администратора.

SeAliasUsersSid

Идентификатор безопасности, соответствующий встроенным учетным записям пользователей.

SeAliasGuestsSid

Идентификатор безопасности, соответствующий гостевой учетной записи.

SeAliasPowerUsersSid

Идентификатор безопасности, соответствующий группе опытных пользователей.

SeAliasAccountOpsSid

Идентификатор безопасности, соответствующий учетной записи операторов учетных записей.

SeAliasSystemOpsSid

Идентификатор безопасности, соответствующий группе системных операторов.

SeAliasPrintOpsSid

Идентификатор безопасности, соответствующий группе операторов печати.

SeAliasBackupOpsSid

Идентификатор безопасности, соответствующий группе операторов резервного копирования.

SeAuthenticatedUsersSid

Идентификатор безопасности, соответствующий любому пользователю, прошедшему проверку подлинности.

SeRestrictedSid

Идентификатор безопасности для ограниченного кода.

SeAnonymousLogonSid

Идентификатор безопасности для анонимной учетной записи.

SeUndockPrivilege

Привилегия, необходимая для удаления компьютера из док-станции. Эта привилегия позволяет пользователю переносного компьютера отстыковать компьютер, нажав кнопку Пуск, а затем щелкнув Извлечь компьютер.

SeSyncAgentPrivilege

Привилегия, необходимая для синхронизации данных службы каталогов. Эта привилегия позволяет процессу считывать все объекты и свойства в каталоге независимо от защиты, установленной для объектов и свойств. Эта привилегия необходима для использования служб синхронизации каталогов (Dirsync) протокола LDAP. Эта привилегия необходима контроллеру домена для использования служб синхронизации каталогов LDAP.

SeEnableDelegationPrivilege

Привилегия, необходимая, чтобы учетные записи компьютеров и пользователей были доверенными для делегирования.

SeLocalServiceSid

Идентификатор безопасности, соответствующий учетной записи LocalService, предопределенной локальной учетной записи. Учетная запись LocalService имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Имя учетной записи во всех языковых стандартах — NT AUTHORITY\LocalService. У этой учетной записи нет пароля. Учетная запись LocalService имеет собственный подраздел в разделе реестра HKEY_USERS. Таким образом, HKEY_CURRENT_USER раздел реестра связан с учетной записью LocalService.

Учетная запись LocalService имеет следующие привилегии:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Все привилегии, назначенные пользователям и пользователям, прошедшим проверку подлинности

Учетная запись LocalService доступна в операционных системах Microsoft Windows XP и более поздних версий.

SeNetworkServiceSid

Идентификатор безопасности, соответствующий учетной записи NetworkService, предопределенной локальной учетной записи. Учетная запись NetworkService имеет минимальные привилегии на локальном компьютере и выступает в качестве компьютера в сети. Имя учетной записи во всех языковых стандартах — NT AUTHORITY\NetworkService. У этой учетной записи нет пароля.

Служба, запущенная в контексте учетной записи NetworkService, предоставляет учетные данные компьютера удаленным серверам. По умолчанию удаленный маркер содержит идентификаторы безопасности для групп Все и Пользователи, прошедшие проверку подлинности.

Учетная запись NetworkService имеет собственный подраздел в разделе реестра HKEY_USERS. Таким образом, HKEY_CURRENT_USER раздел реестра связан с учетной записью NetworkService.

Учетная запись NetworkService имеет следующие привилегии:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Все привилегии, назначенные пользователям и пользователям, прошедшим проверку подлинности

SeManageVolumePrivilege

Привилегия, необходимая для разрешения неуправляемого или удаленного пользователя управлять томами или дисками. Операционная система проверяет наличие этой привилегии в маркере доступа пользователя, когда процесс, выполняющийся в контексте безопасности пользователя, вызывает подпрограмму SetFileValidData в пользовательском режиме.

SeImpersonatePrivilege

Привилегия, необходимая для олицетворения пользователя.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки с правами пользователя: "Олицетворения клиента после проверки подлинности".

SeCreateGlobalPrivilege

Привилегия, необходимая учетной записи пользователя для создания глобальных объектов в сеансе служб терминалов. Обратите внимание, что пользователи по-прежнему могут создавать объекты, относящиеся к сеансу, без назначения этого права пользователя. По умолчанию эта привилегия назначается членам группы "Администраторы", системной учетной записи и службам, запущенным диспетчером управления службами. Эта привилегия доступна в Windows 2000 с пакетом обновления 4 (SP4) и более поздних версий.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки прав пользователя: "Create глобальные объекты".

SeTrustedCredManAccessPrivilege

Привилегия, необходимая для доступа к диспетчеру учетных данных в качестве доверенного вызывающего объекта.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки прав пользователя: "Access Credential Manager as a trusted caller" (Доступ к диспетчеру учетных данных в качестве доверенного вызывающего объекта).

SeRelabelPrivilege

Привилегия, необходимая для изменения обязательного уровня целостности объекта.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки прав пользователя: "Изменение метки объекта".