struktur SE_EXPORTS (ntifs.h)

Artikel
04/23/2024

Struktur SeExports adalah struktur SE_EXPORTS statis eksternal besar yang menentukan sejumlah konstanta keamanan terkenal untuk nilai hak istimewa dan pengidentifikasi keamanan.

Sintaks

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Anggota

SeCreateTokenPrivilege

Hak istimewa yang diperlukan untuk membuat token akses utama.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Create objek token".

SeAssignPrimaryTokenPrivilege

Hak istimewa yang diperlukan untuk menetapkan token utama proses. Hak istimewa memungkinkan proses induk untuk menggantikan token akses yang terkait dengan proses anak.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Ganti token tingkat proses".

SeLockMemoryPrivilege

Hak istimewa yang diperlukan untuk mengunci halaman fisik dalam memori. Hak istimewa ini memungkinkan proses untuk menyimpan data dalam memori fisik, yang mencegah sistem menomori data ke memori virtual pada disk.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Diperlukan untuk mengunci halaman fisik dalam memori".

SeIncreaseQuotaPrivilege

Hak istimewa yang diperlukan untuk meningkatkan kuota yang ditetapkan ke suatu proses. Hak istimewa memungkinkan proses yang memiliki akses ke proses kedua untuk meningkatkan kuota prosesor yang ditetapkan ke proses kedua. Hak istimewa ini berguna untuk penyetelan sistem, tetapi dapat disalahgunakan.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Sesuaikan kuota memori untuk proses".

SeUnsolicitedInputPrivilege

Hak istimewa yang diperlukan untuk membaca input yang tidak diminta dari perangkat terminal. Hak istimewa ini usang dan tidak digunakan. Ini tidak berpengaruh pada sistem.

SeTcbPrivilege

Hak istimewa yang mengidentifikasi pemegangnya sebagai bagian dari basis komputer tepercaya. Biasanya, hanya layanan autentikasi tingkat rendah yang memerlukan hak istimewa ini. Beberapa subsistem tepercaya yang dilindungi diberikan hak istimewa ini.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Bertindak sebagai bagian dari sistem operasi".

SeSecurityPrivilege

Hak istimewa yang diperlukan untuk melakukan sejumlah fungsi terkait keamanan, seperti mengontrol dan melihat pesan audit. Hak istimewa ini mengidentifikasi pemegangnya sebagai operator keamanan. Hak istimewa ini memungkinkan pengguna untuk menentukan opsi audit akses objek untuk sumber daya individual, termasuk file, objek Direktori Aktif, dan kunci Registri. Pengguna yang memiliki hak istimewa ini juga dapat melihat dan menghapus log keamanan dari Pemantau Peristiwa.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Kelola audit dan log keamanan".

SeTakeOwnershipPrivilege

Hak istimewa yang diperlukan untuk mengambil kepemilikan objek tanpa diberikan akses diskresi. Hak istimewa ini memungkinkan pengguna untuk mengambil kepemilikan objek yang dapat diamankan dalam sistem, termasuk objek Direktori Aktif, file dan folder, printer, kunci registri, proses, dan utas. Hak istimewa ini memungkinkan nilai pemilik diatur hanya ke nilai-nilai yang mungkin ditetapkan pemegang secara sah sebagai pemilik objek.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Ambil kepemilikan file atau objek lain".

SeLoadDriverPrivilege

Hak istimewa yang diperlukan untuk memuat atau membongkar driver perangkat. Hak istimewa ini memungkinkan pengguna menginstal dan menghapus driver untuk perangkat Plug and Play. Hak istimewa ini tidak diperlukan jika driver yang ditandatangani untuk piranti keras baru sudah ada di file Driver.cab pada komputer.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Muat dan bongkar driver perangkat".

SeCreatePagefilePrivilege

Hak istimewa yang diperlukan untuk membuat dan mengubah ukuran file halaman.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Create pagefile".

SeIncreaseBasePriorityPrivilege

Hak istimewa yang diperlukan untuk meningkatkan prioritas dasar proses. Hak istimewa ini memungkinkan pengguna untuk meningkatkan kelas prioritas dasar proses. Meningkatkan prioritas relatif dalam kelas prioritas bukanlah operasi istimewa dan tidak memerlukan hak istimewa ini.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Tingkatkan prioritas penjadwalan".

SeSystemProfilePrivilege

Hak istimewa yang diperlukan untuk mengumpulkan informasi pembuatan profil untuk seluruh sistem. Hak istimewa memungkinkan pengguna untuk mengambil sampel performa proses sistem.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Performa sistem profil".

SeSystemtimePrivilege

Hak istimewa yang diperlukan untuk memodifikasi waktu sistem. Hak istimewa ini memungkinkan pengguna untuk menyesuaikan waktu pada jam internal komputer. Hak istimewa ini tidak diperlukan untuk mengubah zona waktu atau karakteristik tampilan lain dari waktu sistem.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Ubah waktu sistem".

SeProfileSingleProcessPrivilege

Hak istimewa yang diperlukan untuk mengumpulkan informasi pembuatan profil untuk satu proses. Hak istimewa memungkinkan pengguna untuk mengambil sampel performa proses aplikasi.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Proses tunggal profil".

SeCreatePermanentPrivilege

Hak istimewa yang diperlukan untuk membuat objek permanen. Hak istimewa ini memungkinkan proses untuk membuat objek direktori di manajer objek. Hak istimewa ini berguna untuk komponen mode kernel yang memperluas namespace objek. Komponen yang berjalan dalam mode kernel memiliki hak istimewa ini secara inheren.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Create objek bersama permanen".

SeBackupPrivilege

Hak istimewa yang diperlukan untuk melakukan operasi pencadangan. Hak istimewa ini memungkinkan pengguna untuk menghindari izin file dan direktori untuk mencadangkan sistem. Hak istimewa ini menyebabkan sistem memberikan semua kontrol akses baca ke file apa pun, terlepas dari daftar kontrol akses (ACL) yang ditentukan untuk file. Setiap permintaan akses selain baca masih dievaluasi dengan ACL. Hak istimewa ini diperlukan oleh rutinitas RegSaveKey dan RegSaveKeyEx mode pengguna. Hak akses berikut diberikan jika hak istimewa ini ditahan:

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Cadangkan file dan direktori".

SeRestorePrivilege

Hak istimewa yang diperlukan untuk melakukan operasi pemulihan. Hak istimewa ini memungkinkan pengguna untuk menghindari izin file dan direktori saat memulihkan file dan direktori yang dicadangkan dan untuk mengatur prinsip keamanan yang valid sebagai pemilik objek. Hak istimewa ini menyebabkan sistem memberikan semua kontrol akses tulis ke file apa pun, terlepas dari ACL yang ditentukan untuk file. Setiap permintaan akses selain tulis masih dievaluasi dengan ACL. Selain itu, hak istimewa ini memungkinkan Anda mengatur SID pengguna atau grup yang valid sebagai pemilik file. Hak istimewa ini diperlukan oleh rutinitas RegLoadKey dan RegUnLoadKey mode pengguna yang menambahkan atau menghapus hive dari registri. Hak akses berikut diberikan jika hak istimewa ini ditahan:

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
DELETE

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Pulihkan file dan direktori".

SeShutdownPrivilege

Hak istimewa yang diperlukan untuk mematikan sistem lokal.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Matikan sistem".

SeDebugPrivilege

Hak istimewa yang diperlukan untuk men-debug dan menyesuaikan memori proses yang dimiliki oleh akun lain. Hak istimewa ini memungkinkan pengguna untuk melampirkan debugger ke proses apa pun. Hak istimewa ini menyediakan akses ke komponen sistem operasi yang sensitif dan penting.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Program debug".

SeAuditPrivilege

Hak istimewa yang diperlukan untuk menghasilkan entri log audit dalam log keamanan. Log keamanan dapat digunakan untuk melacak akses sistem yang tidak sah. Hak istimewa ini harus diberikan ke server yang aman.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Hasilkan audit keamanan".

SeSystemEnvironmentPrivilege

Hak istimewa yang diperlukan untuk memodifikasi RAM nonvolatile sistem yang menggunakan jenis memori ini untuk menyimpan informasi konfigurasi.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Ubah nilai lingkungan firmware".

SeChangeNotifyPrivilege

Hak istimewa yang diperlukan untuk menerima pemberitahuan perubahan pada file atau direktori. Hak istimewa ini memungkinkan pengguna untuk melewati folder yang jika tidak memiliki akses pengguna saat menavigasi jalur objek di sistem file NTFS atau di registri. Hak istimewa ini tidak memungkinkan pengguna untuk mencantumkan konten folder; ini memungkinkan pengguna hanya untuk melintasi direktorinya. Hak istimewa ini menyebabkan sistem melewati semua pemeriksaan akses traversal. Ini diaktifkan secara default untuk semua pengguna.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Melewati pemeriksaan melintasi".

SeRemoteShutdownPrivilege

Hak istimewa yang diperlukan untuk mematikan sistem dengan menggunakan permintaan jaringan. Hak istimewa ini memungkinkan pengguna mematikan komputer dari lokasi jarak jauh pada jaringan.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Matikan paksa dari sistem jarak jauh".

SeNullSid

SID null.

SeWorldSid

SID yang cocok dengan semua orang.

SeLocalSid

SID lokal.

SeCreatorOwnerSid

SID yang cocok dengan pemilik atau pembuat objek. SID ini digunakan dalam entri kontrol akses (ASE) yang dapat diwariskan.

SeCreatorGroupSid

SID yang cocok dengan grup pembuat objek. SID ini digunakan dalam ACE yang dapat diwariskan.

SeNtAuthoritySid

SID untuk otoritas Microsoft Windows NT.

SeDialupSid

SID untuk akun dial-up.

SeNetworkSid

SID untuk akun jaringan. SID ini ditambahkan ke proses token saat masuk di seluruh jaringan. Jenis masuk yang sesuai LOGON32_LOGON_NETWORK.

SeBatchSid

SID untuk proses batch. SID ini ditambahkan ke proses token saat masuk sebagai pekerjaan batch. Jenis masuk yang sesuai LOGON32_LOGON_BATCH.

SeInteractiveSid

SID untuk akun interaktif. SID ini ditambahkan ke proses token saat masuk secara interaktif. Jenis masuk yang sesuai LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

SID yang cocok dengan akun LocalSystem, akun lokal yang telah ditentukan sebelumnya yang digunakan oleh Service Control Manager. Akun ini tidak dikenali oleh subsistem keamanan. Ini memiliki hak istimewa yang luas di komputer lokal dan bertindak sebagai komputer di jaringan. Tokennya mencakup SID Windows NT AUTHORITY\SYSTEM dan BUILTIN\Administrators; akun-akun ini memiliki akses ke sebagian besar objek sistem. Nama akun di semua lokal adalah ".\LocalSystem". Nama, "LocalSystem" atau "ComputerName\LocalSystem" juga dapat digunakan. Akun ini tidak memiliki kata sandi.

Layanan yang berjalan dalam konteks akun LocalSystem mewarisi konteks keamanan Service Control Manager. Akun tidak terkait dengan akun pengguna yang masuk.

Akun LocalSystem memiliki hak istimewa berikut:

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

Sebagian besar layanan tidak memerlukan tingkat hak istimewa yang tinggi. Jika layanan Anda tidak memerlukan hak istimewa ini, dan ini bukan layanan interaktif, pertimbangkan untuk menggunakan akun LocalService atau akun NetworkService.

SeAliasAdminsSid

SID yang cocok dengan akun administrator.

SeAliasUsersSid

SID yang cocok dengan akun pengguna bawaan.

SeAliasGuestsSid

SID yang cocok dengan akun tamu.

SeAliasPowerUsersSid

SID yang cocok dengan grup pengguna daya.

SeAliasAccountOpsSid

SID yang cocok dengan akun operator akun.

SeAliasSystemOpsSid

SID yang cocok dengan grup operator sistem.

SeAliasPrintOpsSid

SID yang cocok dengan grup operator cetak.

SeAliasBackupOpsSid

SID yang cocok dengan grup operator cadangan.

SeAuthenticatedUsersSid

SID yang cocok dengan pengguna yang diautentikasi.

SeRestrictedSid

SID untuk kode terbatas.

SeAnonymousLogonSid

SID untuk akun anonim.

SeUndockPrivilege

Hak istimewa yang diperlukan untuk menghapus komputer dari stasiun docking. Hak istimewa ini memungkinkan pengguna komputer portabel untuk melepas dok komputer dengan mengklik Mulai, lalu mengklik Keluarkan PC.

SeSyncAgentPrivilege

Hak istimewa yang diperlukan untuk menyinkronkan data layanan direktori. Hak istimewa ini memungkinkan proses untuk membaca semua objek dan properti di direktori, terlepas dari perlindungan yang diatur pada objek dan properti. Hak istimewa ini diperlukan untuk menggunakan layanan sinkronisasi direktori Lightweight Directory Access Protocol (LDAP) (Dirsync). Hak istimewa ini diperlukan bagi pengendali domain untuk menggunakan layanan sinkronisasi direktori LDAP.

SeEnableDelegationPrivilege

Hak istimewa yang diperlukan untuk mengaktifkan komputer dan akun pengguna agar dipercaya untuk delegasi.

SeLocalServiceSid

SID yang cocok dengan akun LocalService, akun lokal yang telah ditentukan sebelumnya. Akun LocalService memiliki hak istimewa minimum di komputer lokal dan menyajikan kredensial anonim di jaringan. Nama akun di semua lokal adalah "NT AUTHORITY\LocalService". Akun ini tidak memiliki kata sandi. Akun LocalService memiliki subkuncinya sendiri di bawah kunci registri HKEY_USERS. Oleh karena itu, kunci registri HKEY_CURRENT_USER dikaitkan dengan akun LocalService.

Akun LocalService memiliki hak istimewa berikut:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Hak istimewa apa pun yang ditetapkan untuk pengguna dan pengguna terautentikasi

Akun LocalService tersedia di Microsoft Windows XP dan sistem operasi yang lebih baru.

SeNetworkServiceSid

SID yang cocok dengan akun NetworkService, akun lokal yang telah ditentukan sebelumnya. Akun NetworkService memiliki hak istimewa minimum pada komputer lokal dan bertindak sebagai komputer pada jaringan. Nama akun di semua lokal adalah "NT AUTHORITY\NetworkService". Akun ini tidak memiliki kata sandi.

Layanan yang berjalan dalam konteks akun NetworkService menyajikan kredensial komputer ke server jarak jauh. Secara default, token jarak jauh berisi SID untuk grup Semua Orang dan Pengguna Terautentikasi.

Akun NetworkService memiliki subkunci sendiri di bawah kunci registri HKEY_USERS. Oleh karena itu, kunci registri HKEY_CURRENT_USER dikaitkan dengan akun NetworkService.

Akun NetworkService memiliki hak istimewa berikut:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Hak istimewa apa pun yang ditetapkan untuk pengguna dan pengguna terautentikasi

SeManageVolumePrivilege

Hak istimewa yang diperlukan untuk memungkinkan pengguna non-administratif atau jarak jauh mengelola volume atau disk. Sistem operasi memeriksa hak istimewa ini dalam token akses pengguna saat proses yang berjalan dalam konteks keamanan pengguna memanggil rutinitas SetFileValidData mode pengguna.

SeImpersonatePrivilege

Hak istimewa yang diperlukan untuk meniru pengguna.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Meniru klien setelah autentikasi".

SeCreateGlobalPrivilege

Hak istimewa yang diperlukan bagi akun pengguna untuk membuat objek global dalam sesi Layanan Terminal. Perhatikan bahwa pengguna masih dapat membuat objek khusus sesi tanpa diberi hak pengguna ini. Secara default, hak istimewa ini ditetapkan untuk anggota grup Administrator, akun Sistem, dan layanan yang dimulai oleh Manajer Kontrol Layanan. Hak istimewa ini tersedia di Windows 2000 dengan Paket Layanan 4 dan yang lebih baru.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Create Global Objects".

SeTrustedCredManAccessPrivilege

Hak istimewa yang diperlukan untuk mengakses Credential Manager sebagai penelepon tepercaya.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Access Credential Manager sebagai pemanggil tepercaya".

SeRelabelPrivilege

Hak istimewa yang diperlukan untuk memodifikasi tingkat integritas wajib objek.

Aplikasi mode pengguna mewakili hak istimewa ini sebagai string kanan pengguna berikut: "Ubah label objek".