struttura SE_EXPORTS (ntifs.h)

Articolo
04/23/2024

La struttura SeExports è una struttura SE_EXPORTS statica esterna di grandi dimensioni che definisce una serie di costanti di sicurezza note per i valori dei privilegi e gli identificatori di sicurezza.

Sintassi

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Members

SeCreateTokenPrivilege

Privilegio necessario per creare un token di accesso primario.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Create un oggetto token".

SeAssignPrimaryTokenPrivilege

Privilegio necessario per assegnare il token primario di un processo. Il privilegio consente a un processo padre di sostituire il token di accesso associato a un processo figlio.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Sostituisci un token a livello di processo".

SeLockMemoryPrivilege

Privilegio necessario per bloccare le pagine fisiche in memoria. Questo privilegio consente a un processo di mantenere i dati in memoria fisica, impedendo al sistema di eseguire il paging dei dati nella memoria virtuale in un disco.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Obbligatorio per bloccare le pagine fisiche in memoria".

SeIncreaseQuotaPrivilege

Privilegio necessario per aumentare la quota assegnata a un processo. Il privilegio consente a un processo che ha accesso a un secondo processo per aumentare la quota del processore assegnata al secondo processo. Questo privilegio è utile per l'ottimizzazione del sistema, ma può essere improprio.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Regolare le quote di memoria per un processo".

SeUnsolicitedInputPrivilege

Privilegio necessario per leggere l'input non richiesto da un dispositivo terminale. Questo privilegio è obsoleto e inutilizzato. Non ha alcun effetto sul sistema.

SeTcbPrivilege

Privilegio che identifica il titolare come parte della base computer attendibile. In genere, solo i servizi di autenticazione di basso livello richiedono questo privilegio. A questo privilegio vengono concessi alcuni sottosistemi protetti attendibili.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Agire come parte del sistema operativo".

SeSecurityPrivilege

Privilegio necessario per eseguire una serie di funzioni correlate alla sicurezza, ad esempio il controllo e la visualizzazione dei messaggi di controllo. Questo privilegio identifica il titolare come operatore di sicurezza. Questo privilegio consente a un utente di specificare le opzioni di controllo dell'accesso agli oggetti per singole risorse, inclusi file, oggetti Active Directory e chiavi del Registro di sistema. Un utente con questo privilegio può anche visualizzare e cancellare il log di sicurezza da Visualizzatore eventi.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Gestire il controllo e il log di sicurezza".

SeTakeOwnershipPrivilege

Privilegio necessario per acquisire la proprietà di un oggetto senza concedere l'accesso discrezionale. Questo privilegio consente all'utente di assumere la proprietà di qualsiasi oggetto a protezione diretta nel sistema, inclusi oggetti, file e cartelle di Active Directory, stampanti, chiavi del Registro di sistema, processi e thread. Questo privilegio consente di impostare il valore del proprietario solo su quei valori che il titolare potrebbe assegnare legittimamente come proprietario di un oggetto.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Acquisire la proprietà dei file o di altri oggetti".

SeLoadDriverPrivilege

Privilegio necessario per caricare o scaricare un driver di dispositivo. Questo privilegio consente a un utente di installare e rimuovere driver per i dispositivi Plug and Play. Questo privilegio non è necessario se esiste già un driver firmato per il nuovo hardware nel file Driver.cab nel computer.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Caricare e scaricare i driver di dispositivo".

SeCreatePagefilePrivilege

Privilegio necessario per creare e modificare le dimensioni di un file di paging.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Create un file di pagina".

SeIncreaseBasePriorityPrivilege

Privilegio necessario per aumentare la priorità di base di un processo. Questo privilegio consente a un utente di aumentare la classe di priorità di base di un processo. L'aumento della priorità relativa all'interno di una classe di priorità non è un'operazione con privilegi e non richiede questo privilegio.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Aumentare la priorità di pianificazione".

SeSystemProfilePrivilege

Privilegio necessario per raccogliere informazioni di profilatura per l'intero sistema. Il privilegio consente a un utente di campionare le prestazioni dei processi di sistema.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Profila le prestazioni del sistema".

SeSystemtimePrivilege

Privilegio necessario per modificare l'ora di sistema. Questo privilegio consente all'utente di regolare l'ora dell'orologio interno del computer. Questo privilegio non è necessario per modificare il fuso orario o altre caratteristiche di visualizzazione dell'ora di sistema.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Modificare l'ora di sistema".

SeProfileSingleProcessPrivilege

Privilegio necessario per raccogliere informazioni di profilatura per un singolo processo. Il privilegio consente a un utente di campionare le prestazioni di un processo dell'applicazione.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Profilo singolo processo".

SeCreatePermanentPrivilege

Privilegio necessario per creare un oggetto permanente. Questo privilegio consente a un processo di creare un oggetto directory nel gestore oggetti. Questo privilegio è utile per i componenti in modalità kernel che estendono lo spazio dei nomi dell'oggetto. I componenti in esecuzione in modalità kernel hanno questo privilegio intrinsecamente.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Create oggetti condivisi permanenti".

SeBackupPrivilege

Privilegio necessario per eseguire operazioni di backup. Questo privilegio consente all'utente di aggirare le autorizzazioni di file e directory per eseguire il backup del sistema. Questo privilegio fa sì che il sistema conceda tutto il controllo di accesso in lettura a qualsiasi file, indipendentemente dall'elenco di controllo di accesso (ACL) specificato per il file. Qualsiasi richiesta di accesso diversa da read viene comunque valutata con l'ACL. Questo privilegio è richiesto dalle routine RegSaveKey e RegSaveKeyEx in modalità utente. Se si dispone di questo privilegio, vengono concessi i diritti di accesso seguenti:

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Backup di file e directory".

SeRestorePrivilege

Privilegio necessario per eseguire operazioni di ripristino. Questo privilegio consente a un utente di aggirare le autorizzazioni di file e directory durante il ripristino di file e directory di cui è stato eseguito il backup e di impostare qualsiasi entità di sicurezza valida come proprietario di un oggetto. Questo privilegio fa sì che il sistema conceda tutto il controllo di accesso in scrittura a qualsiasi file, indipendentemente dall'ACL specificato per il file. Qualsiasi richiesta di accesso diversa dalla scrittura viene comunque valutata con l'ACL. Inoltre, questo privilegio consente di impostare qualsiasi SID di gruppo o utente valido come proprietario di un file. Questo privilegio è richiesto dalle routine RegLoadKey e RegUnLoadKey in modalità utente che aggiungono o rimuovono un hive dal Registro di sistema. Se si dispone di questo privilegio, vengono concessi i diritti di accesso seguenti:

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
DELETE

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Ripristina file e directory".

SeShutdownPrivilege

Privilegio necessario per arrestare un sistema locale.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Arresta il sistema".

SeDebugPrivilege

Privilegio necessario per eseguire il debug e regolare la memoria di un processo di proprietà di un altro account. Questo privilegio consente all'utente di collegare un debugger a qualsiasi processo. Questo privilegio consente l'accesso a componenti sensibili e critici del sistema operativo.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa di destra dell'utente seguente: "Debug programmi".

SeAuditPrivilege

Privilegio necessario per generare voci del log di controllo nel log di sicurezza. Il log di sicurezza può essere usato per tracciare l'accesso al sistema non autorizzato. Questo privilegio deve essere assegnato ai server protetti.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Genera controlli di sicurezza".

SeSystemEnvironmentPrivilege

Privilegio necessario per modificare la RAM non volatile dei sistemi che usano questo tipo di memoria per archiviare le informazioni di configurazione.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Modificare i valori dell'ambiente firmware".

SeChangeNotifyPrivilege

Privilegio necessario per ricevere notifiche di modifiche ai file o alle directory. Questo privilegio consente all'utente di passare cartelle a cui l'utente altrimenti non ha accesso durante lo spostamento di un percorso dell'oggetto nel file system NTFS o nel Registro di sistema. Questo privilegio non consente all'utente di elencare il contenuto di una cartella; consente all'utente di attraversare solo le directory. Questo privilegio fa sì che il sistema ignora tutti i controlli di accesso incrociati. È abilitato per impostazione predefinita per tutti gli utenti.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Ignora il controllo dell'attraversamento".

SeRemoteShutdownPrivilege

Privilegio necessario per arrestare un sistema usando una richiesta di rete. Questo privilegio consente a un utente di arrestare un computer da una posizione remota nella rete.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Forza l'arresto da un sistema remoto".

SeNullSid

SID null.

SeWorldSid

SID che corrisponde a tutti.

SeLocalSid

SID locale.

SeCreatorOwnerSid

SID corrispondente al proprietario o all'autore di un oggetto. Questo SID viene usato nelle voci di controllo di accesso ereditabili (AES).

SeCreatorGroupSid

SID corrispondente al gruppo di creatore di un oggetto. Questo SID viene usato negli ACL ereditabili.

SeNtAuthoritySid

SID per l'autorità Microsoft Windows NT.

SeDialupSid

SID per un account di accesso esterno.

SeNetworkSid

SID per un account di rete. Questo SID viene aggiunto al processo di un token quando si connette tramite una rete. Il tipo di accesso corrispondente è LOGON32_LOGON_NETWORK.

SeBatchSid

SID per un processo batch. Questo SID viene aggiunto al processo di un token quando si connette come processo per batch. Il tipo di accesso corrispondente è LOGON32_LOGON_BATCH.

SeInteractiveSid

SID per un account interattivo. Questo SID viene aggiunto al processo di un token quando si connette in modo interattivo. Il tipo di accesso corrispondente è LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

SID corrispondente all'account LocalSystem, un account locale predefinito usato da Service Control Manager. Questo account non viene riconosciuto dal sottosistema di sicurezza. Ha privilegi estesi sul computer locale e funge da computer in rete. Il token include i SID DI Windows NT AUTHORITY\SYSTEM e BUILTIN\Administrators; questi account hanno accesso alla maggior parte degli oggetti di sistema. Il nome dell'account in tutte le impostazioni locali è ".\LocalSystem". È anche possibile usare il nome "LocalSystem" o "ComputerName\LocalSystem". Questo account non ha una password.

Un servizio eseguito nel contesto dell'account LocalSystem eredita il contesto di sicurezza di Service Control Manager. L'account non è associato a alcun account utente connesso.

L'account LocalSystem ha i privilegi seguenti:

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

La maggior parte dei servizi non ha bisogno di un tale livello di privilegi elevati. Se il servizio non ha bisogno di questi privilegi e non è un servizio interattivo, è consigliabile usare l'account LocalService o l'account NetworkService.

SeAliasAdminsSid

SID corrispondente all'account amministratore.

SeAliasUsersSid

SID corrispondente agli account utente predefiniti.

SeAliasGuestsSid

SID corrispondente all'account guest.

SeAliasPowerUsersSid

SID corrispondente al gruppo di utenti di alimentazione.

SeAliasAccountOpsSid

SID corrispondente all'account degli operatori dell'account.

SeAliasSystemOpsSid

SID corrispondente al gruppo di operatori di sistema.

SeAliasPrintOpsSid

SID corrispondente al gruppo di operatori di stampa.

SeAliasBackupOpsSid

SID corrispondente al gruppo di operatori di backup.

SeAuthenticatedUsersSid

SID corrispondente a qualsiasi utente autenticato.

SeRestrictedSid

SID per il codice con restrizioni.

SeAnonymousLogonSid

SID per l'account anonimo.

SeUndockPrivilege

Privilegio necessario per rimuovere un computer da una stazione di ancoraggio. Questo privilegio consente all'utente di un computer portatile di scollegare il computer facendo clic su Avvia e quindi facendo clic su Eject PC.

SeSyncAgentPrivilege

Privilegio necessario per sincronizzare i dati del servizio directory. Questo privilegio consente a un processo di leggere tutti gli oggetti e le proprietà nella directory, indipendentemente dalla protezione impostata sugli oggetti e sulle proprietà. Questo privilegio è necessario per usare i servizi di sincronizzazione della directory LDAP (Lightweight Directory Access Protocol) (Dirsync). Questo privilegio è necessario per un controller di dominio per usare i servizi di sincronizzazione della directory LDAP.

SeEnableDelegationPrivilege

Privilegio necessario per abilitare l'attendibilità degli account computer e utente.

SeLocalServiceSid

SID corrispondente all'account LocalService, un account locale predefinito. L'account LocalService ha privilegi minimi nel computer locale e presenta credenziali anonime nella rete. Il nome dell'account in tutte le impostazioni locali è "NT AUTHORITY\LocalService". Questo account non ha una password. L'account LocalService ha una propria sottochiave nella chiave del Registro di sistema HKEY_USERS. Pertanto, la chiave del Registro di sistema HKEY_CURRENT_USER è associata all'account LocalService.

L'account LocalService ha i privilegi seguenti:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tutti i privilegi assegnati agli utenti e agli utenti autenticati

L'account LocalService è disponibile nei sistemi operativi Microsoft Windows XP e versioni successive.

SeNetworkServiceSid

SID corrispondente all'account NetworkService, un account locale predefinito. L'account NetworkService ha privilegi minimi nel computer locale e funge da computer in rete. Il nome dell'account in tutte le impostazioni locali è "NT AUTHORITY\NetworkService". Questo account non ha una password.

Un servizio eseguito nel contesto dell'account NetworkService presenta le credenziali del computer ai server remoti. Per impostazione predefinita, il token remoto contiene i SID per i gruppi Tutti e Utenti autenticati.

L'account NetworkService ha una propria sottochiave nella chiave del Registro di sistema HKEY_USERS. Pertanto, la chiave del Registro di sistema HKEY_CURRENT_USER è associata all'account NetworkService.

L'account NetworkService ha i privilegi seguenti:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tutti i privilegi assegnati agli utenti e agli utenti autenticati

SeManageVolumePrivilege

Privilegio necessario per consentire a un utente non amministrativo o remoto di gestire volumi o dischi. Il sistema operativo verifica la presenza di questo privilegio nel token di accesso di un utente quando un processo in esecuzione nel contesto di sicurezza dell'utente chiama la routine SetFileValidData in modalità utente.

SeImpersonatePrivilege

Privilegio necessario per rappresentare un utente.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa di destra dell'utente seguente: "Rappresenta un client dopo l'autenticazione".

SeCreateGlobalPrivilege

Privilegio necessario per un account utente per creare oggetti globali in una sessione di Servizi terminal. Si noti che gli utenti possono comunque creare oggetti specifici della sessione senza essere assegnati a questo diritto utente. Per impostazione predefinita, questo privilegio viene assegnato ai membri del gruppo Administrators, all'account di sistema e ai servizi avviati da Service Control Manager. Questo privilegio è disponibile in Windows 2000 con Service Pack 4 e versioni successive.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Create oggetti globali".

SeTrustedCredManAccessPrivilege

Privilegio necessario per accedere a Gestione credenziali come chiamante attendibile.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Access Credential Manager as a trusted caller".

SeRelabelPrivilege

Privilegio necessario per modificare il livello di integrità obbligatorio di un oggetto.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Modificare un'etichetta di oggetto".