[Vadikan]

Цитата ASFK1987:

Как я понял, права пользователей задаются либо на файлы/папки/ветки реестра, либо в политиках безопасности "Локальная политика безопасности – Локальные политики – Назначение прав пользователя", других мест не нашёл »

Вы смешиваете в одну кучу разные понятия.

На основе групп:
а) разрешения на доступ к объектам файловой системы и реестра контролируются с помощью списков контроля доступа (ACL)
б) права на выполнение тех или иных действий контролируются с помощью локальной политики безопасности

Вам светит увлекательное чтение: Access Control Overview и вытекающие из этого раздела главы. На русском языке аналогичная информация доступна только для Windows 2003. Общие концепции не поменялись, но и различий наберется.

Что касается вопросов, то совершенно непонятно, зачем это нужно. Например, вопрос 3 попросту эквивалентен "Как мне сделать пользователя админом, не делая его админом?"
См. также Неправильно поставлена задача

[ASFK1987]

Естественно, я сначала это всё прочитал.
Да, я знаю, что есть "объектные привилегии" и "системные привилегии" (будем называть их так), по аналогии с базами данных. Но после прочтения так и не осознал, действительно ли абсолютно всё контролируется только ими или нет. А также нет ли ещё чего-то третьего, помимо этих двух видов "прав".
Вопросы задал как раз из образовательных целей, так как после прочтения документации не всё ясно.
Вопрос №1 в явном виде спрашивает, действительно ли с помощью раздачи объектных и системных привилегий (+ мб каких-то ещё типов прав) можно контролировать абсолютно всё что угодно? Или всё-таки есть какие-то тонкости, т. е. определённые вещи возможно сделать только пользователям группы Administrators?
Вопрос №2 спрашивает о существовании ещё каких-то видов привилегий в Windows (как я сам понял - таковых нет, но мало ли).
Вопросы №3 и №4 заданы для того, что непонятно, какие объектные или системные привилегии отвечают за изменения членств в локальных (не AD) группах, а также за изменение локальных политик. Например, в списке системных привилегий ничего подобного нет. Т. е. где написано, что именно группа Administrators имеет право изменять членства в группах? В правах на какой-то файл или ветки реестра? То же самое к политикам.

[exo]

Цитата ASFK1987:

В правах на какой-то файл или ветки реестра? »

читать дальше »

[ASFK1987]

Это первое, что я проверил, но нет, это не то.
Да и из названия понятно, что данная привилегия даёт права на изменения владельца (а дальше, после того как стал владельцем, можно и любые права себе назначить), но напрямую не даёт других каких-то прав.

Код:

C:\Windows\system32>whoami /priv

Сведения о привилегиях
----------------------

Имя привилегии                Описание                                   Область, край
============================= ========================================== =============
SeTakeOwnershipPrivilege      Смена владельцев файлов и других объектов  Отключен
SeShutdownPrivilege           Завершение работы системы                  Отключен
SeChangeNotifyPrivilege       Обход перекрестной проверки                включен
SeUndockPrivilege             Отключение компьютера от стыковочного узла Отключен
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса        Отключен
SeTimeZonePrivilege           Изменение часового пояса                   Отключен

C:\Windows\system32>net user test test /add
Системная ошибка 5.

Отказано в доступе.

[Vadikan]

Цитата ASFK1987:

Естественно, я сначала это всё прочитал. »

Гм... Windows Internals, Fifth Edition by Mark E. Russinovich, David A. Solomon and Alex Ionescu, главу 6, раздел "Account Rights and Privileges" тоже читали?

[exo]

ASFK1987, я вообще-то указал - В правах на какой-то файл или ветки реестра?
после этой политик "запуск от администратора" у простого пользователя появляется.

[ASFK1987]

Цитата Vadikan:

Гм... Windows Internals, Fifth Edition by Mark E. Russinovich, David A. Solomon and Alex Ionescu, главу 6, раздел "Account Rights and Privileges" тоже читали? »

Да, сейчас прочитал эти несколько десятков страниц из 6 главы (после вашего поста).
Кое-что прояснилось, но всё равно ответов на некоторые вопросы нет. А именно, например, так и непонятно, что отвечает за изменения членства в группах - какие-то системные привилегии или права на файлы/ветки реестра? Может, конечно, ответ есть в других частях или даже главах данной 6 главы, но я прочитал пока именно то, что вы написали.

В книге, кстати, сказано, что некоторые системные привилегии можно считать супер-привилегиями, так как обладание ими означает, что пользователь по сути может получить полный доступ к компьютеру. Например, привилегия SeTakeOwnershipPrivilege одна из таких. "...This wоuld аllоw thе оwnеr tо sее sеnsitivе dаtа аnd tо еvеn rеplаcе systеm filеs thаt
еxеcutе аs pаrt оf nоrmаl systеm оpеrаtiоn, suсh аs Lsаss, with his оwn prоgrаms thаt
grаnt а usеr еlеvаtеd privilеgеs." Т. е. предложенный метод "эксплойта" - это подмена каких-то системных файлов, которые затем дадут пользователю повышенные права (например, включат его в группу Администраторы). Но если бы включение в группу администраторов можно было сделать путём выдавания прав на какой-то файл/ветвь реестра, то никаких подмен системных файлов делать бы не пришлось - достаточно было бы просто выдать себе права на эти объекты и затем добавить себя в группу Администраторов, тем самым и получить повышенные права.
С другой стороны, среди системных привилегий больше нет такой, которая могла бы отвечать за изменения членств в группах, об этом вообще нигде даже близко не говорится.
В итоге так и непонятно, какие права надо давать пользователю, чтобы он мог изменять членства локальных групп - и системных привилегий таких нет, и с объектными вроде как не получается (по косвенным свидетельствам из абзаца выше).

[Vadikan]

Цитата ASFK1987:

В итоге так и непонятно, какие права надо давать пользователю, чтобы он мог изменять членства локальных групп »

Права администратора