用户权限
权限是用户帐户执行特定系统相关操作的权利,例如关闭计算机或更改系统时间。您可以使用权限管理功能分配(启用)或拒绝(禁用)权限。
在此部分:
用户权限策略
默认情况下,“提升权限”策略将应用于新规则项目。提升某个项目的权限后,所选项目将获得更多的权限,不需要管理员身份即可运行。
用户权限策略可作为默认“提升权限”规则的替代方法,可对其自定义以满足组织的需要。策略可以让单个用户成为“高级用户”组的成员,也可以从管理员组中删除用户成员身份。
创建“用户权限策略”后,您可以使用以下三个选项卡来自定义策略:
-
组成员身份 -“组成员身份”可用于指定应用策略时要删除或添加的 Windows 用户组。将组操作添加到策略内容里,然后指定是否将所选组应用到新创建的策略中或者是否要删除其成员身份。
给用户组分配成员身份时,只会添加已选择的组,不会包含任何嵌套组。例如,如果您将组成员身份分配给“域管理员”,则不会自动包含“本地管理员组”,因此需要单独添加。
- 权限 - 权限是用户帐户执行特定系统相关操作的权利,例如关闭计算机或更改系统时间。您可以使用“用户权限管理”功能来启用、禁用或删除权限:
- 无更改 - 保留原始令牌的特权。
- 已启用 - 将令牌中的标记设置为已启用。
- 已禁用 - 将令牌中的标记设置为已禁用。
- 删除 - 从令牌中删除权限。您无法撤消此选项。
- 属性 - 在“属性”选项卡中添加对策略的描述。如有需要,您可以强制自定义管理员令牌使用中完整性,而不是默认使用高完整性。
创建用户权限管理策略
- 选择库 > 用户权限策略节点。
- 在“权限管理”功能区上选择添加策略。
- 选择并右键单击新策略,然后选择重命名。
- 为策略提供直观的名称。
- 请执行以下一项或多项操作:
- 使用“组成员身份”选项卡可以指定运行应用程序的凭据,例如,哪个组以及是添加还是删除该组的成员身份。添加成员身份后,能允许用户以组中成员的权限来运行应用程序。
- 使用“权限”选项卡可精细控制用户对应用程序的权限。
- 使用“属性”选项卡指定完整性级别。具有低或中完整性级别的应用程序无法与具有高完整性级别的应用程序互操作。
自 Application Control 2020.3 起,“属性”选项卡会添加一个复选框。此复选框让您能够定制管理员令牌,为令牌分配中完整性级别,而不是高完整性级别。
“用户权限管理”策略可供重复使用。
将组成员身份添加到策略
标准用户通常没有管理权限。以下过程演示了如何为“支持台”操作员创建“用户权限策略”。用户权限管理提供了在所选组添加或删除成员身份的功能。创建配置的第一步是创建“用户权限策略”并指定成员身份(在本例中为添加成员身份)。
- 在 Application Control 控制台中,选择“库”下的用户权限策略节点。
-
在“权限管理”功能区中,单击添加策略。
新策略将添加到导航窗格中的“用户权限策略”节点下。
如需对“用户权限策略”节点下的策略进行排序,请右键单击该节点,然后选择“升序排序”或“降序排序”。
- 在工作区中,单击新策略名称可编辑该名称。
- 输入策略的名称,例如 SupportDesk。
-
在“权限管理”功能区中,单击添加组操作。
将显示“帐户选择”对话框。
-
输入或导航到 SupportDesk 组,然后单击确定。
该组将添加到策略工作区中的“组成员身份”选项卡中。
- 在选项卡中,确保“添加成员身份”显示在“操作”列中。此为默认设置
为策略分配权限
- 选择库 > 用户权限策略节点。
- 在权限管理功能区上选择添加策略。
- 选择并右键单击新策略,然后选择重命名。
- 为策略提供直观的名称。
- 选择权限选项卡可精细控制用户对应用程序的权限。
- 确定要分配的权限。
- 单击权限的操作列中的下拉箭头,然后选择启用。
示例:创建允许下载 Microsoft OneDrive 的配置
步骤 1 创建提升权限到管理员级别的策略
- 导航到库 > 用户权限策略节点。
- 选择添加策略功能区按钮。
- 选择并右键单击“用户权限策略”节点下的新策略,然后选择重命名。
- 输入策略的直观名称,例如提升权限。
- 选择添加组操作功能区按钮。
- 输入管理员用户组的名称,或使用“浏览”按钮导航到该帐户。
- 在“操作”列中选择添加成员身份。
步骤 2 将应用程序添加到用户权限节点
- 选择特定组的用户权限节点,例如“所有人”组。
-
选择添加项目 > 应用程序 > 文件。
将显示“为用户权限管理添加文件”对话框。
- 在“文件”字段中输入要添加的 Web 安装的名称,例如 onedrive.exe,或点击浏览按钮找到并选中该文件。
- 在“策略”字段中,点击下拉箭头图标,然后选择所需的策略(在此示例中,选择提升)。
- 选择应用到子进程。
- 选择作为可信所有者安装。
- 单击添加。
步骤 3 将签名添加到“允许的项目”列表中
- 选择同一组的允许的项目节点。
-
选择添加项目 > 允许 > 签名项目。
将显示“添加签名”对话框。
- 导航到 Web 安装,然后单击打开。
- 保存配置。
还需要考虑其他可配置项。例如,对于安装 ActiveX,您需要允许运行 ActiveX 文件以及控件调用的其他任何可执行文件。您需要考虑“进程”规则、可信供应商、任何数字证书、允许的项目、提升的项目等等。
权限
下表提供了完整的权限列表,并说明了系统组件检查权限的方式和时间。
| 权限 | 用户权限 | 权限使用 |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | 替换进程级令牌 | 由设置进程令牌的各种组件(例如 NtSetInformationJob)检查。 |
| SeAuditPrivilege | 生成安全审核 | 需要使用 ReportEvent API 为安全事件日志生成事件。 |
| SeBackupPrivilege | 备份文件和目录 | 使 NTFS 授予对任何文件或目录的以下访问权限,不管存在的安全描述符如何。 READ_CONTROL ACCESS_SYSTEM_SECURITY FILE_GENERIC_READ FILE_TRAVERSE 打开备份文件时,调用者必须指定 FILE_FLAG_BACKUP_SEMANTICS 标志。还允许在使用时相应地访问注册表项。 |
| SeChangeNotifyPrivilege | 忽略遍历检查 | 通过使用 NTFS 可避免检查多级目录查找中的中间目录的权限。当应用程序注册更改文件系统结构的通知时,也可使用此文件系统。 |
| SeCreateGlobalPrivilege | 创建全局对象 | 需要在对象管理器的命名空间的目录中创建节和符号链接对象的进程,该命名空间将分配给和调用者不同的会话。 |
| SeCreatePagefilePrivilege | 创建页面文件 | 由 NtCreatePagingFile 进行检查,这是创建新分页文件的函数。 |
| SeCreatePermanentPrivilege | 创建永久共享对象 | 创建永久对象时,由对象管理器检查(当没有更多的引用时,该永久对象不会被取消分配)。 |
| SeCreateSymbolicLinkPrivilege | 创建符号链接 | 通过 CreateSymbolicLink API 在文件系统上创建符号链接时,由 NTFS 检查。 |
| SeCreateTokenPrivilege | 创建令牌 | NtCreateToken 是创建令牌对象的函数,将检查此权限。 |
| SeDebugPrivilege | 调试程序 | 如果调用者启用了此权限,则 Process Manager 允许使用 NtOpenProcess 或 NtOpenThread 访问任何进程或线程,不管进程或线程的安全描述符(受保护的进程除外)如何。 |
| SeEnableDelegationPrivilege | 信任计算机和用户帐户以进行委派 | 由 Active Directory 服务用于委派经过身份验证的凭据。 |
| SeImpersonatePrivilege | 身份验证后模拟客户端 | 当线程需要使用令牌进行模拟时,Process Manager 会检查此情况,并且令牌代表的是与线程的进程令牌不同的用户。 |
| SeIncreaseBasePriorityPrivilege | 增加调度优先级 | 由 Process Manager 检查并且需要提高进程的优先级。 |
| SeIncreaseQuotaPrivilege | 调整进程的内存配额 | 在更改进程的工作集阈值、进程的分页和非分页缓冲池配额以及进程的 CPU 速率配额时强制执行。 |
| SeIncreaseWorkingSetPrivilege | 增加进程工作集 | 需要调用 SetProcessWorkingSetSize 来增加最小工作集。这将间接允许进程使用 VirtualLock 锁定到最小工作内存集。 |
| SeLoadDriverPrivilege | 加载和卸载设备驱动程序 | 由 NtLoadDriver 和 NtUnloadDriver 驱动程序函数进行检查。 |
| SeLockMemoryPrivilege | 锁定内存中的页面 | 由 NtLockVirtualMemory 进行检查,这是 VirtualLock 的内核实现。 |
| SeMachineAccountPrivilege | 添加工作站到域 | 在帐户域中创建计算机帐户时,由域控制器上的“安全帐户管理器”检查。 |
| SeManageVolumePrivilege | 执行卷维护任务 | 在打开卷的操作期间,由文件系统驱动程序强制执行,这是执行磁盘检查和碎片整理所必需的操作。 |
| SeProfileSingleProcessPrivilege | 配置单一进程 | 通过 NtQuerySystemInformation API 请求单个进程的信息时,由 Superfetch 和预取器检查。 |
| SeRelabelPrivilege | 修改对象标签 | 当提高另一个用户拥有的对象的完整性级别时,或者当对象高于调用者令牌的完整性级别,尝试提高该对象的完整性级别时,由 SRM 检查。 |
| SeRemoteShutdownPrivilege | 通过远程系统强制关闭 | Winlogon 检查该函数的远程调用者是否具有此权限。 |
| SeRestorePrivilege | 还原文件和目录 | 此权限使 NTFS 授予对任何文件或目录的以下访问权限,不管存在的安全描述符如何: WRITE_DAC WRITE_OWNER ACCESS_SYSTEM_SECURITY FILE_GENERIC_WRITE FILE_ADD_FILE FILE_ADD_SUBDIRECTORY 删除 打开备份文件时,调用者必须指定 FILE_FLAG_BACKUP_SEMANTICS 标志。还允许在使用时相应地访问注册表项。 |
| SeSecurityPrivilege | 管理审核和安全日志 | 需要访问安全描述符的 SACL、读取并清除安全描述符以及读取并清除安全事件日志。 |
| SeShutdownPrivilege | 关闭系统 | 此权限由 NtShutdownSystem 和 NtRaiseHardError 进行检查,后者将在交互式控制台上显示系统错误的对话框。 |
| SeSyncAgentPrivilege | 同步目录服务数据 | 需要使用 LDAP 目录同步服务,并允许持有者读取目录中的所有对象和属性,不管如何保护对象和属性。 |
| SeSystemEnvironmentPrivilege | 修改固件环境变量 | NtSetSystemEnvironmentValue 和 NtQuerySystemEnvironmentValue 需要使用 HAL 修改和读取固件环境变量。 |
| SeSystemProfilePrivilege | 分析系统性能 | 由 NtCreateProfile 进行检查,该函数用于执行系统的分析。例如这可由 Kernprof 工具使用。 |
| SeSystemtimePrivilege | 更改系统时间 | 需要更改时间或日期 |
| SeTakeOwnership | 获取文件和其他对象的所有权 | 需要获取对象的所有权而不获得自由访问权限。 |
| SeTcbPrivilege | 作为操作系统的一部分 | 当“即插即用”管理器为创建和管理“即插即用”事件,在令牌中设置会话 ID 时,由安全参考监视器进行检查,并调用 BroadcastSystemMessageEx 。 |
| SeTimeZonePrivilege | 更改时区 | 需要更改时区。 |
| SeTrustedCredManAccessPrivilege | 以可信调用者身份访问凭据管理器 | 由凭证管理器进行检查并验证是否应该信任带有可以用纯文本形式查询的凭据信息的调用者。仅默认授予 Winlogon。 |
| SeUndockPrivilege | 从扩展坞中删除计算机 | 当移除计算机或发出弹出设备请求时,由用户模式下的“即插即用”管理器进行检查。 |
| SeUnsolicitedInputPrivilege | 从终端设备接收非请求数据 | Windows 目前不使用此权限。 |