Для любого объекта Windows вы можете создать

Обновлено: 21.11.2024

Описывает рекомендации, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности "Создать объект токена".

Ссылка

Этот параметр политики определяет, какие учетные записи процесс может использовать для создания токена и какие учетные записи он может затем использовать для получения доступа к локальным ресурсам, когда процесс использует NtCreateToken() или другие API для создания токенов.

Когда пользователь входит в систему на локальном устройстве или подключается к удаленному устройству по сети, Windows создает маркер доступа пользователя. Затем система проверяет токен, чтобы определить уровень привилегий пользователя. Когда вы отзываете привилегию, изменение немедленно записывается, но оно не отражается в маркере доступа пользователя до тех пор, пока пользователь в следующий раз не войдет в систему или не подключится.

Возможные значения

  • Определяемый пользователем список аккаунтов
  • Не определено

Рекомендации

  • Это право пользователя используется внутри операционной системы. Если в этом нет необходимости, не назначайте это право пользователю, группе или процессу, отличному от локальной системы.

Местоположение

Конфигурация компьютера\Настройки Windows\Настройки безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Это право пользователя используется внутри операционной системы. По умолчанию он не назначается ни одной группе пользователей.

В следующей таблице перечислены фактические и действующие значения политики по умолчанию. Значения по умолчанию также перечислены на странице свойств политики.

Управление политикой

Для вступления в силу этого параметра политики перезапуск устройства не требуется.

Любое изменение назначения прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи.

Групповая политика

Параметры применяются в следующем порядке через объект групповой политики (GPO), который перезапишет параметры на локальном компьютере при следующем обновлении групповой политики:

  1. Настройки локальной политики
  2. Настройки политики сайта
  3. Настройки политики домена
  4. Настройки политики подразделения

Если локальная настройка выделена серым цветом, это означает, что объект групповой политики в настоящее время управляет этой настройкой.

Соображения безопасности

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.

Уязвимость

Внимание: учетная запись пользователя, которой предоставлено это право пользователя, имеет полный контроль над системой, и это может привести к ее компрометации. Мы настоятельно рекомендуем вам не назначать это право никаким учетным записям пользователей.

Windows проверяет маркер доступа пользователя, чтобы определить уровень привилегий пользователя. Маркеры доступа создаются, когда пользователи входят в систему на локальном устройстве или подключаются к удаленному устройству по сети. Когда вы отзываете привилегию, изменение немедленно записывается, но оно не отражается в маркере доступа пользователя до тех пор, пока пользователь не войдет в систему или не подключится в следующий раз. Пользователи, имеющие возможность создавать или изменять токены, могут изменить уровень доступа для любой учетной записи на компьютере, если они в данный момент вошли в систему. Они могут повысить свои привилегии или создать условия DoS.

Контрмеры

Не назначайте право пользователя на создание объекта маркера каким-либо пользователям. Процессы, которым требуется это право пользователя, должны использовать учетную запись локальной системы, которая уже включает его, а не отдельную учетную запись пользователя, которой назначено это право пользователя.

Описывает рекомендации, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности "Создание глобальных объектов".

Ссылка

Этот параметр политики определяет, какие пользователи могут создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать объекты, относящиеся к их собственному сеансу, если у них нет этого права пользователя.

Глобальный объект — это объект, созданный для использования любым количеством процессов или потоков, даже тех, которые не запущены в рамках сеанса пользователя. Службы удаленных рабочих столов используют глобальные объекты в своих процессах для упрощения подключений и доступа.

Возможные значения

  • Определяемый пользователем список аккаунтов
  • Аккаунты по умолчанию перечислены ниже

Рекомендации

Местоположение

Конфигурация компьютера\Настройки Windows\Настройки безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию этим правом обладают члены группы администраторов, а также учетные записи локальной службы и сетевой службы в поддерживаемых версиях Windows. Служба включена для обеспечения обратной совместимости с более ранними версиями Windows.

В следующей таблице перечислены фактические и действующие значения политики по умолчанию. Значения по умолчанию также перечислены на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Политика домена по умолчанию< /td> Не определено
Политика контроллера домена по умолчанию Не определено
Стандартный -Настройки сервера Alone по умолчанию Не определены
Действующие настройки контроллера домена по умолчанию Локальная система
Эффективные настройки рядового сервера по умолчанию Локальная система
Эффективные настройки клиентского компьютера по умолчанию Локальная система
Тип сервера или объект групповой политики Значение по умолчанию
Политика домена по умолчанию< /td> Не определено
Политика контроллера домена по умолчанию Администраторы
Локальная служба
Сетевая служба
Служба
Настройки автономного сервера по умолчанию Администраторы
Локальная служба
Сетевая служба
Сервис
Действующие настройки контроллера домена по умолчанию Администраторы
Локальная служба
Сетевая служба
Служба
Эффективные настройки рядового сервера по умолчанию Администраторы
Локальная служба
Сетевая служба
Служба
Клиентский компьютер Действующие настройки по умолчанию Администраторы
Локальная служба
Сетевая служба
Служба

Управление политикой

Для вступления в силу этого параметра политики перезапуск устройства не требуется.

Любое изменение назначения прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи.

Групповая политика

Параметры применяются в следующем порядке через объект групповой политики (GPO), который перезапишет параметры на локальном компьютере при следующем обновлении групповой политики:

  1. Настройки локальной политики
  2. Настройки политики сайта
  3. Настройки политики домена
  4. Настройки политики подразделения

Если локальная настройка выделена серым цветом, это означает, что объект групповой политики в настоящее время управляет этой настройкой.

Соображения безопасности

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.

Уязвимость

Право пользователя «Создание глобальных объектов» требуется для учетной записи пользователя, чтобы создавать глобальные объекты в сеансах удаленного рабочего стола. Пользователи по-прежнему могут создавать объекты, относящиеся к сеансу, без назначения этого права пользователя. Назначение этого права может представлять угрозу безопасности.

По умолчанию членам группы «Администраторы», системной учетной записи и службам, запускаемым диспетчером управления службами, назначается право пользователя «Создание глобальных объектов». Пользователи, добавленные в группу пользователей удаленного рабочего стола, также имеют это право пользователя.

Контрмеры

Если пользователям, не являющимся администраторами, необходимо получить доступ к серверу с помощью удаленного рабочего стола, добавьте пользователей в группу пользователей удаленного рабочего стола, а не назначайте им это право пользователя.

-->

Описание события:

Это событие генерируется каждый раз при создании объекта Active Directory.

Это событие генерируется только в том случае, если родительский объект имеет определенную запись в своем SACL: действие «Создать», проверка определенных классов или объектов. Примером может служить аудит действия «Создать объекты-компьютеры» для организационного подразделения.

XML события:

Необходимые роли сервера: контроллер домена Active Directory.

Минимальная версия ОС: Windows Server 2008.

Версии события: 0.

Описания полей:

Тема:

  • Идентификатор безопасности [Type = SID]: SID учетной записи, которая запросила операцию «создать объект». Средство просмотра событий автоматически пытается разрешить SID и показать имя учетной записи. Если SID не может быть разрешен, вы увидите исходные данные в событии.

Примечание. Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (участника безопасности). Каждая учетная запись имеет уникальный SID, выдаваемый органом власти, например контроллером домена Active Directory, и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в маркере доступа для идентификации пользователя во всех последующих взаимодействиях с системой безопасности Windows. Когда SID использовался в качестве уникального идентификатора для пользователя или группы, его нельзя использовать снова для идентификации другого пользователя или группы. Дополнительные сведения об SID см. в разделе Идентификаторы безопасности.

Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая запросила операцию «создать объект».

Домен учетной записи [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают следующее:

Пример доменного имени NETBIOS: CONTOSO

Полное доменное имя в нижнем регистре: contoso.local

Полное доменное имя в верхнем регистре: CONTOSO.LOCAL

Для некоторых общеизвестных принципов безопасности, таких как ЛОКАЛЬНАЯ СЛУЖБА или АНОНИМНЫЙ ВХОД, значение этого поля равно "NT AUTHORITY".

Для локальных учетных записей пользователей это поле будет содержать имя компьютера или устройства, которому принадлежит эта учетная запись, например: «Win81».

Идентификатор входа [Type = HexInt64]: шестнадцатеричное значение, которое может помочь вам сопоставить это событие с недавними событиями, которые могут содержать тот же идентификатор входа, например, "4624: вход в учетную запись выполнен успешно".

Служба каталогов:

Name [Type = UnicodeString]: имя домена Active Directory, в котором создается новый объект.

Тип [Type = UnicodeString]: имеет значение «Доменные службы Active Directory» для этого события.

Объект:

  • DN [Type = UnicodeString]: отличительное имя созданного объекта.

Примечание API LDAP ссылается на объект LDAP по его различающемуся имени (DN). DN — это последовательность относительных отличительных имен (RDN), соединенных запятыми.

RDN — это атрибут со связанным значением в форме атрибут=значение; . Вот примеры атрибутов RDN:

• DC — domainComponent

• CN — commonName

• OU — OrganizationUnitName

• O — название организации

Active Directory использует идентификаторы GUID для идентификации объектов. Например, GUID — это одно из свойств объекта, которое публикуется в глобальном каталоге. Поиск в глобальном каталоге GUID объекта «Пользователь» даст результаты, если у пользователя есть учетная запись где-то на предприятии. На самом деле, поиск любого объекта по Object-GUID может быть самым надежным способом найти объект, который вы хотите найти. Значения других свойств объекта могут изменяться, но Object-GUID никогда не меняется. Когда объекту назначается идентификатор GUID, он сохраняет это значение на всю жизнь.

Просмотр событий автоматически преобразует поле GUID в реальный объект.

Выполните следующий поиск LDAP с помощью инструмента LDP.exe:

Базовое различающееся имя: CN=Schema,CN=Configuration,DC=XXX,DC=XXX

Выполните следующие операции с GUID, прежде чем использовать его в поисковом запросе:

У нас есть этот GUID для поиска: a6b34ab5-551b-4626-b8ee-2b36b3ee6672

Возьмите первые 3 секции a6b34ab5-551b-4626.

Для каждого из этих трех разделов вам нужно изменить (инвертировать) порядок байтов, например, b54ab3a6-1b55-2646

Добавить последние 2 раздела без преобразования: b54ab3a6-1b55-2646-b8ee-2b36b3ee6672

Разделить байты обратной косой чертой: \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72

Пример фильтра: (&(objectClass=*)(objectGUID = \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72))

Класс [Type = UnicodeString]: класс созданного объекта. Некоторые из распространенных классов объектов Active Directory:

container — для контейнеров.

user — для пользователей.

группа — для групп.

domainDNS — для объекта домена.

groupPolicyContainer — для объектов групповой политики.

Операция:

  • Идентификатор корреляции [Type = GUID]: несколько изменений часто выполняются как одна операция через LDAP. Это значение позволяет сопоставить все события модификации, составляющие операцию. Просто найдите другие события из текущей подкатегории с тем же идентификатором корреляции, например «5136: объект службы каталогов был изменен». и «5139: объект службы каталогов был перемещен».
  • Идентификатор корреляции приложений [Type = UnicodeString]: всегда имеет значение «-». Не используется.

Рекомендации по мониторингу безопасности

Для 5137(S): создан объект службы каталогов.

Если вам нужно отслеживать создание объектов Active Directory с определенными классами, отслеживайте поле класса с определенным именем класса. Например, мы рекомендуем отслеживать создание всех новых объектов групповой политики: класс groupPolicyContainer.

Вы должны задать правильные списки доступа аудита (SACL) для определенных классов в контейнере Active Directory, чтобы получить 5137. Нет необходимости проверять все события создания для всех типов объектов Active Directory; найти наиболее важные расположения (организационные подразделения, папки и т. д.) и отслеживать создание только определенных классов (пользователь, компьютер, группа и т. д.).

-->

Описание события:

Это событие генерируется при изменении разрешений для объекта.Объект может быть файловой системой, реестром или маркером безопасности.

Это событие не генерируется, если был изменен SACL (Auditing ACL).

Прежде чем это событие может быть сгенерировано, может потребоваться установить определенные ACE в SACL объекта. Например, для объекта файловой системы он генерируется только в том случае, если в SACL объекта установлены «Изменить разрешения» и/или «Вступить во владение». Для ключа реестра он создается только в том случае, если в SACL объекта установлены параметры «Запись DAC» и/или «Запись владельца».

XML события:

Необходимые роли сервера: Нет.

Минимальная версия ОС: Windows Server 2008, Windows Vista.

Версии события: 0.

Описания полей:

Тема:

  • Идентификатор безопасности [Type = SID]: SID учетной записи, которая запросила операцию «изменить разрешения объекта». Средство просмотра событий автоматически пытается разрешить SID и показать имя учетной записи. Если SID не может быть разрешен, вы увидите исходные данные в событии.

Примечание. Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (участника безопасности). Каждая учетная запись имеет уникальный SID, выдаваемый органом власти, например контроллером домена Active Directory, и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в маркере доступа для идентификации пользователя во всех последующих взаимодействиях с системой безопасности Windows. Когда SID использовался в качестве уникального идентификатора для пользователя или группы, его нельзя использовать снова для идентификации другого пользователя или группы. Дополнительные сведения об SID см. в разделе Идентификаторы безопасности.

Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая запросила операцию «изменить разрешения объекта».

Домен учетной записи [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают следующее:

Пример доменного имени NETBIOS: CONTOSO

Полное доменное имя в нижнем регистре: contoso.local

Полное доменное имя в верхнем регистре: CONTOSO.LOCAL

Для некоторых общеизвестных принципов безопасности, таких как ЛОКАЛЬНАЯ СЛУЖБА или АНОНИМНЫЙ ВХОД, значение этого поля равно "NT AUTHORITY".

Для локальных учетных записей пользователей это поле будет содержать имя компьютера или устройства, которому принадлежит эта учетная запись, например: «Win81».

Идентификатор входа [Type = HexInt64]: шестнадцатеричное значение, которое может помочь вам сопоставить это событие с недавними событиями, которые могут содержать тот же идентификатор входа, например, "4624: вход в учетную запись выполнен успешно".

Объект:

Object Server [Type = UnicodeString]: имеет значение «Безопасность» для этого события.

Тип объекта [Type = UnicodeString]: тип объекта, доступ к которому был осуществлен во время операции.

В следующей таблице содержится список наиболее распространенных типов объектов:

Имя объекта [Type = UnicodeString]: имя и другая идентифицирующая информация для объекта, для которого были изменены разрешения. Например, для файла будет указан путь. Для объектов Token это поле обычно равно «-».

Идентификатор дескриптора [Type = Pointer]: шестнадцатеричное значение дескриптора имени объекта. Это поле может помочь вам сопоставить это событие с другими событиями, которые могут содержать тот же идентификатор дескриптора, например, «4663 (S): была предпринята попытка доступа к объекту». Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как «0x0».

Процесс:

Идентификатор процесса [Type = Pointer]: шестнадцатеричный идентификатор процесса, посредством которого были изменены разрешения. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. Чтобы увидеть PID для конкретного процесса, вы можете, например, использовать Диспетчер задач (вкладка «Подробности», столбец PID):

Если вы преобразуете шестнадцатеричное значение в десятичное, вы можете сравнить его со значениями в диспетчере задач.

Вы также можете сопоставить этот идентификатор процесса с идентификатором процесса в других событиях, например, "4688: новый процесс создан" Информация о процессе\Новый идентификатор процесса.

Имя процесса [Type = UnicodeString]: полный путь и имя исполняемого файла для процесса.

Изменение разрешений:

Исходный дескриптор безопасности [Type = UnicodeString]: старое значение языка определения дескрипторов безопасности (SDDL) для объекта.

Новый дескриптор безопасности [Type = UnicodeString]: новое значение языка определения дескрипторов безопасности (SDDL) для объекта.

  • O: = Владелец. SID определенного принципала безопасности или зарезервированное (предварительно определенное) значение, например: BA (ВСТРОЕННЫЕ_АДМИНИСТРАТОРЫ), WD (все), SY (LOCAL_SYSTEM) и т. д. См. список возможных значений в таблице ниже:

Формат записи DACL/SACL: entry_type:inheritance_flags(ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid)

"P" - SDDL_PROTECTED, наследование от контейнеров, находящихся выше в иерархии папок, заблокировано.

"AI" — SDDL_AUTO_INHERITED, наследование разрешено, при условии, что "P" также не установлен.

"AR" — SDDL_AUTO_INHERIT_REQ, дочерние объекты наследуют разрешения от этого объекта.

"A" - ДОСТУП РАЗРЕШЕН

"D" - В ДОСТУПЕ ОТКАЗАНО

"OA" - ДОСТУП К ОБЪЕКТУ РАЗРЕШЕН: применяется только к подмножеству объектов.

"OD" - ДОСТУП К ОБЪЕКТУ ЗАПРЕЩЕН: применяется только к подмножеству объектов.

"AU" — АУДИТ СИСТЕМЫ

"A" - СИСТЕМНАЯ ТРЕВОГА

"OU" — АУДИТ СИСТЕМЫ ОБЪЕКТА

"OL" - СИСТЕМНАЯ ТРЕВОГА ОБЪЕКТА

"CI" – НАСЛЕДОВАНИЕ КОНТЕЙНЕРА: дочерние объекты, которые являются контейнерами, например каталоги, наследуют ACE как явный ACE.

"OI" – НАСЛЕДОВАНИЕ ОБЪЕКТА: дочерние объекты, не являющиеся контейнерами, наследуют ACE как явный ACE.

"NP" — НЕТ РАСПРОСТРАНЕНИЯ: только непосредственные дочерние элементы наследуют этот туз.

"IO" - ТОЛЬКО НАСЛЕДОВАНИЕ: ace не применяется к этому объекту, но может влиять на дочерние элементы посредством наследования.

"ID" - ACE НАСЛЕДУЕТСЯ

"SA" – УСПЕШНЫЙ АУДИТ ДОСТУПА

"FA" — НЕУДАЧА ПРОВЕРКИ ДОСТУПА

  • rights: шестнадцатеричная строка, обозначающая маску доступа или зарезервированное значение, например: FA (полный доступ к файлу), FX (выполнение файла), FW (запись файла) и т. д.
  • object_guid: н/д
  • inherit_object_guid: Н/Д
  • account_sid: SID определенного принципала безопасности или зарезервированное значение, например: AN (анонимно), WD (все), SY (LOCAL_SYSTEM) и т. д. Дополнительные сведения см. в таблице выше.

Рекомендации по мониторингу безопасности

Для 4670(S): были изменены права доступа к объекту.

Для объектов токенов это обычно информационное событие, и в то же время трудно определить, какое разрешение токена было изменено. Для объектов токенов в этом документе нет рекомендаций по мониторингу этого события.

Для объектов файловой системы и реестра применяются следующие рекомендации.

Если у вас есть заранее заданное «Имя процесса» для процесса, о котором сообщается в этом событии, отслеживайте все события, в которых «Имя процесса» не равно заданному вами значению.

Вы можете отслеживать, находится ли «Имя процесса» не в стандартной папке (например, не в System32 или Program Files) или не в папке с ограниченным доступом (например, Temporary Internet Files).

Если у вас есть предварительно определенный список запрещенных подстрок или слов в именах процессов (например, «mimikatz» или «cain.exe»), проверьте наличие этих подстрок в «Имени процесса».

Если у вас есть важные объекты реестра, для которых вам необходимо отслеживать все изменения (особенно изменения разрешений и изменения владельца), отслеживайте конкретное имя объекта\объекта.

Читайте также: