estructura SE_EXPORTS (ntifs.h)

Artículo
04/28/2024

La estructura SeExports es una estructura de SE_EXPORTS estática externa grande que define una serie de constantes de seguridad conocidas para los valores de privilegios y los identificadores de seguridad.

Sintaxis

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Miembros

SeCreateTokenPrivilege

Privilegio necesario para crear un token de acceso principal.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Create un objeto de token".

SeAssignPrimaryTokenPrivilege

Privilegio necesario para asignar el token principal de un proceso. El privilegio permite que un proceso primario reemplace el token de acceso asociado a un proceso secundario.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Reemplace un token de nivel de proceso".

SeLockMemoryPrivilege

Privilegio necesario para bloquear las páginas físicas en la memoria. Este privilegio permite que un proceso mantenga los datos en memoria física, lo que impide que el sistema pagina los datos a la memoria virtual en un disco.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Requerido para bloquear páginas físicas en memoria".

SeIncreaseQuotaPrivilege

Privilegio necesario para aumentar la cuota asignada a un proceso. El privilegio permite que un proceso que tenga acceso a un segundo proceso aumente la cuota de procesador asignada al segundo proceso. Este privilegio es útil para la optimización del sistema, pero se puede abusar.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Ajuste las cuotas de memoria de un proceso".

SeUnsolicitedInputPrivilege

Privilegio necesario para leer la entrada no solicitada desde un dispositivo terminal. Este privilegio está obsoleto y no se usa. No tiene ningún efecto en el sistema.

SeTcbPrivilege

Privilegio que identifica a su titular como parte de la base del equipo de confianza. Normalmente, solo los servicios de autenticación de bajo nivel requieren este privilegio. A algunos subsistemas protegidos de confianza se les concede este privilegio.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Actuar como parte del sistema operativo".

SeSecurityPrivilege

Privilegio necesario para realizar una serie de funciones relacionadas con la seguridad, como controlar y ver mensajes de auditoría. Este privilegio identifica a su titular como operador de seguridad. Este privilegio permite a un usuario especificar opciones de auditoría de acceso a objetos para recursos individuales, incluidos archivos, objetos de Active Directory y claves del Registro. Un usuario que tenga este privilegio también puede ver y borrar el registro de seguridad de Visor de eventos.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Administrar la auditoría y el registro de seguridad".

SeTakeOwnershipPrivilege

Privilegio que se requiere para tomar posesión de un objeto sin conceder acceso discrecional. Este privilegio permite al usuario tomar posesión de cualquier objeto protegible en el sistema, incluidos objetos de Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos. Este privilegio permite que el valor del propietario se establezca solo en los valores que el titular podría asignar legítimamente como propietario de un objeto.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Tomar posesión de los archivos u otros objetos".

SeLoadDriverPrivilege

Privilegio necesario para cargar o descargar un controlador de dispositivo. Este privilegio permite a un usuario instalar y quitar controladores para dispositivos Plug and Play. Este privilegio no es necesario si ya existe un controlador firmado para el nuevo hardware en el archivo Driver.cab del equipo.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Cargar y descargar controladores de dispositivo".

SeCreatePagefilePrivilege

Privilegio necesario para crear y cambiar el tamaño de un archivo de paginación.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Create un archivo de página".

SeIncreaseBasePriorityPrivilege

Privilegio necesario para aumentar la prioridad base de un proceso. Este privilegio permite a un usuario aumentar la clase de prioridad base de un proceso. El aumento de la prioridad relativa dentro de una clase de prioridad no es una operación con privilegios y no necesita este privilegio.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Aumentar la prioridad de programación".

SeSystemProfilePrivilege

Privilegio necesario para recopilar información de generación de perfiles para todo el sistema. El privilegio permite a un usuario muestrear el rendimiento de los procesos del sistema.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Rendimiento del sistema de perfiles".

SeSystemtimePrivilege

Privilegio necesario para modificar la hora del sistema. Este privilegio permite al usuario ajustar la hora en el reloj interno del equipo. Este privilegio no es necesario para cambiar la zona horaria u otras características de visualización de la hora del sistema.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Cambiar la hora del sistema".

SeProfileSingleProcessPrivilege

Privilegio necesario para recopilar información de generación de perfiles para un único proceso. El privilegio permite a un usuario muestrear el rendimiento de un proceso de aplicación.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Proceso único de perfil".

SeCreatePermanentPrivilege

Privilegio necesario para crear un objeto permanente. Este privilegio permite a un proceso crear un objeto de directorio en el administrador de objetos. Este privilegio es útil para los componentes en modo kernel que extienden el espacio de nombres del objeto. Los componentes que se ejecutan en modo kernel tienen este privilegio inherentemente.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Create objetos compartidos permanentes".

SeBackupPrivilege

Privilegio necesario para realizar operaciones de copia de seguridad. Este privilegio permite al usuario eludir los permisos de archivo y directorio para realizar copias de seguridad del sistema. Este privilegio hace que el sistema conceda todo el control de acceso de lectura a cualquier archivo, independientemente de la lista de control de acceso (ACL) especificada para el archivo. Las solicitudes de acceso que no sean de lectura se siguen evaluando con la ACL. Este privilegio lo requieren las rutinas RegSaveKey y RegSaveKeyEx en modo de usuario. Se conceden los siguientes derechos de acceso si se mantiene este privilegio:

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Copia de seguridad de archivos y directorios".

SeRestorePrivilege

Privilegio necesario para realizar operaciones de restauración. Este privilegio permite a un usuario eludir los permisos de archivo y directorio al restaurar archivos y directorios de copia de seguridad y establecer cualquier entidad de seguridad válida como propietario de un objeto. Este privilegio hace que el sistema conceda todo el control de acceso de escritura a cualquier archivo, independientemente de la ACL especificada para el archivo. Cualquier solicitud de acceso distinta de la escritura se sigue evaluando con la ACL. Además, este privilegio le permite establecer cualquier SID de usuario o grupo válido como propietario de un archivo. Este privilegio lo requieren las rutinas RegLoadKey y RegUnLoadKey en modo de usuario que agregan o quitan un subárbol del registro. Se conceden los siguientes derechos de acceso si se mantiene este privilegio:

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
Delete

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Restaurar archivos y directorios".

SeShutdownPrivilege

Privilegio necesario para apagar un sistema local.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Apagar el sistema".

SeDebugPrivilege

Privilegio necesario para depurar y ajustar la memoria de un proceso propiedad de otra cuenta. Este privilegio permite al usuario asociar un depurador a cualquier proceso. Este privilegio proporciona acceso a componentes de sistema operativo confidenciales y críticos.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Depurar programas".

SeAuditPrivilege

Privilegio necesario para generar entradas de registro de auditoría en el registro de seguridad. El registro de seguridad se puede usar para realizar un seguimiento del acceso no autorizado al sistema. Este privilegio se debe conceder a los servidores seguros.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Generar auditorías de seguridad".

SeSystemEnvironmentPrivilege

Privilegio necesario para modificar la RAM no volátil de los sistemas que usan este tipo de memoria para almacenar información de configuración.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Modificar valores de entorno de firmware".

SeChangeNotifyPrivilege

Privilegio que es necesario para recibir notificaciones de cambios en archivos o directorios. Este privilegio permite al usuario pasar carpetas a las que el usuario no tiene acceso mientras navega por una ruta de acceso de objeto en el sistema de archivos NTFS o en el Registro. Este privilegio no permite al usuario enumerar el contenido de una carpeta; permite que el usuario solo recorra sus directorios. Este privilegio hace que el sistema omita todas las comprobaciones de acceso transversal. Está habilitado de forma predeterminada para todos los usuarios.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena a la derecha del usuario: "Omitir comprobación de recorrido".

SeRemoteShutdownPrivilege

Privilegio necesario para apagar un sistema mediante una solicitud de red. Este privilegio permite a un usuario apagar un equipo desde una ubicación remota en la red.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena a la derecha del usuario: "Forzar el apagado desde un sistema remoto".

SeNullSid

SiD nulo.

SeWorldSid

SiD que coincide con todos.

SeLocalSid

El SID local.

SeCreatorOwnerSid

SiD que coincide con el propietario o creador de un objeto. Este SID se usa en entradas de control de acceso (ACE) herederas.

SeCreatorGroupSid

SiD que coincide con el grupo de creadores de un objeto. Este SID se usa en aces heredables.

SeNtAuthoritySid

SiD para la entidad de Microsoft Windows NT.

SeDialupSid

SiD para una cuenta de acceso telefónico.

SeNetworkSid

El SID de una cuenta de red. Este SID se agrega al proceso de un símbolo (token) cuando inicia sesión a través de una red. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_NETWORK.

SeBatchSid

SiD para un proceso por lotes. Este SID se agrega al proceso de un símbolo (token) cuando inicia sesión como un trabajo por lotes. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_BATCH.

SeInteractiveSid

SiD para una cuenta interactiva. Este SID se agrega al proceso de un símbolo (token) cuando inicia sesión interactivamente. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

SiD que coincide con la cuenta LocalSystem, una cuenta local predefinida usada por el Administrador de control de servicios. El subsistema de seguridad no reconoce esta cuenta. Tiene amplios privilegios en el equipo local y actúa como el equipo de la red. Su token incluye los SID windows NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tienen acceso a la mayoría de los objetos del sistema. El nombre de la cuenta en todas las configuraciones regionales es ".\LocalSystem". También se puede usar el nombre "LocalSystem" o "NombreDeEquipo\LocalSystem". Esta cuenta no tiene una contraseña.

Un servicio que se ejecuta en el contexto de la cuenta LocalSystem hereda el contexto de seguridad de Service Control Manager. La cuenta no está asociada a ninguna cuenta de usuario que haya iniciado sesión.

La cuenta LocalSystem tiene los siguientes privilegios:

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

La mayoría de los servicios no necesitan un nivel de privilegios tan alto. Si el servicio no necesita estos privilegios y no es un servicio interactivo, considere la posibilidad de usar la cuenta LocalService o la cuenta NetworkService.

SeAliasAdminsSid

SiD que coincide con la cuenta de administrador.

SeAliasUsersSid

SiD que coincide con las cuentas de usuario integradas.

SeAliasGuestsSid

SiD que coincide con la cuenta de invitado.

SeAliasPowerUsersSid

SiD que coincide con el grupo de usuarios avanzados.

SeAliasAccountOpsSid

SiD que coincide con la cuenta de operadores de cuenta.

SeAliasSystemOpsSid

SiD que coincide con el grupo de operadores del sistema.

SeAliasPrintOpsSid

SiD que coincide con el grupo de operadores de impresión.

SeAliasBackupOpsSid

SiD que coincide con el grupo de operadores de copia de seguridad.

SeAuthenticatedUsersSid

SiD que coincide con cualquier usuario autenticado.

SeRestrictedSid

SiD para código restringido.

SeAnonymousLogonSid

SiD de la cuenta anónima.

SeUndockPrivilege

Privilegio necesario para quitar un equipo de una estación de acoplamiento. Este privilegio permite al usuario de un equipo portátil desacoplar el equipo haciendo clic en Iniciar y, a continuación, haciendo clic en Expulsar PC.

SeSyncAgentPrivilege

Privilegio necesario para sincronizar los datos del servicio de directorio. Este privilegio permite que un proceso lea todos los objetos y propiedades del directorio, independientemente de la protección establecida en los objetos y propiedades. Este privilegio es necesario para usar los servicios ligeros de sincronización de directorios (LDAP) del Protocolo de acceso a directorios (Dirsync). Este privilegio es necesario para que un controlador de dominio use los servicios de sincronización de directorios LDAP.

SeEnableDelegationPrivilege

Privilegio que se requiere para permitir que las cuentas de usuario y equipo sean de confianza para la delegación.

SeLocalServiceSid

SiD que coincide con la cuenta LocalService, una cuenta local predefinida. La cuenta localService tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. El nombre de la cuenta en todas las configuraciones regionales es "NT AUTHORITY\LocalService". Esta cuenta no tiene una contraseña. La cuenta localService tiene su propia subclave en la clave del Registro HKEY_USERS. Por lo tanto, la clave del Registro HKEY_CURRENT_USER está asociada a la cuenta localService.

La cuenta localService tiene los siguientes privilegios:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Todos los privilegios asignados a los usuarios y a los usuarios autenticados

La cuenta localService está disponible en Microsoft Windows XP y en sistemas operativos posteriores.

SeNetworkServiceSid

SiD que coincide con la cuenta NetworkService, una cuenta local predefinida. La cuenta NetworkService tiene privilegios mínimos en el equipo local y actúa como el equipo de la red. El nombre de la cuenta en todas las configuraciones regionales es "NT AUTHORITY\NetworkService". Esta cuenta no tiene una contraseña.

Un servicio que se ejecuta en el contexto de la cuenta NetworkService presenta las credenciales del equipo a los servidores remotos. De forma predeterminada, el token remoto contiene SID para los grupos Todos y Usuarios autenticados.

La cuenta networkService tiene su propia subclave en la clave del Registro HKEY_USERS. Por lo tanto, la clave del Registro HKEY_CURRENT_USER está asociada a la cuenta NetworkService.

La cuenta NetworkService tiene los siguientes privilegios:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Todos los privilegios asignados a los usuarios y los usuarios autenticados

SeManageVolumePrivilege

Privilegio que se requiere para permitir que un usuario no administrativo o remoto administre volúmenes o discos. El sistema operativo comprueba este privilegio en el token de acceso de un usuario cuando un proceso que se ejecuta en el contexto de seguridad del usuario llama a la rutina SetFileValidData en modo de usuario.

SeImpersonatePrivilege

Privilegio necesario para suplantar a un usuario.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Suplantar a un cliente después de la autenticación".

SeCreateGlobalPrivilege

Privilegio necesario para que una cuenta de usuario cree objetos globales en una sesión de Terminal Services. Tenga en cuenta que los usuarios todavía pueden crear objetos específicos de la sesión sin tener asignado este derecho de usuario. De forma predeterminada, este privilegio se asigna a los miembros del grupo Administradores, la cuenta del sistema y los servicios iniciados por Service Control Manager. Este privilegio está disponible en Windows 2000 con Service Pack 4 y versiones posteriores.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Create Objetos globales".

SeTrustedCredManAccessPrivilege

Privilegio necesario para acceder al Administrador de credenciales como llamador de confianza.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Access Credential Manager as a trusted caller".

SeRelabelPrivilege

Privilegio necesario para modificar el nivel de integridad obligatorio de un objeto.

Las aplicaciones en modo de usuario representan este privilegio como la siguiente cadena de la derecha del usuario: "Modificar una etiqueta de objeto".