SE_EXPORTS struttura (ntifs.h)

Articolo
05/23/2024

La struttura SeExports è una struttura di SE_EXPORTS statica esterna di grandi dimensioni che definisce una serie di costanti di sicurezza note per i valori dei privilegi e gli identificatori di sicurezza.

Sintassi

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Members

SeCreateTokenPrivilege

Privilegio necessario per creare un token di accesso primario.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Create un oggetto token".

SeAssignPrimaryTokenPrivilege

Privilegio necessario per assegnare il token primario di un processo. Il privilegio consente a un processo padre di sostituire il token di accesso associato a un processo figlio.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Sostituire un token a livello di processo".

SeLockMemoryPrivilege

Privilegio necessario per bloccare le pagine fisiche in memoria. Questo privilegio consente a un processo di mantenere i dati in memoria fisica, che impedisce al sistema di paging dei dati alla memoria virtuale in un disco.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Obbligatorio bloccare le pagine fisiche in memoria".

SeIncreaseQuotaPrivilege

Privilegio necessario per aumentare la quota assegnata a un processo. Il privilegio consente a un processo che ha accesso a un secondo processo per aumentare la quota del processore assegnata al secondo processo. Questo privilegio è utile per l'ottimizzazione del sistema, ma può essere improprio.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Regolare le quote di memoria per un processo".

SeUnsolicitedInputPrivilege

Privilegio necessario per leggere l'input non richiesto da un dispositivo terminale. Questo privilegio è obsoleto e inutilizzato. Non ha alcun effetto sul sistema.

SeTcbPrivilege

Privilegio che identifica il relativo titolare come parte della base computer attendibile. In genere, solo i servizi di autenticazione di basso livello richiedono questo privilegio. Alcuni sottosistemi protetti attendibili vengono concessi questo privilegio.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Agire come parte del sistema operativo".

SeSecurityPrivilege

Privilegio necessario per eseguire una serie di funzioni correlate alla sicurezza, ad esempio il controllo e la visualizzazione dei messaggi di controllo. Questo privilegio identifica il proprietario come operatore di sicurezza. Questo privilegio consente a un utente di specificare opzioni di controllo di accesso a oggetti per singole risorse, inclusi file, oggetti Active Directory e chiavi del Registro di sistema. Un utente con questo privilegio può anche visualizzare e cancellare il log di sicurezza da Visualizzatore eventi.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Gestire il controllo e il log di sicurezza".

SeTakeOwnershipPrivilege

Privilegio necessario per acquisire la proprietà di un oggetto senza essere concesso l'accesso discrezionale. Questo privilegio consente all'utente di assumere la proprietà di qualsiasi oggetto a protezione diretta nel sistema, inclusi oggetti, file e cartelle di Active Directory, stampanti, chiavi del Registro di sistema, processi e thread. Questo privilegio consente di impostare il valore proprietario solo su tali valori che il titolare potrebbe assegnare legittimamente come proprietario di un oggetto.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Acquisire la proprietà dei file o di altri oggetti".

SeLoadDriverPrivilege

Privilegio necessario per caricare o scaricare un driver di dispositivo. Questo privilegio consente a un utente di installare e rimuovere i driver per i dispositivi Plug and Play. Questo privilegio non è necessario se nel computer esiste già un driver firmato per Driver.cab il nuovo hardware.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Caricare e scaricare i driver di dispositivo".

SeCreatePagefilePrivilege

Privilegio necessario per creare e modificare le dimensioni di un file di paging.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Create un file di pagina".

SeIncreaseBasePriorityPrivilege

Privilegio necessario per aumentare la priorità di base di un processo. Questo privilegio consente a un utente di aumentare la classe di priorità di base di un processo. L'aumento della priorità relativa all'interno di una classe di priorità non è un'operazione con privilegi e non richiede questo privilegio.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Aumentare la priorità di pianificazione".

SeSystemProfilePrivilege

Privilegio necessario per raccogliere informazioni sulla profilatura per l'intero sistema. Il privilegio consente a un utente di campionire le prestazioni dei processi di sistema.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Profila le prestazioni del sistema".

SeSystemtimePrivilege

Privilegio necessario per modificare l'ora di sistema. Questo privilegio consente all'utente di modificare l'ora dell'orologio interno del computer. Questo privilegio non è necessario per modificare il fuso orario o altre caratteristiche di visualizzazione dell'ora di sistema.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Modificare l'ora di sistema".

SeProfileSingleProcessPrivilege

Privilegio necessario per raccogliere informazioni di profilatura per un singolo processo. Il privilegio consente a un utente di eseguire l'esempio delle prestazioni di un processo dell'applicazione.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Profilo singolo processo".

SeCreatePermanentPrivilege

Privilegio necessario per creare un oggetto permanente. Questo privilegio consente a un processo di creare un oggetto directory in Gestione oggetti. Questo privilegio è utile per i componenti in modalità kernel che estendono lo spazio dei nomi dell'oggetto. I componenti in esecuzione in modalità kernel hanno questo privilegio in modo intrinseco.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Create oggetti condivisi permanenti".

SeBackupPrivilege

Privilegio necessario per eseguire operazioni di backup. Questo privilegio consente all'utente di aggirare le autorizzazioni di file e directory per eseguire il backup del sistema. Questo privilegio consente al sistema di concedere a tutti i controlli di accesso in lettura qualsiasi file, indipendentemente dall'elenco di controllo di accesso specificato per il file. Qualsiasi richiesta di accesso diversa da quella di lettura viene comunque valutata con l'elenco di controllo di accesso. Questo privilegio è richiesto dalle routine RegSaveKey e RegSaveKeyEx in modalità utente. I diritti di accesso seguenti vengono concessi se questo privilegio viene mantenuto:

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Backup di file e directory".

SeRestorePrivilege

Privilegio necessario per eseguire operazioni di ripristino. Questo privilegio consente a un utente di aggirare le autorizzazioni di file e directory durante il ripristino di file e directory di backup e per impostare qualsiasi entità di sicurezza valida come proprietario di un oggetto. Questo privilegio consente al sistema di concedere a qualsiasi file il controllo di accesso in scrittura, indipendentemente dall'elenco di controllo di accesso specificato per il file. Qualsiasi richiesta di accesso diversa dalla scrittura viene comunque valutata con l'elenco di controllo di accesso. Questo privilegio consente inoltre di impostare qualsiasi SID utente o gruppo valido come proprietario di un file. Questo privilegio è richiesto dalle routine RegLoadKey in modalità utente e RegUnLoadKey che aggiungono o rimuoveno un hive dal Registro di sistema. I diritti di accesso seguenti vengono concessi se questo privilegio viene mantenuto:

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
DELETE

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Ripristinare file e directory".

SeShutdownPrivilege

Privilegio necessario per arrestare un sistema locale.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Arresta il sistema".

SeDebugPrivilege

Privilegio necessario per eseguire il debug e modificare la memoria di un processo di proprietà di un altro account. Questo privilegio consente all'utente di collegare un debugger a qualsiasi processo. Questo privilegio fornisce l'accesso ai componenti del sistema operativo sensibili e critici.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Programmi di debug".

SeAuditPrivilege

Privilegio necessario per generare voci del log di controllo nel log di sicurezza. Il log di sicurezza può essere usato per tracciare l'accesso al sistema non autorizzato. Questo privilegio deve essere assegnato ai server protetti.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Generare controlli di sicurezza".

SeSystemEnvironmentPrivilege

Privilegi necessari per modificare la RAM nonvolatile dei sistemi che usano questo tipo di memoria per archiviare le informazioni di configurazione.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Modificare i valori dell'ambiente del firmware".

SeChangeNotifyPrivilege

Privilegio necessario per ricevere notifiche di modifiche ai file o alle directory. Questo privilegio consente all'utente di passare cartelle a cui l'utente altrimenti non ha accesso durante lo spostamento di un percorso dell'oggetto nel file system NTFS o nel Registro di sistema. Questo privilegio non consente all'utente di elencare il contenuto di una cartella; consente all'utente di attraversare solo le directory. Questo privilegio fa sì che il sistema ignora tutti i controlli di accesso incrociati. È abilitato per impostazione predefinita per tutti gli utenti.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Ignora il controllo dell'attraversamento".

SeRemoteShutdownPrivilege

Privilegio necessario per arrestare un sistema usando una richiesta di rete. Questo privilegio consente a un utente di arrestare un computer da una posizione remota nella rete.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa utente-destra seguente: "Forza l'arresto da un sistema remoto".

SeNullSid

SID null.

SeWorldSid

SID che corrisponde a tutti.

SeLocalSid

SID locale.

SeCreatorOwnerSid

SID corrispondente al proprietario o all'autore di un oggetto. Questo SID viene usato nelle voci di controllo di accesso ereditabili (AES).

SeCreatorGroupSid

SID corrispondente al gruppo di creatore di un oggetto. Questo SID viene usato negli ACL ereditabili.

SeNtAuthoritySid

SID per l'autorità Microsoft Windows NT.

SeDialupSid

SID per un account di accesso esterno.

SeNetworkSid

SID per un account di rete. Questo SID viene aggiunto al processo di un token quando si connette tramite una rete. Il tipo di accesso corrispondente è LOGON32_LOGON_NETWORK.

SeBatchSid

SID per un processo batch. Questo SID viene aggiunto al processo di un token quando si connette come processo per batch. Il tipo di accesso corrispondente è LOGON32_LOGON_BATCH.

SeInteractiveSid

SID per un account interattivo. Questo SID viene aggiunto al processo di un token quando si connette in modo interattivo. Il tipo di accesso corrispondente è LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

SID corrispondente all'account LocalSystem, un account locale predefinito usato da Service Control Manager. Questo account non viene riconosciuto dal sottosistema di sicurezza. Ha privilegi estesi sul computer locale e funge da computer in rete. Il token include i SID DI Windows NT AUTHORITY\SYSTEM e BUILTIN\Administrators; questi account hanno accesso alla maggior parte degli oggetti di sistema. Il nome dell'account in tutte le impostazioni locali è ".\LocalSystem". È anche possibile usare il nome "LocalSystem" o "ComputerName\LocalSystem". Questo account non ha una password.

Un servizio eseguito nel contesto dell'account LocalSystem eredita il contesto di sicurezza di Service Control Manager. L'account non è associato a alcun account utente connesso.

L'account LocalSystem ha i privilegi seguenti:

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

La maggior parte dei servizi non ha bisogno di un tale livello di privilegi elevati. Se il servizio non ha bisogno di questi privilegi e non è un servizio interattivo, è consigliabile usare l'account LocalService o l'account NetworkService.

SeAliasAdminsSid

SID corrispondente all'account amministratore.

SeAliasUsersSid

SID corrispondente agli account utente predefiniti.

SeAliasGuestsSid

SID corrispondente all'account guest.

SeAliasPowerUsersSid

SID corrispondente al gruppo di utenti di alimentazione.

SeAliasAccountOpsSid

SID corrispondente all'account degli operatori dell'account.

SeAliasSystemOpsSid

SID corrispondente al gruppo di operatori di sistema.

SeAliasPrintOpsSid

SID corrispondente al gruppo di operatori di stampa.

SeAliasBackupOpsSid

SID corrispondente al gruppo di operatori di backup.

SeAuthenticatedUsersSid

SID corrispondente a qualsiasi utente autenticato.

SeRestrictedSid

SID per il codice con restrizioni.

SeAnonymousLogonSid

SID per l'account anonimo.

SeUndockPrivilege

Privilegio necessario per rimuovere un computer da una stazione di ancoraggio. Questo privilegio consente all'utente di un computer portatile di scollegare il computer facendo clic su Avvia e quindi facendo clic su Eject PC.

SeSyncAgentPrivilege

Privilegio necessario per sincronizzare i dati del servizio directory. Questo privilegio consente a un processo di leggere tutti gli oggetti e le proprietà nella directory, indipendentemente dalla protezione impostata sugli oggetti e sulle proprietà. Questo privilegio è necessario per usare i servizi di sincronizzazione della directory LDAP (Lightweight Directory Access Protocol) (Dirsync). Questo privilegio è necessario per un controller di dominio per usare i servizi di sincronizzazione della directory LDAP.

SeEnableDelegationPrivilege

Privilegio necessario per abilitare l'attendibilità degli account computer e utente.

SeLocalServiceSid

SID corrispondente all'account LocalService, un account locale predefinito. L'account LocalService ha privilegi minimi nel computer locale e presenta credenziali anonime nella rete. Il nome dell'account in tutte le impostazioni locali è "NT AUTHORITY\LocalService". Questo account non ha una password. L'account LocalService ha una propria sottochiave nella chiave del Registro di sistema HKEY_USERS. Pertanto, la chiave del Registro di sistema HKEY_CURRENT_USER è associata all'account LocalService.

L'account LocalService ha i privilegi seguenti:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tutti i privilegi assegnati agli utenti e agli utenti autenticati

L'account LocalService è disponibile nei sistemi operativi Microsoft Windows XP e versioni successive.

SeNetworkServiceSid

SID corrispondente all'account NetworkService, un account locale predefinito. L'account NetworkService ha privilegi minimi nel computer locale e funge da computer in rete. Il nome dell'account in tutte le impostazioni locali è "NT AUTHORITY\NetworkService". Questo account non ha una password.

Un servizio eseguito nel contesto dell'account NetworkService presenta le credenziali del computer ai server remoti. Per impostazione predefinita, il token remoto contiene i SID per i gruppi Tutti e Utenti autenticati.

L'account NetworkService ha una propria sottochiave nella chiave del Registro di sistema HKEY_USERS. Pertanto, la chiave del Registro di sistema HKEY_CURRENT_USER è associata all'account NetworkService.

L'account NetworkService ha i privilegi seguenti:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tutti i privilegi assegnati agli utenti e agli utenti autenticati

SeManageVolumePrivilege

Privilegio necessario per consentire a un utente non amministrativo o remoto di gestire volumi o dischi. Il sistema operativo verifica la presenza di questo privilegio nel token di accesso di un utente quando un processo in esecuzione nel contesto di sicurezza dell'utente chiama la routine SetFileValidData in modalità utente.

SeImpersonatePrivilege

Privilegio necessario per rappresentare un utente.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa di destra dell'utente seguente: "Rappresenta un client dopo l'autenticazione".

SeCreateGlobalPrivilege

Privilegio necessario per un account utente per creare oggetti globali in una sessione di Servizi terminal. Si noti che gli utenti possono comunque creare oggetti specifici della sessione senza essere assegnati a questo diritto utente. Per impostazione predefinita, questo privilegio viene assegnato ai membri del gruppo Administrators, all'account di sistema e ai servizi avviati da Service Control Manager. Questo privilegio è disponibile in Windows 2000 con Service Pack 4 e versioni successive.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Create oggetti globali".

SeTrustedCredManAccessPrivilege

Privilegio necessario per accedere a Gestione credenziali come chiamante attendibile.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Access Credential Manager as a trusted caller".

SeRelabelPrivilege

Privilegio necessario per modificare il livello di integrità obbligatorio di un oggetto.

Le applicazioni in modalità utente rappresentano questo privilegio come stringa a destra dell'utente seguente: "Modificare un'etichetta di oggetto".