DACL des Services Windows - Service Control Manager Security - Permissions WMI
Un admin possède de nombreuse façon d’agir sur les services Windows
(MMC, NetStop/NetStart, WMI, …)
Mais si vous voulez donner à un user/group le droit d’agir sur un seul service ?
Et remotly ?
Sans lui donner les droits admin sur la machine ?
Contrairement aux fichiers relativement simples à gérer niveau sécurité (clic droit/propriétés/sécurité NTFS), la gestion de la sécurité sur les services est assez confusing.
La Commande SC.EXE
- La gestion des DACL sur les services se fait par la commande SC.EXE
- Pour afficher les DACL, il faut utiliser l’argument SDSHOW.
SC.EXE SDSHOW <ServiceName>
- Affichons les DACL du service « Service Management » :
SC.EXE SDSHOW SCMANAGER
Ou du service DHCP :
> Les résultats sont générés en langage SDDL (Security Descriptor Definition Language).
Comment lire les résultats
- Notons la séparation en deux parties, D: et S:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
-> La partie en orange D: est celle qui nous intéresse, elle s’intéresse aux permissions (DACL), la partie en verte S: s’intéresse à l’audit (SACL)
- Prenons donc notre première partie :
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)
-> Chaque autorisation est définie entre parenthèse, nous avons donc 5 permissions différentes ici.
- Prenons en exemple une permission :
(A;;CCLCRPRC;;;IU) qui se découpe elle-même en 3 parties : A ;; CCLCRPRC ;;;; IU
• La première partie désigne le type de permission
A = ACCEPT
D = DENY
• La deuxième partie désigne la chaîne des autorisations (par paire)
CC = Queryconf
LC = QueryStat
RP = Start
RC = RCtl
• La dernière partie désigne le type d’utilisateur
IU = Interactive Logon User
> Pour lire les résultats, les tableaux suivants permettent d’interpréter chaque autorisation :
|
Paire |
Droit ou autorisation |
|
CC |
QueryConf |
|
DC |
ChangeConf |
|
LC |
QueryStat |
|
SW |
EnumDeps |
|
RP |
Start |
|
WP |
Stop |
|
DT |
Pause |
|
LO |
Interrogate |
|
CR |
UserDefined |
|
GA |
GenericAll |
|
GX |
GenericExecute |
|
GW |
GenericWrite |
|
GR |
GenericRead |
|
SD |
Del |
|
RC |
RCtl |
|
WD |
WDac |
|
WO |
WOwn |
|
Code |
Type d'utilisateur |
|
DA |
Domain Administrators (Administrateurs du domaine) |
|
DG |
Domain Guests (Invités du domaine) |
|
DU |
Domain Users (Utilisateurs du domaine) |
|
ED |
Enterprise Domain Controllers (Controleurs de domaines d'entreprise) |
|
DD |
Domain Controllers (Contrôleurs du domaine) |
|
DC |
Domain Computers (Ordinateurs du domaine) |
|
BA |
Built-in (Local ) Administrators (Administrateurs intégrés (local)) |
|
BG |
Built-in (Local ) Guests (Invités intégrés (local)) |
|
BU |
Built-in (Local ) Users (Utilisateurs intégrés (local)) |
|
LA |
Local Administrator Account (Compte Administrateur local) |
|
LG |
Local Guest Account (Compte Invité local) |
|
AO |
Account Operators (Opérateurs de compte) |
|
BO |
Backup Operators (Opérateurs de sauvegarde) |
|
PO |
Printer Operators (Opérateurs d'impression) |
|
SO |
Server Operators (Opérateurs de serveur) |
|
AU |
Authenticated Users (Utilisateurs authentifiés) |
|
PS |
Personal Self (Personnel) |
|
CO |
Creator Owner (Créateur propriétaire) |
|
CG |
Creator Group (Groupe créateur) |
|
SY |
Local System (Système local) |
|
PU |
Power Users (Utilisateurs avec pouvoir) |
|
WD |
Everyone (World) (Tout le monde (global)) |
|
RE |
Replicator (Duplicateurs) |
|
IU |
Intercative Logon User (Session utilisateur interactive) |
|
NU |
Network Logon User (Utilisateur d'ouverture de session réseau) |
|
SU |
Service Logon User (Service de connexion utilisateur) |
|
RC |
Restricted Code (Code restreint) |
|
WR |
Write Restricted Code (Code restreint en écriture) |
|
AN |
Anonymous Logon (Ouverture de session anonyme) |
|
SA |
Schema Administrators (Administrateurs de schéma) |
|
CA |
Certificate Services Administrators (Administrateurs des services de certificats) |
|
RS |
Remote Access Servers Group (Groupe serveurs d'accès distant) |
|
EA |
Enterprise Administrators (Administrateurs de l'entreprise) |
|
PA |
Group Policy Administrators (Administrateurs de stratégies de groupe) |
|
RU |
Alias to Allow Previous Windows 2000 (Alias autorisant pré-Windows 2000) |
|
LS |
Local Service Account (for Services) (Compte Service local (pour les services)) |
|
NS |
Network Service Account (for Services) (Compte Service réseau (pour les services)) |
|
RD |
Remote Desktop Users (for Terminal Services) (Utilisateurs du Bureau à distance (pour les services Terminal Server)) |
|
NO |
Network Configuration Operators (Opérateurs de configuration réseau) |
|
MU |
Performance Monitor Users (Utilisateurs de l'Analyseur de performances) |
|
LU |
Performance Log Users (Utilisateurs du journal de performance) |
|
IS |
Anonymous Internet Users (Utilisateurs Internet anonymes) |
|
CY |
Crypto Operators (Opérateurs de cryptographie) |
|
OW |
Owner Rights SID (SID des droits du propriétaire) |
|
RM |
RMS Service (Service RMS) |
Modifier une permission
Vous pouvez modifier cette sécurité à partir du code utilisateur du tableau précédent pour les types d’utilisateurs générique, ou utiliser un SID Active Directory appartement à un utilisateur ou groupe.
> Attention il faut obligatoirement utiliser le SID sous la forme S-1-1-21-51XXXXXXXX-XXXX-XXX
- Il vous faut utiliser la commande SC SDSET pour modifier une permission
Prenons toujours l’exemple du service « Service Management » : il est nécessaire d’avoir les droits en Start/Lecture sur ce service pour faire un Get-Service en Powershell à distance.
Donc, par défaut impossible de faire des requêtes à distance sur ce service pour les utilisateurs standards (authentifiés):
Modifions maintenant les permissions du service « Service Management » pour offrir ce droit à ces utilisateurs authentifiés :
sc sdset scmanager D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)
> Les utilisateurs authentifiés peuvent maintenant lister les services sur la machines :
Maintenant prenons l’exemple avec un groupe AD :
Même procédure, mais avec le SID :
Et ensuite, c’est accessible.
Permissions WMI
En complément, certaines requêtes nécessitent de passer par du WMI.
Imaginons que l’on veuille aussi offrir l’accès WMI en lecture, à distance pour ces utilisateurs.
- Il vous faut dans la MMC WMI activer l’option Remote Enable / Enable Account
> Il n’est malheureusement pas possible de définir ces droits par GPO, mais on peut le contourner via powershell.
Ou par un VBScript :
• Ajouter votre droit dans la MMC (comme dans la capture ci-dessus)
• Extraire les infos WMI du namespace pour ensuite faire un différentiel
wmic /namespace:\\root\CIMV2 /output:c:\extractwmi.txt path __systemsecurity call getSD
(ou un autre namespace)
• Dans le fichier généré extractwmi.txt, repéré la ligne de chiffre entre {}
Créer un nouveau vbscript.vbs avec ce contenu pour déployer cette config :
strSD = array(*****Placer ici la ligne de chiffre sans espace*******)
set namespace = createobject("wbemscripting.swbemlocator").connectserver(,"root\CIMV2")
set security = namespace.get("__systemsecurity=@")
nStatus = security.setsd(strSD)
Exemple :
strSD = array(1,0,4,129,184,0,0,0,200,0,0,0,0,0,0,0,20,0,0,0,2,0,164,0,6,0,0,0,0,2,36,0,33,0,0,0,1,5,0,0,0,0,0,5,21,0,0,0,23,36,194,102,255,27,59,41,139,45,224,36,20,35,0,0,0,2,36,0,33,0,0,0,1,5,0,0,0,0,0,5,21,0,0,0,23,36,194,102,255,27,59,41,139,45,224,36,238,23,0,0,0,18,20,0,19,0,0,0,1,1,0,0,0,0,0,5,11,0,0,0,0,18,20,0,19,0,0,0,1,1,0,0,0,0,0,5,19,0,0,0,0,18,20,0,19,0,0,0,1,1,0,0,0,0,0,5,20,0,0,0,0,18,24,0,63,0,6,0,1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0,1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0,1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0)
set namespace = createobject("wbemscripting.swbemlocator").connectserver(,"Root\CIMV2")
set security = namespace.get("__systemsecurity=@")
nStatus = security.setsd(strSD)