Windows 权限(例子) 被分配给帐户和组,并且默认情况下“SERVICE”内置主体分配了一些特权,例如“模拟用户”特权。
我想为没有此权限的服务创建一个受限帐户。我是否可以以某种方式为该权限设置“拒绝”规则,就像文件 ACL 一样?或者我必须从 SeImpersonatePrivilege 被授予者列表中删除“SERVICE”才能实现此目的?(如果可以的话,我宁愿避免这种情况,因为这可能会破坏其他服务)
经过编辑,纠正了由脑云引起的将两个完全不相关的事情混淆成一个荒谬的问题的情况。
答案1
不,Windows 权限与文件系统 ACL 完全不同。
您可以使用 Windows API 以编程方式调整 Windows 权限。没有 GUI。它们是二进制的;可以添加或取消权限,但没有像 NTFS ACL 等中的“拒绝”机制。
例如,我需要将 advapi32.dll 导入到我的代码中以访问 GetTokenInformation() 函数,该函数除其他内容外还包含给定 SID 的帐户的权限。
我不确定我是否同意您的断言,即域\用户组默认具有 SeImpersonatePrivilege。这将违背任何保护 Windows 环境的尝试。
检查您的本地安全策略和域策略,然后展开计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配,并检查“身份验证后模拟客户端”设置。我没有在任何地方看到列出的用户组。