Subinacl.exe: re-impostare i permessi sui servizi di Windows
Massimo Rabbi | 1 January 2008 | 14:20Dopo l’ultima installazione di Windows XP SP2 sul mio desktop pc ho cominciato ad adottare in maniera ferrea i consigli relativi all’uso di un account con privilegi limitati per le operazioni quotidiane: navigazione, sviluppo e gioco tanto per citarne alcune.
Limitare insomma il più possibile l’uso di un account amministrativo.
Il fatto però, che di default, un utente appartenente al gruppo Users non riesca a fare lo stop o lo start dei servizi puo’ essere una limitazione. Per comodità ho pensato quindi di assegnare al mio “account limitato” i permessi per far partire e stoppare i servizi Apache e Mysql.
Sono incappato quindi nell’utility subinacl.exe (parte del Resource Kit) disponibile gratuitamente sul sito Microsoft consente di fare le seguenti operazioni:
* Mostrare informazioni associate ai file, chiavi di registro e servizi.
* Cambiare il proprietario di un oggetto
* Rimpiazzare le informazioni di sicurezza per un identificatore (account, gruppo, SID) con quelle di un altro identificatore.
* Spostare le informazioni di sicurezza sugli oggetti, utile ad esempio nel caso di migrazioni di informazioni da un dominio ad un altro.
Per ottenere una guida sintetica da riga di comando basta digitare: subinacl.exe /help
In linea di massima quindi per assegnare il permesso di avviare o stoppare un servizio: SUBINACL /SERVICE \\NomeComputer\NomeServizio /GRANT=[NomeDominio\]NomeUtente[=Accesso]
Nel mio caso è bastato digitare:
subinacl /SERVICE Apache2.2 /GRANT=max=TO
subinacl /SERVICE MySql /GRANT=max=TO
La lista completa dei permessi assegnabili sui servizi è la seguente:
F: Controllo completo
R: Lettura generale
W: Scrittura generale
X: Esecuzione generale
L: Controllo lettura
Q: Configurazione del servizio query
S: Stato servizio query
E: Enumerazione servizi dipendenti
C: Configurazione modifiche servizi
T: Avvio servizi
O: Arresto servizi
P: Pausa/Continuazione servizi
I: Interrogazione servizi
U: Comandi di controllo servizi definiti dall'utente
Un articolo abbastanza esaustivo su “Assegnazione dei diritti utente per la gestione dei servizi” si trova sul sito di Microsoft.
Lo spunto per questo post e la risoluzione al mio problema l’ho trovato qui.
Giusto per dovere di cronaca segnalo anche un tool gratuito sviluppato da un programmatore tedesco Helge Klein e chiamato SetACL. Il tool è disponibile qui. La cosa interessante è che sono disponibili una versione da linea di comando utilizzabile per esempio in batch files e anche una versione ActiveX (SetACL.ocx) utilizzabile da qualunque linguaggio COM-enabled.
[...] in precedenza fosse consigliato dopo aver pero’ effettuato con
.:: Securnetwork.net Blog - Massimo Rabbi ::. » Windows XP Service Pack 3: un’agonia! | 11 May 2008 | 17:04[...] in precedenza fosse consigliato dopo aver pero’ effettuato con il tool subinacl.exe (di cui ho già parlato) una reimpostazione di grant su chiavi di registro e cartelle di sistema. Ho quindi creato il file [...]