structure SE_EXPORTS (ntifs.h)

Article
02/07/2025

La structure seExports est une structure de SE_EXPORTS statique externe volumineuse qui définit un certain nombre de constantes de sécurité connues pour les valeurs de privilèges et les identificateurs de sécurité.

Syntaxe

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Membres

SeCreateTokenPrivilege

Privilège requis pour créer un jeton d’accès principal.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Créer un objet de jeton ».

SeAssignPrimaryTokenPrivilege

Privilège requis pour affecter le jeton principal d’un processus. Le privilège permet à un processus parent de remplacer le jeton d’accès associé à un processus enfant.

Les applications en mode utilisateur représentent ce privilège comme chaîne de droite utilisateur suivante : « Remplacer un jeton au niveau du processus ».

SeLockMemoryPrivilege

Privilège requis pour verrouiller les pages physiques en mémoire. Ce privilège permet à un processus de conserver les données en mémoire physique, ce qui empêche le système de paginer les données en mémoire virtuelle sur un disque.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Requis pour verrouiller des pages physiques en mémoire ».

SeIncreaseQuotaPrivilege

Privilège requis pour augmenter le quota affecté à un processus. Le privilège permet à un processus qui a accès à un deuxième processus d’augmenter le quota de processeur affecté au deuxième processus. Ce privilège est utile pour le réglage du système, mais il peut être abusé.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Ajuster les quotas de mémoire pour un processus ».

SeUnsolicitedInputPrivilege

Privilège requis pour lire les entrées non sollicitées à partir d’un appareil terminal. Ce privilège est obsolète et inutilisé. Elle n’a aucun effet sur le système.

SeTcbPrivilege

Privilège qui identifie son titulaire dans le cadre de la base d’ordinateurs approuvée. En règle générale, seuls les services d’authentification de bas niveau nécessitent ce privilège. Certains sous-systèmes protégés approuvés bénéficient de ce privilège.

Les applications en mode utilisateur représentent ce privilège comme chaîne de droit utilisateur suivante : « Agir dans le cadre du système d’exploitation ».

SeSecurityPrivilege

Privilège requis pour effectuer un certain nombre de fonctions liées à la sécurité, telles que le contrôle et l’affichage des messages d’audit. Ce privilège identifie son titulaire comme opérateur de sécurité. Ce privilège permet à un utilisateur de spécifier des options d’audit d’accès aux objets pour des ressources individuelles, notamment des fichiers, des objets Active Directory et des clés de Registre. Un utilisateur disposant de ce privilège peut également afficher et effacer le journal de sécurité de l’Observateur d’événements.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Gérer l’audit et le journal de sécurité ».

SeTakeOwnershipPrivilege

Privilège requis pour prendre possession d’un objet sans avoir accès discrétionnaire. Ce privilège permet à l’utilisateur de prendre possession de n’importe quel objet sécurisable dans le système, y compris les objets, les fichiers et dossiers Active Directory, les imprimantes, les clés de Registre, les processus et les threads. Ce privilège permet à la valeur propriétaire d’être définie uniquement sur ces valeurs que le titulaire peut attribuer légitimement en tant que propriétaire d’un objet.

Les applications en mode utilisateur représentent ce privilège comme chaîne de droit utilisateur suivante : « Prendre possession de fichiers ou d’autres objets ».

SeLoadDriverPrivilege

Privilège requis pour charger ou décharger un pilote de périphérique. Ce privilège permet à un utilisateur d’installer et de supprimer des pilotes pour les appareils Plug-and-Play. Ce privilège n’est pas nécessaire si un pilote signé pour le nouveau matériel existe déjà dans le fichier Driver.cab sur l’ordinateur.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Charger et décharger des pilotes de périphérique ».

SeCreatePagefilePrivilege

Privilège requis pour créer et modifier la taille d’un fichier de pagination.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Créer un fichier page ».

SeIncreaseBasePriorityPrivilege

Privilège requis pour augmenter la priorité de base d’un processus. Ce privilège permet à un utilisateur d’augmenter la classe de priorité de base d’un processus. L’augmentation de la priorité relative au sein d’une classe de priorité n’est pas une opération privilégiée et n’a pas besoin de ce privilège.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Augmenter la priorité de planification ».

SeSystemProfilePrivilege

Privilège requis pour collecter des informations de profilage pour l’ensemble du système. Le privilège permet à un utilisateur d’échantillonner les performances des processus système.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Performances du système de profil ».

SeSystemtimePrivilege

Privilège requis pour modifier l’heure système. Ce privilège permet à l’utilisateur d’ajuster l’heure sur l’horloge interne de l’ordinateur. Ce privilège n’est pas nécessaire pour modifier le fuseau horaire ou d’autres caractéristiques d’affichage de l’heure système.

Les applications en mode utilisateur représentent ce privilège comme chaîne de droite utilisateur suivante : « Modifier l’heure système ».

SeProfileSingleProcessPrivilege

Privilège requis pour collecter des informations de profilage pour un seul processus. Le privilège permet à un utilisateur d’échantillonner les performances d’un processus d’application.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Profil unique processus ».

SeCreatePermanentPrivilege

Privilège requis pour créer un objet permanent. Ce privilège permet à un processus de créer un objet de répertoire dans le gestionnaire d’objets. Ce privilège est utile pour les composants en mode noyau qui étendent l’espace de noms d’objet. Les composants qui s’exécutent en mode noyau ont ce privilège intrinsèquement.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Créer des objets partagés permanents ».

SeBackupPrivilege

Privilège requis pour effectuer des opérations de sauvegarde. Ce privilège permet à l’utilisateur de contourner les autorisations de fichier et de répertoire pour sauvegarder le système. Ce privilège permet au système d’accorder tout contrôle d’accès en lecture à n’importe quel fichier, quelle que soit la liste de contrôle d’accès spécifiée pour le fichier. Toute demande d’accès autre que la lecture est toujours évaluée avec la liste de contrôle d’accès. Ce privilège est requis par les routines RegSaveKey en mode utilisateur et RegSaveKeyEx. Les droits d’accès suivants sont accordés si ce privilège est détenu :

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Sauvegarder des fichiers et des répertoires ».

SeRestorePrivilege

Privilège requis pour effectuer des opérations de restauration. Ce privilège permet à un utilisateur de contourner les autorisations de fichier et de répertoire lors de la restauration des fichiers et répertoires sauvegardés et de définir tout principal de sécurité valide en tant que propriétaire d’un objet. Ce privilège permet au système d’accorder tout contrôle d’accès en écriture à n’importe quel fichier, quelle que soit la liste de contrôle d’accès spécifiée pour le fichier. Toute demande d’accès autre que l’écriture est toujours évaluée avec la liste de contrôle d’accès. En outre, ce privilège vous permet de définir n’importe quel SID d’utilisateur ou de groupe valide comme propriétaire d’un fichier. Ce privilège est requis par le mode utilisateur regLoadKey et routines RegUnLoadKey qui ajoutent ou suppriment une ruche du registre. Les droits d’accès suivants sont accordés si ce privilège est détenu :

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
SUPPRIMER

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Restaurer des fichiers et des répertoires ».

SeShutdownPrivilege

Privilège requis pour arrêter un système local.

Les applications en mode utilisateur représentent ce privilège comme chaîne de droite utilisateur suivante : « Arrêter le système ».

SeDebugPrivilege

Privilège requis pour déboguer et ajuster la mémoire d’un processus appartenant à un autre compte. Ce privilège permet à l’utilisateur d’attacher un débogueur à n’importe quel processus. Ce privilège permet d’accéder aux composants de système d’exploitation sensibles et critiques.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Programmes de débogage ».

SeAuditPrivilege

Privilège requis pour générer des entrées de journal d’audit dans le journal de sécurité. Le journal de sécurité peut être utilisé pour suivre l’accès système non autorisé. Ce privilège doit être accordé aux serveurs sécurisés.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Générer des audits de sécurité ».

SeSystemEnvironmentPrivilege

Privilège requis pour modifier la ram nonvolatile des systèmes qui utilisent ce type de mémoire pour stocker les informations de configuration.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Modifier les valeurs de l’environnement du microprogramme ».

SeChangeNotifyPrivilege

Privilège requis pour recevoir des notifications de modifications apportées aux fichiers ou répertoires. Ce privilège permet à l’utilisateur de passer des dossiers auxquels l’utilisateur n’a pas d’accès lors de la navigation dans un chemin d’accès d’objet dans le système de fichiers NTFS ou dans le Registre. Ce privilège n’autorise pas l’utilisateur à répertorier le contenu d’un dossier ; il permet uniquement à l’utilisateur de parcourir ses répertoires. Ce privilège permet au système d’ignorer toutes les vérifications d’accès traversée. Elle est activée par défaut pour tous les utilisateurs.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Ignorer la vérification du passage ».

SeRemoteShutdownPrivilege

Privilège requis pour arrêter un système à l’aide d’une requête réseau. Ce privilège permet à un utilisateur d’arrêter un ordinateur à partir d’un emplacement distant sur le réseau.

Les applications en mode utilisateur représentent ce privilège comme chaîne de droite utilisateur suivante : « Forcer l’arrêt à partir d’un système distant ».

SeNullSid

SID Null.

SeWorldSid

SID qui correspond à tout le monde.

SeLocalSid

SID local.

SeCreatorOwnerSid

SID qui correspond au propriétaire ou au créateur d’un objet. Ce SID est utilisé dans les entrées de contrôle d’accès héritées (ACEs).

SeCreatorGroupSid

SID qui correspond au groupe créateur d’un objet. Ce SID est utilisé dans les AE héritées.

SeNtAuthoritySid

SID pour l’autorité Microsoft Windows NT.

SeDialupSid

SID pour un compte d’accès à distance.

SeNetworkSid

SID d’un compte réseau. Ce SID est ajouté au processus d’un jeton lorsqu’il se connecte sur un réseau. Le type d’ouverture de session correspondant est LOGON32_LOGON_NETWORK.

SeBatchSid

SID pour un processus de traitement par lots. Ce SID est ajouté au processus d’un jeton lorsqu’il se connecte en tant que tâche de traitement par lots. Le type d’ouverture de session correspondant est LOGON32_LOGON_BATCH.

SeInteractiveSid

SID pour un compte interactif. Ce SID est ajouté au processus d’un jeton lorsqu’il se connecte de manière interactive. Le type d’ouverture de session correspondant est LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

SID qui correspond au compte LocalSystem, un compte local prédéfini utilisé par service Control Manager. Ce compte n’est pas reconnu par le sous-système de sécurité. Il dispose de privilèges étendus sur l’ordinateur local et agit comme ordinateur sur le réseau. Son jeton inclut les SID Windows NT AUTHORITY\SYSTEM et BUILTIN\Administrators ; ces comptes ont accès à la plupart des objets système. Le nom du compte dans tous les paramètres régionaux est « \LocalSystem ». Le nom, « LocalSystem » ou « ComputerName\LocalSystem » peut également être utilisé. Ce compte n’a pas de mot de passe.

Un service qui s’exécute dans le contexte du compte LocalSystem hérite du contexte de sécurité du Gestionnaire de contrôle de service. Le compte n’est associé à aucun compte d’utilisateur connecté.

Le compte LocalSystem dispose des privilèges suivants :

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

La plupart des services n’ont pas besoin d’un niveau de privilège aussi élevé. Si votre service n’a pas besoin de ces privilèges et qu’il n’est pas un service interactif, envisagez d’utiliser le compte LocalService ou le compte NetworkService.

SeAliasAdminsSid

SID qui correspond au compte d’administrateur.

SeAliasUsersSid

SID qui correspond aux comptes d’utilisateur intégrés.

SeAliasGuestsSid

SID qui correspond au compte invité.

SeAliasPowerUsersSid

SID qui correspond au groupe d’utilisateurs de l’alimentation.

SeAliasAccountOpsSid

SID qui correspond au compte d’opérateurs de compte.

SeAliasSystemOpsSid

SID qui correspond au groupe d’opérateurs système.

SeAliasPrintOpsSid

SID qui correspond au groupe d’opérateurs d’impression.

SeAliasBackupOpsSid

SID qui correspond au groupe d’opérateurs de sauvegarde.

SeAuthenticatedUsersSid

SID qui correspond à n’importe quel utilisateur authentifié.

SeRestrictedSid

SID pour le code restreint.

SeAnonymousLogonSid

SID du compte anonyme.

SeUndockPrivilege

Privilège requis pour supprimer un ordinateur d’une station d’ancrage. Ce privilège permet à l’utilisateur d’un ordinateur portable de détacher l’ordinateur en cliquant sur Démarrer, puis en cliquant sur pc éjecté.

SeSyncAgentPrivilege

Privilège requis pour synchroniser les données du service d’annuaire. Ce privilège permet à un processus de lire tous les objets et propriétés du répertoire, quelle que soit la protection définie sur les objets et les propriétés. Ce privilège est requis pour utiliser les services ldap (Lightweight Directory Access Protocol) de synchronisation d’annuaires (Dirsync). Ce privilège est requis pour qu’un contrôleur de domaine utilise les services de synchronisation d’annuaire LDAP.

SeEnableDelegationPrivilege

Privilège requis pour permettre à l’ordinateur et aux comptes d’utilisateur d’être approuvés pour la délégation.

SeLocalServiceSid

SID qui correspond au compte LocalService, un compte local prédéfini. Le compte LocalService dispose de privilèges minimaux sur l’ordinateur local et présente des informations d’identification anonymes sur le réseau. Le nom du compte dans tous les paramètres régionaux est « NT AUTHORITY\LocalService ». Ce compte n’a pas de mot de passe. Le compte LocalService possède sa propre sous-clé sous la clé de Registre HKEY_USERS. Par conséquent, la clé de Registre HKEY_CURRENT_USER est associée au compte LocalService.

Le compte LocalService dispose des privilèges suivants :

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tous les privilèges attribués aux utilisateurs et aux utilisateurs authentifiés

Le compte LocalService est disponible sur les systèmes d’exploitation Microsoft Windows XP et ultérieurs.

SeNetworkServiceSid

SID qui correspond au compte NetworkService, un compte local prédéfini. Le compte NetworkService dispose de privilèges minimaux sur l’ordinateur local et agit comme ordinateur sur le réseau. Le nom du compte dans tous les paramètres régionaux est « NT AUTHORITY\NetworkService ». Ce compte n’a pas de mot de passe.

Un service qui s’exécute dans le contexte du compte NetworkService présente les informations d’identification de l’ordinateur aux serveurs distants. Par défaut, le jeton distant contient des SID pour les groupes Utilisateurs authentifiés et tout le monde.

Le compte NetworkService possède sa propre sous-clé sous la clé de Registre HKEY_USERS. Par conséquent, la clé de Registre HKEY_CURRENT_USER est associée au compte NetworkService.

Le compte NetworkService dispose des privilèges suivants :

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Tous les privilèges attribués aux utilisateurs et aux utilisateurs authentifiés

SeManageVolumePrivilege

Privilège requis pour permettre à un utilisateur non administratif ou distant de gérer des volumes ou des disques. Le système d’exploitation recherche ce privilège dans le jeton d’accès d’un utilisateur lorsqu’un processus s’exécutant dans le contexte de sécurité de l’utilisateur appelle le mode utilisateur SetFileValidData routine.

SeImpersonatePrivilege

Privilège requis pour emprunter l’identité d’un utilisateur.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Emprunter l’identité d’un client après l’authentification ».

SeCreateGlobalPrivilege

Privilège requis pour qu’un compte d’utilisateur crée des objets globaux dans une session Terminal Services. Notez que les utilisateurs peuvent toujours créer des objets spécifiques à une session sans être affectés à ce droit d’utilisateur. Par défaut, ce privilège est attribué aux membres du groupe Administrateurs, au compte système et aux services démarrés par le Gestionnaire de contrôle de service. Ce privilège est disponible sur Windows 2000 avec Service Pack 4 et versions ultérieures.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Créer des objets globaux ».

SeTrustedCredManAccessPrivilege

Privilège requis pour accéder au Gestionnaire d’informations d’identification en tant qu’appelant approuvé.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Accéder au Gestionnaire d’informations d’identification en tant qu’appelant approuvé ».

SeRelabelPrivilege

Privilège requis pour modifier le niveau d’intégrité obligatoire d’un objet.

Les applications en mode utilisateur représentent ce privilège en tant que chaîne de droite utilisateur suivante : « Modifier une étiquette d’objet ».