Condividi tramite

Abilitazione e disabilitazione dei privilegi in C++

  • Articolo

L'abilitazione di un privilegio in un token di accesso consente al processo di eseguire azioni a livello di sistema che non è stato possibile eseguire in precedenza. L'applicazione deve verificare accuratamente che il privilegio sia appropriato per il tipo di account, in particolare per i privilegi avanzati seguenti.

Privilegio costante Valore di stringa Nome visualizzato
SE_ASSIGNPRIMARYTOKEN_NAME SeAssignPrimaryTokenPrivilege Sostituire un token a livello di processo
SE_BACKUP_NAME SeBackupPrivilege Eseguire il backup di file e directory
SE_DEBUG_NAME SeDebugPrivilege Eseguire il debug dei programmi
SE_INCREASE_QUOTA_NAME SeIncreaseQuotaPrivilege Regolare le quote di memoria per un processo
SE_TCB_NAME SeTcbPrivilege Agire come parte del sistema operativo

Prima di abilitare uno di questi privilegi potenzialmente pericolosi, determinare che funzioni o operazioni nel codice richiedono effettivamente i privilegi. Ad esempio, pochissime funzioni nel sistema operativo richiedono effettivamente l'SeTcbPrivilege. Per un elenco di tutti i privilegi disponibili, vedere Costanti di privilegio.

Nell'esempio seguente viene illustrato come abilitare o disabilitare un privilegio in un token di accesso . Nell'esempio viene chiamata la funzioneLookupPrivilegeValueper ottenere l'identificatore univoco locale (LUID) usato dal sistema locale per identificare il privilegio. Nell'esempio viene quindi chiamata la funzionediAdjustTokenPrivileges, che abilita o disabilita il privilegio che dipende dal valore del parametro bEnablePrivilege.

#include <windows.h>
#include <stdio.h>
#pragma comment(lib, "advapi32.lib")

BOOL SetPrivilege(
    HANDLE hToken,          // access token handle
    LPCTSTR lpszPrivilege,  // name of privilege to enable/disable
    BOOL bEnablePrivilege   // to enable or disable privilege
    ) 
{
    TOKEN_PRIVILEGES tp;
    LUID luid;

    if ( !LookupPrivilegeValue( 
            NULL,            // lookup privilege on local system
            lpszPrivilege,   // privilege to lookup 
            &luid ) )        // receives LUID of privilege
    {
        printf("LookupPrivilegeValue error: %u\n", GetLastError() ); 
        return FALSE; 
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if (bEnablePrivilege)
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        tp.Privileges[0].Attributes = 0;

    // Enable the privilege or disable all privileges.

    if ( !AdjustTokenPrivileges(
           hToken, 
           FALSE, 
           &tp, 
           sizeof(TOKEN_PRIVILEGES), 
           (PTOKEN_PRIVILEGES) NULL, 
           (PDWORD) NULL) )
    { 
          printf("AdjustTokenPrivileges error: %u\n", GetLastError() ); 
          return FALSE; 
    } 

    if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)

    {
          printf("The token does not have the specified privilege. \n");
          return FALSE;
    } 

    return TRUE;
}