структура SE_EXPORTS (ntifs.h)

Статья
02/07/2025

Структура SeExports представляет собой большую внешнюю статическую SE_EXPORTS структуру, которая определяет ряд известных констант безопасности для значений привилегий и идентификаторов безопасности.

Синтаксис

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Члены

SeCreateTokenPrivilege

Привилегии, необходимые для создания первичного маркера доступа.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Создание объекта токена".

SeAssignPrimaryTokenPrivilege

Привилегии, необходимые для назначения первичного маркера процесса. Привилегия позволяет родительскому процессу заменить маркер доступа, связанный с дочерним процессом.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Заменить маркер уровня процесса".

SeLockMemoryPrivilege

Привилегия, необходимая для блокировки физических страниц в памяти. Эта привилегия позволяет обрабатывать данные в физической памяти, что предотвращает разбиение данных на страницы в виртуальную память на диске.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Требуется для блокировки физических страниц в памяти".

SeIncreaseQuotaPrivilege

Привилегии, необходимые для увеличения квоты, назначенной процессу. Привилегия позволяет процессу, который имеет доступ ко второму процессу, чтобы увеличить квоту процессора, назначенную второму процессу. Эта привилегия полезна для настройки системы, но ее можно использовать.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Настройка квот памяти для процесса".

SeUnsolicitedInputPrivilege

Привилегия, требуемая для чтения незапрошенных входных данных с устройства терминала. Эта привилегия устарела и не используется. Это не влияет на систему.

SeTcbPrivilege

Привилегия, определяющая своего владельца как часть базы доверенных компьютеров. Как правило, для этих привилегий требуются только низкоуровневые службы проверки подлинности. Некоторые доверенные защищенные подсистемы предоставляются этим привилегиям.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки права пользователя: "Действовать как часть операционной системы".

SeSecurityPrivilege

Привилегии, необходимые для выполнения ряда функций, связанных с безопасностью, таких как управление и просмотр сообщений аудита. Эта привилегия определяет своего владельца как оператора безопасности. Эта привилегия позволяет пользователю указывать параметры аудита доступа к объектам для отдельных ресурсов, включая файлы, объекты Active Directory и разделы реестра. Пользователь, имеющий эту привилегию, также может просматривать и очищать журнал безопасности из средства просмотра событий.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Управление журналом аудита и безопасности".

SeTakeOwnershipPrivilege

Привилегия, необходимая для владения объектом без предоставления дискреционного доступа. Эта привилегия позволяет пользователю управлять любым защищаемым объектом в системе, включая объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки. Эта привилегия позволяет задать значение владельца только для тех значений, которые владелец может законно назначить владельцем объекта.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей строки права пользователя: "Взять на себя ответственность за файлы или другие объекты".

SeLoadDriverPrivilege

Привилегии, необходимые для загрузки или выгрузки драйвера устройства. Эта привилегия позволяет пользователю устанавливать и удалять драйверы для устройств Plug and Play. Эта привилегия не требуется, если подписанный драйвер для нового оборудования уже существует в файле Driver.cab на компьютере.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Загрузка и выгрузка драйверов устройств".

SeCreatePagefilePrivilege

Привилегии, необходимые для создания и изменения размера разбиения файла на страницы.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Создать файл страницы".

SeIncreaseBasePriorityPrivilege

Привилегии, необходимые для повышения базового приоритета процесса. Эта привилегия позволяет пользователю увеличить базовый класс приоритета процесса. Увеличение относительного приоритета в классе приоритета не является привилегированной операцией и не нуждается в этой привилегии.

Приложения в пользовательском режиме представляют эту привилегию в виде следующей строки права пользователя: "Увеличение приоритета планирования".

SeSystemProfilePrivilege

Привилегии, необходимые для сбора сведений о профилировании для всей системы. Привилегия позволяет пользователю выборки производительности системных процессов.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Производительность системы профиля".

SeSystemtimePrivilege

Привилегии, необходимые для изменения системного времени. Эта привилегия позволяет пользователю настраивать время на внутренних часах компьютера. Эта привилегия не требуется для изменения часового пояса или других характеристик отображения системного времени.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Изменение системного времени".

SeProfileSingleProcessPrivilege

Привилегия, необходимая для сбора сведений о профилировании для одного процесса. Привилегия позволяет пользователю образец производительности процесса приложения.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Профиль одного процесса".

SeCreatePermanentPrivilege

Привилегии, необходимые для создания постоянного объекта. Эта привилегия позволяет процессу создать объект каталога в диспетчере объектов. Эта привилегия полезна для компонентов режима ядра, расширяющих пространство имен объекта. Компоненты, работающие в режиме ядра, имеют эту привилегию по сути.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Создание постоянных общих объектов".

SeBackupPrivilege

Привилегии, необходимые для выполнения операций резервного копирования. Эта привилегия позволяет пользователю обойти разрешения файлов и каталогов для резервного копирования системы. Эта привилегия приводит к тому, что система предоставляет всем доступом на чтение любому файлу независимо от списка управления доступом (ACL), указанного для файла. Любой запрос доступа, отличный от чтения, по-прежнему оценивается с помощью ACL. Эта привилегия требуется для RegSaveKey и подпрограмм RegSaveKeyEx. При наличии этого права доступа предоставляются следующие права доступа:

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Резервное копирование файлов и каталогов".

SeRestorePrivilege

Привилегии, необходимые для выполнения операций восстановления. Эта привилегия позволяет пользователю обойти разрешения файлов и каталогов при восстановлении резервных копий файлов и каталогов, а также задать любой допустимый субъект безопасности в качестве владельца объекта. Эта привилегия приводит к тому, что система предоставляет все возможности управления доступом на запись в любой файл независимо от ACL, указанного для файла. Любой запрос доступа, отличный от записи, по-прежнему оценивается с помощью ACL. Кроме того, эта привилегия позволяет задать допустимый идентификатор безопасности пользователя или группы в качестве владельца файла. Эта привилегия требуется в пользовательском режиме RegLoadKey и подпрограмм RegUnLoadKey, которые добавляют или удаляют куст из реестра. При наличии этого права доступа предоставляются следующие права доступа:

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
УДАЛИТЬ

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Восстановить файлы и каталоги".

SeShutdownPrivilege

Привилегии, необходимые для завершения работы локальной системы.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Завершение работы системы".

SeDebugPrivilege

Привилегии, необходимые для отладки и настройки памяти процесса, принадлежащей другой учетной записи. Эта привилегия позволяет пользователю присоединять отладчик к любому процессу. Эта привилегия обеспечивает доступ к конфиденциальным и критически важным компонентам операционной системы.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Отладка программ".

SeAuditPrivilege

Привилегии, необходимые для создания записей журнала аудита в журнале безопасности. Журнал безопасности можно использовать для трассировки несанкционированного доступа к системе. Эта привилегия должна быть предоставлена защищенным серверам.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Создание аудита безопасности".

SeSystemEnvironmentPrivilege

Привилегия, необходимая для изменения ненулевого ОЗУ систем, использующих этот тип памяти для хранения сведений о конфигурации.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Изменение значений среды встроенного ПО".

SeChangeNotifyPrivilege

Привилегия, необходимая для получения уведомлений об изменениях в файлах или каталогах. Эта привилегия позволяет пользователю передавать папки, к которым пользователь в противном случае не имеет доступа при переходе по пути к объекту в файловой системе NTFS или в реестре. Эта привилегия не позволяет пользователю перечислять содержимое папки; он позволяет пользователю проходить только по своим каталогам. Эта привилегия приводит к тому, что система пропускает все проверки доступа. Она включена по умолчанию для всех пользователей.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Обход проверки обхода".

SeRemoteShutdownPrivilege

Привилегии, необходимые для завершения работы системы с помощью сетевого запроса. Эта привилегия позволяет пользователю завершить работу компьютера из удаленного расположения в сети.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Принудительное завершение работы из удаленной системы".

SeNullSid

Идентификатор БЕЗОПАСНОСТИ NULL.

SeWorldSid

Идентификатор безопасности, соответствующий всем.

SeLocalSid

Локальный идентификатор безопасности.

SeCreatorOwnerSid

Идентификатор безопасности, соответствующий владельцу или создателю объекта. Этот идентификатор безопасности используется в наследуемых записях управления доступом (ACEs).

SeCreatorGroupSid

Идентификатор безопасности, соответствующий группе создателей объекта. Этот идентификатор безопасности используется в наследуемых acEs.

SeNtAuthoritySid

Идентификатор безопасности для центра Microsoft Windows NT.

SeDialupSid

Идентификатор безопасности для учетной записи абонента.

SeNetworkSid

Идентификатор безопасности для сетевой учетной записи. Этот идентификатор безопасности добавляется в процесс маркера при входе в сеть. Соответствующий тип входа LOGON32_LOGON_NETWORK.

SeBatchSid

Идентификатор безопасности для пакетного процесса. Этот идентификатор безопасности добавляется в процесс маркера при входе в пакетное задание. Соответствующий тип входа LOGON32_LOGON_BATCH.

SeInteractiveSid

Идентификатор безопасности для интерактивной учетной записи. Этот идентификатор безопасности добавляется в процесс маркера при интерактивном входе. Соответствующий тип входа LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

Идентификатор безопасности, соответствующий учетной записи LocalSystem, предопределенной локальной учетной записи, используемой диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности. Он имеет обширные привилегии на локальном компьютере и выступает в качестве компьютера в сети. Его токен включает в себя идентификаторы SID Windows NT AUTHORITY\SYSTEM и BUILDIN\Administrators; Эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех языковых стандартах — ".\LocalSystem". Также можно использовать имя LocalSystem или ComputerName\LocalSystem. У этой учетной записи нет пароля.

Служба, которая выполняется в контексте учетной записи LocalSystem, наследует контекст безопасности диспетчера управления службами. Учетная запись не связана с учетной записью пользователя, вошедшего в систему.

Учетная запись LocalSystem имеет следующие привилегии:

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

Большинству служб не требуется такой высокий уровень привилегий. Если служба не нуждается в этих привилегиях и не является интерактивной службой, рассмотрите возможность использования учетной записи LocalService или учетной записи NetworkService.

SeAliasAdminsSid

Идентификатор безопасности, соответствующий учетной записи администратора.

SeAliasUsersSid

Идентификатор безопасности, соответствующий встроенным учетным записям пользователей.

SeAliasGuestsSid

Идентификатор безопасности, соответствующий гостевой учетной записи.

SeAliasPowerUsersSid

Идентификатор безопасности, соответствующий группе пользователей power users.

SeAliasAccountOpsSid

Идентификатор безопасности, соответствующий учетной записи операторов учетной записи.

SeAliasSystemOpsSid

Идентификатор безопасности, соответствующий группе системных операторов.

SeAliasPrintOpsSid

Идентификатор безопасности, соответствующий группе операторов печати.

SeAliasBackupOpsSid

Идентификатор безопасности, соответствующий группе операторов резервного копирования.

SeAuthenticatedUsersSid

Идентификатор безопасности, соответствующий любому прошедшему проверку подлинности пользователя.

SeRestrictedSid

Идентификатор безопасности для ограниченного кода.

SeAnonymousLogonSid

Идентификатор безопасности для анонимной учетной записи.

SeUndockPrivilege

Привилегии, необходимые для удаления компьютера из док-станции. Эта привилегия позволяет пользователю переносимого компьютера открепить компьютер, щелкнув Запустить, а затем щелкнув Eject PC.

SeSyncAgentPrivilege

Привилегии, необходимые для синхронизации данных службы каталогов. Эта привилегия позволяет процессу считывать все объекты и свойства в каталоге независимо от защиты, установленной для объектов и свойств. Эта привилегия необходима для использования служб синхронизации каталогов (Dirsync) протокола LDAP. Эта привилегия необходима для использования служб синхронизации каталогов LDAP контроллера домена.

SeEnableDelegationPrivilege

Привилегии, необходимые для включения доверия учетных записей компьютеров и пользователей для делегирования.

SeLocalServiceSid

Идентификатор безопасности, соответствующий учетной записи LocalService, предопределенной локальной учетной записи. Учетная запись LocalService имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Имя учетной записи во всех языковых стандартах — NT AUTHORITY\LocalService. У этой учетной записи нет пароля. Учетная запись LocalService имеет собственный подраздел в разделе реестра HKEY_USERS. Поэтому раздел реестра HKEY_CURRENT_USER связан с учетной записью LocalService.

Учетная запись LocalService имеет следующие привилегии:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Все привилегии, назначенные пользователям и прошедшим проверку подлинности пользователям

Учетная запись LocalService доступна в операционных системах Microsoft Windows XP и более поздних версий.

SeNetworkServiceSid

Идентификатор безопасности, соответствующий учетной записи NetworkService, предопределенной локальной учетной записи. Учетная запись NetworkService имеет минимальные привилегии на локальном компьютере и выступает в качестве компьютера в сети. Имя учетной записи во всех языковых стандартах — NT AUTHORITY\NetworkService. У этой учетной записи нет пароля.

Служба, которая выполняется в контексте учетной записи NetworkService, представляет учетные данные компьютера удаленным серверам. По умолчанию удаленный маркер содержит идентификаторы безопасности для групп "Все пользователи" и "Прошедшие проверку подлинности".

Учетная запись NetworkService имеет собственный подраздел в разделе реестра HKEY_USERS. Поэтому раздел реестра HKEY_CURRENT_USER связан с учетной записью NetworkService.

Учетная запись NetworkService имеет следующие привилегии:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Все привилегии, назначенные пользователям и прошедшим проверку подлинности пользователям

SeManageVolumePrivilege

Привилегии, необходимые для разрешения не администрирования или удаленного пользователя для управления томами или дисками. Операционная система проверяет эту привилегию в маркере доступа пользователя, когда процесс, выполняемый в контексте безопасности пользователя, вызывает подпрограмму SetFileValidData.

SeImpersonatePrivilege

Привилегия, необходимая для олицетворения пользователя.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки права пользователя: "Олицетворения клиента после проверки подлинности".

SeCreateGlobalPrivilege

Привилегии, необходимые для учетной записи пользователя для создания глобальных объектов в сеансе служб терминалов. Обратите внимание, что пользователи по-прежнему могут создавать объекты, относящиеся к сеансу, без назначения этому пользователю права. По умолчанию эта привилегия назначается членам группы "Администраторы", системной учетной записи и службам, запущенным диспетчером управления службами. Эта привилегия доступна в Windows 2000 с пакетом обновления 4 и более поздними версиями.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Создание глобальных объектов".

SeTrustedCredManAccessPrivilege

Привилегии, необходимые для доступа к Диспетчеру учетных данных в качестве доверенного вызывающего объекта.

Приложения в режиме пользователя представляют эту привилегию в виде следующей строки: "Access Credential Manager в качестве доверенного вызывающего объекта".

SeRelabelPrivilege

Привилегии, необходимые для изменения обязательного уровня целостности объекта.

Приложения пользовательского режима представляют эту привилегию в виде следующей строки: "Изменение метки объекта".