InformationSecurityPro
Marcos Henrique
SC SDSHOW e SDSET (Segurança nos Serviços do Windows)
Através do comando sc é possível Criar, Editar, Customizar e Excluir serviços no Windows de forma local ou remota, neste artigo vou mostrar os passos de como permitir que um Usuário Comum (Domain Users) consiga Administrar um Serviço do Windows.
Em que situação este procedimento pode ser útil?
Imagine um cenário onde você tem uma equipe que precisa ter acesso ao servidor para administrar (Start/Stop/Restart) um ou vários serviços do windows, porém por questões de segurança você não pode adicioná-los ao grupo de administrador do servidor esta é uma das alternativas que pode atender esta necessidade.
Cenário:
Hostname : DC-2012
Descrição : Servidor Domain Controller (100SECURITY)
Hostname : SRV-2008
Descrição : Servidor de Impressão
Usuários :
100SECURITY\Administrator
Grupo : Domain Admins
100SECURITY\Marcos
Grupo : Domain Users
Grupo : Suporte // Crie este grupo no Active Directory
01 - Passo
No servidor DC-2012, adicione o usuário Marcos ao grupo Suporte dentro do Active Directory.
02 - Passo
No servidor SRV-2008 permita que o grupo Suporte consiga logar no servidor remotamente, para isso basta adicioná-lo no grupo Remote Desktop Users.
03 - Passo
Ao logar no servidor SRV-2008 com o usuário Marcos tente executar (Start/Stop/Restart) no serviço Print Spooler.
Como pode visualizar não é possível pois o usuário Marcos não possui nenhum privilégio administrativo.
04 - Passo
No servidor DC-2012, execute o Command Prompt como Administrator em seguida o comando abaixo para obter os atributos do grupo Suporte.
WindowsC:\>dsquery group -name "Suporte"
05 - Passo
Para obter o SID do grupo Suporte execute o comando abaixo:
WindowsC:\>dsget group "CN=Suporte,CN=Users,DC=100security,DC=local" -sid S-1-5-21-2388764564-824077213-4166085585-1109
06 - Passo
Retorne ao servidor SRV-2008 e clique nas Propriedades do serviço Print Spooler para verificar qual Nome do Serviço : Spooler.
07 - Passo
Execute o Command Prompt como Administrator e logue com o usuário Administrator (Domain Admins).
08 - Passo
Exiba o descritor de segurança do serviço Spooler utilizando o comando sc sdshow.
WindowsC:\>sc sdshow Spooler D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
09 - Passo
Customize o descritor de segurança do serviço Spooler baseado nas informações já coletadas.
Descritor de Segurança do serviço Spooler :
WindowsD:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
SID do grupo Suporte :
WindowsS-1-5-21-2388764564-824077213-4166085585-1109
Customização :
Windows(A;;CCLCSWRPWPDTLOCRRC;;;SID-SUPORTE) (A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-21-2388764564-824077213-4166085585-1109)
10 - Passo
Agora vamos definir o novo descritor de segurança do serviço Spooler.
Observações :
O último bloco de descritor é S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) sendo assim o SID do grupo de Suporte deve ser adicionado antes deste bloco como segue no exemplo abaixo.
C:\>sc sdset Spooler D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-21-2388764564-824077213-4166085585-1109)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
11 - Passo
Os privilégios ao grupo Suporte são atribuídos imediatamente, basta acessar o services.msc e conferir as liberações realizadas, agora todos os usuários que estiverem dentro do grupo Suporte conseguem administrar o serviço Printer Spooler.
São Paulo/SP
