estrutura SE_EXPORTS (ntifs.h)

Artigo
04/23/2024

A estrutura SeExports é uma grande estrutura de SE_EXPORTS estática externa que define uma série de constantes de segurança conhecidas para valores de privilégio e identificadores de segurança.

Sintaxe

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Membros

SeCreateTokenPrivilege

O privilégio necessário para criar um token de acesso primário.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Create um objeto de token".

SeAssignPrimaryTokenPrivilege

O privilégio necessário para atribuir o token primário de um processo. O privilégio permite que um processo pai substitua o token de acesso associado a um processo filho.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Substituir um token no nível do processo".

SeLockMemoryPrivilege

O privilégio necessário para bloquear páginas físicas na memória. Esse privilégio permite que um processo mantenha os dados na memória física, o que impede que o sistema pagine os dados para a memória virtual em um disco.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Necessário para bloquear páginas físicas na memória".

SeIncreaseQuotaPrivilege

O privilégio necessário para aumentar a cota atribuída a um processo. O privilégio permite que um processo que tenha acesso a um segundo processo aumente a cota de processador atribuída ao segundo processo. Esse privilégio é útil para ajuste do sistema, mas pode ser abusado.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Ajustar cotas de memória para um processo".

SeUnsolicitedInputPrivilege

O privilégio necessário para ler entradas não solicitadas de um dispositivo terminal. Esse privilégio é obsoleto e não utilizado. Não tem efeito sobre o sistema.

SeTcbPrivilege

O privilégio que identifica seu titular como parte da base de computadores confiáveis. Normalmente, apenas serviços de autenticação de baixo nível exigem esse privilégio. Alguns subsistemas protegidos confiáveis recebem esse privilégio.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Atuar como parte do sistema operacional".

SeSecurityPrivilege

O privilégio necessário para executar várias funções relacionadas à segurança, como controlar e exibir mensagens de auditoria. Esse privilégio identifica seu titular como um operador de segurança. Esse privilégio permite que um usuário especifique opções de auditoria de acesso a objetos para recursos individuais, incluindo arquivos, objetos do Active Directory e chaves do Registro. Um usuário que tenha esse privilégio também pode exibir e limpar o log de segurança do Visualizador de Eventos.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Gerenciar log de auditoria e segurança".

SeTakeOwnershipPrivilege

O privilégio necessário para assumir a propriedade de um objeto sem ter acesso discricionário concedido. Esse privilégio permite que o usuário assuma a propriedade de qualquer objeto protegível no sistema, incluindo objetos, arquivos e pastas do Active Directory, impressoras, chaves do Registro, processos e threads. Esse privilégio permite que o valor do proprietário seja definido apenas para os valores que o titular pode atribuir legitimamente como o proprietário de um objeto.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Assumir a propriedade de arquivos ou outros objetos".

SeLoadDriverPrivilege

O privilégio necessário para carregar ou descarregar um driver de dispositivo. Esse privilégio permite que um usuário instale e remova drivers para dispositivos Plug and Play. Esse privilégio não será necessário se um driver assinado para o novo hardware já existir no arquivo Driver.cab no computador.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Carregar e descarregar drivers de dispositivo".

SeCreatePagefilePrivilege

O privilégio necessário para criar e alterar o tamanho de um arquivo de paginação.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Create um arquivo de página".

SeIncreaseBasePriorityPrivilege

O privilégio necessário para aumentar a prioridade base de um processo. Esse privilégio permite que um usuário aumente a classe de prioridade base de um processo. Aumentar a prioridade relativa dentro de uma classe de prioridade não é uma operação privilegiada e não precisa desse privilégio.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Aumentar a prioridade de agendamento".

SeSystemProfilePrivilege

O privilégio necessário para coletar informações de criação de perfil para todo o sistema. O privilégio permite que um usuário teste o desempenho dos processos do sistema.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Desempenho do sistema de perfil".

SeSystemtimePrivilege

O privilégio necessário para modificar a hora do sistema. Esse privilégio permite que o usuário ajuste a hora no relógio interno do computador. Esse privilégio não é necessário para alterar o fuso horário ou outras características de exibição da hora do sistema.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Alterar a hora do sistema".

SeProfileSingleProcessPrivilege

O privilégio necessário para coletar informações de criação de perfil para um único processo. O privilégio permite que um usuário teste o desempenho de um processo de aplicativo.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Processo único de perfil".

SeCreatePermanentPrivilege

O privilégio necessário para criar um objeto permanente. Esse privilégio permite que um processo crie um objeto de diretório no gerenciador de objetos. Esse privilégio é útil para componentes do modo kernel que estendem o namespace do objeto. Os componentes em execução no modo kernel têm esse privilégio inerentemente.

Os aplicativos de modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Create objetos compartilhados permanentes".

SeBackupPrivilege

O privilégio necessário para executar operações de backup. Esse privilégio permite que o usuário contorne permissões de arquivo e diretório para fazer backup do sistema. Esse privilégio faz com que o sistema conceda todo o controle de acesso de leitura a qualquer arquivo, independentemente da ACL (lista de controle de acesso) especificada para o arquivo. Qualquer solicitação de acesso diferente de leitura ainda é avaliada com a ACL. Esse privilégio é exigido pelas rotinas RegSaveKey e RegSaveKeyEx do modo de usuário. Os seguintes direitos de acesso serão concedidos se esse privilégio for mantido:

READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Fazer backup de arquivos e diretórios".

SeRestorePrivilege

O privilégio necessário para executar operações de restauração. Esse privilégio permite que um usuário contorne permissões de arquivo e diretório ao restaurar arquivos e diretórios de backup e definir qualquer entidade de segurança válida como o proprietário de um objeto. Esse privilégio faz com que o sistema conceda todo o controle de acesso de gravação a qualquer arquivo, independentemente da ACL especificada para o arquivo. Qualquer solicitação de acesso diferente de gravação ainda é avaliada com a ACL. Além disso, esse privilégio permite que você defina qualquer SID de usuário ou grupo válido como o proprietário de um arquivo. Esse privilégio é exigido pelas rotinas RegLoadKey e RegUnLoadKey do modo de usuário que adicionam ou removem um hive do registro. Os seguintes direitos de acesso serão concedidos se esse privilégio for mantido:

WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
DELETE

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Restaurar arquivos e diretórios".

SeShutdownPrivilege

O privilégio necessário para desligar um sistema local.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Desligar o sistema".

SeDebugPrivilege

O privilégio necessário para depurar e ajustar a memória de um processo pertencente a outra conta. Esse privilégio permite que o usuário anexe um depurador a qualquer processo. Esse privilégio fornece acesso a componentes confidenciais e críticos do sistema operacional.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Programas de depuração".

SeAuditPrivilege

O privilégio necessário para gerar entradas de log de auditoria no log de segurança. O log de segurança pode ser usado para rastrear o acesso não autorizado ao sistema. Esse privilégio deve ser dado a servidores seguros.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Gerar auditorias de segurança".

SeSystemEnvironmentPrivilege

O privilégio necessário para modificar a RAM não volátil de sistemas que usam esse tipo de memória para armazenar informações de configuração.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Modificar valores de ambiente de firmware".

SeChangeNotifyPrivilege

O privilégio necessário para receber notificações de alterações em arquivos ou diretórios. Esse privilégio permite que o usuário passe pastas para as quais o usuário não tem acesso ao navegar por um caminho de objeto no sistema de arquivos NTFS ou no registro. Esse privilégio não permite que o usuário liste o conteúdo de uma pasta; permite que o usuário percorra apenas seus diretórios. Esse privilégio faz com que o sistema ignore todas as verificações de acesso de passagem. Ele está habilitado por padrão para todos os usuários.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Ignorar verificação de passagem".

SeRemoteShutdownPrivilege

O privilégio necessário para desligar um sistema usando uma solicitação de rede. Esse privilégio permite que um usuário desligue um computador de um local remoto na rede.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Forçar o desligamento de um sistema remoto".

SeNullSid

O SID nulo.

SeWorldSid

O SID que corresponde a todos.

SeLocalSid

O SID local.

SeCreatorOwnerSid

O SID que corresponde ao proprietário ou criador de um objeto. Esse SID é usado em ACEs (entradas de controle de acesso) herdadas.

SeCreatorGroupSid

O SID que corresponde ao grupo criador de um objeto . Esse SID é usado em ACEs herdáveis.

SeNtAuthoritySid

O SID da autoridade de Windows NT da Microsoft.

SeDialupSid

O SID de uma conta discada.

SeNetworkSid

O SID de uma conta de rede. Essa SID é adicionada ao processo de um token quando ele faz logon em uma rede. O tipo de logon correspondente é LOGON32_LOGON_NETWORK.

SeBatchSid

O SID de um processo em lote. Essa SID é adicionada ao processo de um token quando ele faz logon como um trabalho em lotes. O tipo de logon correspondente é LOGON32_LOGON_BATCH.

SeInteractiveSid

O SID de uma conta interativa. Essa SID é adicionada ao processo de um token quando ele faz logon interativamente. O tipo de logon correspondente é LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

O SID que corresponde à conta LocalSystem, uma conta local predefinida usada pelo Gerenciador de Controle de Serviço. Essa conta não é reconhecida pelo subsistema de segurança. Ele tem privilégios extensos no computador local e atua como o computador na rede. Seu token inclui os SIDs WINDOWS NT AUTHORITY\SYSTEM e BUILTIN\Administrators; essas contas têm acesso à maioria dos objetos do sistema. O nome da conta em todas as localidades é ".\LocalSystem". O nome, "LocalSystem" ou "ComputerName\LocalSystem" também pode ser usado. Essa conta não tem uma senha.

Um serviço executado no contexto da conta LocalSystem herda o contexto de segurança do Service Control Manager. A conta não está associada a nenhuma conta de usuário conectada.

A conta LocalSystem tem os seguintes privilégios:

SE_ASSIGNPRIMARYTOKEN_NAME
SE_AUDIT_NAME
SE_BACKUP_NAME
SE_CHANGE_NOTIFY_NAME
SE_CREATE_PAGEFILE_NAME
SE_CREATE_PERMANENT_NAME
SE_CREATE_TOKEN_NAME
SE_DEBUG_NAME
SE_INC_BASE_PRIORITY_NAME
SE_INCREASE_QUOTA_NAME
SE_LOAD_DRIVER_NAME
SE_LOCK_MEMORY_NAME
SE_PROF_SINGLE_PROCESS_NAME
SE_RESTORE_NAME
SE_SECURITY_NAME
SE_SHUTDOWN_NAME
SE_SYSTEM_ENVIRONMENT_NAME
SE_SYSTEM_PROFILE_NAME
SE_SYSTEMTIME_NAME
SE_TAKE_OWNERSHIP_NAME
SE_TCB_NAME
SE_UNDOCK_NAME

A maioria dos serviços não precisa de um nível de privilégio tão alto. Se o serviço não precisar desses privilégios e não for um serviço interativo, considere usar a conta LocalService ou a conta NetworkService.

SeAliasAdminsSid

O SID que corresponde à conta de administrador.

SeAliasUsersSid

O SID que corresponde às contas de usuário internas.

SeAliasGuestsSid

O SID que corresponde à conta de convidado.

SeAliasPowerUsersSid

O SID que corresponde ao grupo de usuários avançados.

SeAliasAccountOpsSid

O SID que corresponde à conta de operadores de conta.

SeAliasSystemOpsSid

O SID que corresponde ao grupo de operadores do sistema.

SeAliasPrintOpsSid

O SID que corresponde ao grupo de operadores de impressão.

SeAliasBackupOpsSid

O SID que corresponde ao grupo de operadores de backup.

SeAuthenticatedUsersSid

O SID que corresponde a qualquer usuário autenticado.

SeRestrictedSid

O SID para código restrito.

SeAnonymousLogonSid

O SID da conta anônima.

SeUndockPrivilege

O privilégio necessário para remover um computador de uma estação de encaixe. Esse privilégio permite que o usuário de um computador portátil desencaixe o computador clicando em Iniciar e, em seguida, clicando em Ejetar COMPUTADOR.

SeSyncAgentPrivilege

O privilégio necessário para sincronizar dados de serviço de diretório. Esse privilégio permite que um processo leia todos os objetos e propriedades no diretório, independentemente da proteção definida nos objetos e propriedades. Esse privilégio é necessário para usar os serviços de sincronização de diretório (Dirsync) do Protocolo LDAP. Esse privilégio é necessário para que um controlador de domínio use os serviços de sincronização de diretório LDAP.

SeEnableDelegationPrivilege

O privilégio necessário para permitir que contas de computador e usuário sejam confiáveis para delegação.

SeLocalServiceSid

O SID que corresponde à conta LocalService, uma conta local predefinida. A conta LocalService tem privilégios mínimos no computador local e apresenta credenciais anônimas na rede. O nome da conta em todas as localidades é "NT AUTHORITY\LocalService". Essa conta não tem uma senha. A conta LocalService tem sua própria subchave sob a chave do Registro HKEY_USERS. Portanto, a chave do Registro HKEY_CURRENT_USER está associada à conta LocalService.

A conta LocalService tem os seguintes privilégios:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Todos os privilégios atribuídos a usuários e usuários autenticados

A conta LocalService está disponível no Microsoft Windows XP e em sistemas operacionais posteriores.

SeNetworkServiceSid

O SID que corresponde à conta NetworkService, uma conta local predefinida. A conta NetworkService tem privilégios mínimos no computador local e atua como o computador na rede. O nome da conta em todas as localidades é "NT AUTHORITY\NetworkService". Essa conta não tem uma senha.

Um serviço executado no contexto da conta NetworkService apresenta as credenciais do computador para servidores remotos. Por padrão, o token remoto contém SIDs para os grupos Todos e Usuários Autenticados.

A conta NetworkService tem sua própria subchave sob a chave do Registro HKEY_USERS. Portanto, a chave do Registro HKEY_CURRENT_USER está associada à conta NetworkService.

A conta NetworkService tem os seguintes privilégios:

SE_AUDIT_NAME
SE_CHANGE_NOTIFY_NAME
SE_UNDOCK_NAME
Todos os privilégios atribuídos a usuários e usuários autenticados

SeManageVolumePrivilege

O privilégio necessário para permitir que um usuário não administrativo ou remoto gerencie volumes ou discos. O sistema operacional verifica esse privilégio no token de acesso de um usuário quando um processo em execução no contexto de segurança do usuário chama a rotina SetFileValidData do modo de usuário.

SeImpersonatePrivilege

O privilégio necessário para representar um usuário.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Representar um cliente após a autenticação".

SeCreateGlobalPrivilege

O privilégio necessário para que uma conta de usuário crie objetos globais em uma sessão dos Serviços de Terminal. Observe que os usuários ainda podem criar objetos específicos da sessão sem receber esse direito de usuário. Por padrão, esse privilégio é atribuído aos membros do grupo Administradores, à conta do sistema e aos serviços iniciados pelo Service Control Manager. Esse privilégio está disponível no Windows 2000 com Service Pack 4 e posterior.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Create Objetos Globais".

SeTrustedCredManAccessPrivilege

O privilégio necessário para acessar o Gerenciador de Credenciais como um chamador confiável.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Acessar o Gerenciador de Credenciais como um chamador confiável".

SeRelabelPrivilege

O privilégio necessário para modificar o nível de integridade obrigatório de um objeto.

Os aplicativos no modo de usuário representam esse privilégio como a seguinte cadeia de caracteres à direita do usuário: "Modificar um rótulo de objeto".