Démarrage des services Windows à partir d'applications sans privilèges d'administrateur

De nombreux scénarios impliquent le démarrage ou l'arrêt des services Windows à partir d'applications distinctes. Cependant, cela peut sembler limité pour les utilisateurs non-administrateurs en raison de problèmes de sécurité. Comment pouvons-nous surmonter cette limitation et donner aux utilisateurs un contrôle granulaire sur la gestion des services sans compromettre la stabilité du système ?

La solution : modifier les autorisations de service

La clé de ce problème réside en modifiant les autorisations de l'objet de service. En accordant les droits appropriés aux utilisateurs non administrateurs, nous pouvons leur permettre d'interagir avec les services de manière contrôlée.

L'extrait de code suivant montre comment définir le descripteur de sécurité d'un service pour inclure les autorisations requises :

wchar_t sddl[] = L"D:"
  L"(A;;CCLCSWRPWPDTLOCRRC;;;SY)"           
  L"(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)"   
  L"(A;;CCLCSWLOCRRC;;;AU)"                 
  L"(A;;CCLCSWRPWPDTLOCRRC;;;PU)"           
  L"(A;;RP;;;IU)"                         
;

PSECURITY_DESCRIPTOR sd;

if (!ConvertStringSecurityDescriptorToSecurityDescriptor(sddl, SDDL_REVISION_1, &sd, NULL))
{
   fail();
}

if (!SetServiceObjectSecurity(service, DACL_SECURITY_INFORMATION, sd))
{
   fail();
}

Ce descripteur de sécurité spécifique accorde les autorisations suivantes :

• Autorisations par défaut pour le système local : Accorde un contrôle total au compte système local.
• Autorisations par défaut pour les administrateurs : Accorde l'accès aux administrateurs.
• Autorisations par défaut pour les utilisateurs authentifiés : Accorde un accès limité à tous les utilisateurs authentifiés.
• Autorisations par défaut pour les utilisateurs expérimentés : Accorde un contrôle total aux utilisateurs expérimentés.
• Ajouté autorisation pour les utilisateurs interactifs : Accorde l'autorisation de démarrer le service pour les utilisateurs interactifs.

La chaîne de descripteur de sécurité (SDDL) peut être personnalisée pour ajoutez ou supprimez des autorisations spécifiques en fonction du niveau d'accès souhaité pour différents groupes d'utilisateurs. Par exemple, si vous souhaitez que les utilisateurs non administrateurs puissent arrêter le service, le SDDL suivant peut être utilisé :

L"(A;;RPWP;;;IU)" 

Cela ajouterait le droit WP (WRITE_PROPERTY), permettant aux utilisateurs interactifs de démarrer et d'arrêter le service.

En définissant soigneusement les autorisations, les utilisateurs non-administrateurs peuvent effectuer des tâches essentielles de gestion de service sans compromettre la sécurité du système.