Дескрипторы безопасности - это структуры данных информации о безопасности для защищаемых объектов Windows , то есть объекты, которые можно идентифицировать по уникальному имени. Дескрипторы безопасности могут быть связаны с любыми именованными объектами, включая файлы , папки , общие ресурсы , ключи реестра , процессы, потоки, именованные каналы, службы, объекты заданий и другие ресурсы. [1]
Дескрипторы безопасности содержат списки дискреционного управления доступом (DACL), которые содержат записи управления доступом (ACE), которые предоставляют и запрещают доступ опекунам, таким как пользователи или группы. Они также содержат системный список управления доступом (SACL), который контролирует аудит доступа к объектам. [2] [3] ACE могут быть явно применены к объекту или унаследованы от родительского объекта. Порядок ACE в ACL важен, при этом ACE, запрещенные в доступе, появляются в более высоком порядке, чем ACE, которые предоставляют доступ. Дескрипторы безопасности также содержат владельца объекта.
Обязательный контроль целостности реализуется с помощью нового типа ACE для дескриптора безопасности. [4]
Файлы и папки разрешения могут быть отредактированы с помощью различных инструментов , включая Проводник Windows , WMI , инструменты командной строки , как Cacls , XCACLS, Icacls , SubInACL, [5] бесплатной Win32 консоли FILEACL, [6] [7] на свободное программное обеспечение полезности SetACL и другие коммунальные услуги. Для редактирования дескриптора безопасности пользователю необходимы разрешения WRITE_DAC для объекта [8], разрешение, которое обычно делегируется по умолчанию администраторам и владельцу объекта.
Разрешения в NTFS
NTFS использует набор из 14 (12 в старых системах) разрешений для файлов и папок , которые в форме ACL хранятся в дескрипторах безопасности. В следующей таблице приводится сводная информация о системе разрешений (в отдельных строках), которая скрыта за счет использования разных имен и сокращений в различных программах (см. Столбцы icacls и cacls ), а также ряда уровней сопоставлений разрешений, таких как общие права доступа ( столбцы GR, GE, GW и GA в таблице предназначены для GENERIC_READ, GENERIC_EXECUTE, GENERIC_WRITE и GENERIC_ALL соответственно), стандартных прав доступа и специальных разрешений, которые все сопоставлены с разрешениями для файлов и папок. [9] [10] [11]
winnt.h | файлы | папки | GR | GE | ГВт | GA | BM | icacls | cacls |
0x01 | Прочитать данные | Папка списка | + | + | + | + | RD | FILE_READ_DATA | |
0x80 | Читать атрибуты | + | + | + | + | РА | FILE_READ_ATTRIBUTES | ||
0x08 | Читать расширенные атрибуты | + | + | + | + | REA | FILE_READ_EA | ||
0x20 | Выполнить файл | Папка перемещения | + | + | + | Икс | FILE_EXECUTE | ||
0x20000 | Разрешения на чтение | + | + | + | + | + | RC | READ_CONTROL | |
0x100000 | Синхронизировать | + | + | + | + | + | S | СИНХРОНИЗИРОВАТЬ | |
0x02 | Запись данных | Создать файлы | + | + | + | WD | FILE_WRITE_DATA | ||
0x04 | Добавить данные | Создать папки | + | + | + | ОБЪЯВЛЕНИЕ | FILE_APPEND_D | ||
0x100 | Запись атрибутов | + | + | + | WA | FILE_WRITE_ATTRIBUTES | |||
0x10 | Написать расширенные атрибуты | + | + | + | WEA | FILE_WRITE_EA | |||
0x10000 | Удалить | + | + | DE | УДАЛИТЬ | ||||
0x40000 | Изменить разрешения | + | WDAC | WRITE_DAC | |||||
0x80000 | Взять на себя ответственность | + | WO | WRITE_OWNER | |||||
0x40 | Удалить подпапки и файлы | + | ОКРУГ КОЛУМБИЯ | FILE_DELETE_CHILD |
Смотрите также
Рекомендации
- ^ «Защищаемые объекты» . Microsoft . 2008-04-24 . Проверено 16 июля 2008 .
- ^ «Что такое дескрипторы безопасности и списки контроля доступа?» . Microsoft . Архивировано из оригинала на 2008-05-05 . Проверено 16 июля 2008 .
- ^ «DACL и ACE» . Microsoft . 2008-04-24 . Проверено 16 июля 2008 .
- ^ https://msdn.microsoft.com/en-us/library/bb625957.aspx Что такое механизм целостности Windows?
- ^ Домашняя страница SubInACL
- ^ Домашняя страница FILEACL. Архивировано 29 августа 2012 г. на Wayback Machine.
- ^ «FILEACL v3.0.1.6» . Microsoft . 2004-03-23. Архивировано из оригинального 16 апреля 2008 года . Проверено 25 июля 2008 .
- ^ «Тип данных ACCESS_MASK» . Microsoft . 2008-04-24 . Проверено 23 июля 2008 .
- ^ «Как работают разрешения» . Microsoft . 2013-06-21 . Проверено 24 ноября 2017 .
- ^ Ричард Сивил. «Как это работает. Разрешения NTFS, часть 2» . Microsoft . Проверено 24 ноября 2017 .
- ^ Ричард Сивил. "Как это работает Разрешения NTFS" . Microsoft . Проверено 24 ноября 2017 .
Внешние ссылки
- Описание команды CACLS на SS64.com
- Страница SetACL SourceForge