Deskryptor zabezpieczeń
Deskryptory zabezpieczeń to struktury danych zawierające informacje o zabezpieczeniach dla zabezpieczanych obiektów systemu Windows , czyli obiektów, które można zidentyfikować za pomocą unikalnej nazwy. Deskryptory zabezpieczeń można powiązać z dowolnymi nazwanymi obiektami, w tym plikami , folderami , udziałami, kluczami rejestru , procesami, wątkami, nazwanymi potokami, usługami, obiektami zadań i innymi zasobami.
Deskryptory zabezpieczeń zawierają uznaniowe listy kontroli dostępu (DACL), które zawierają wpisy kontroli dostępu (ACE), które udzielają i odmawiają dostępu powiernikom, takim jak użytkownicy lub grupy. Zawierają również listy kontroli dostępu do systemu (SACL), które kontrolują inspekcję dostępu do obiektów. ACE mogą być jawnie stosowane do obiektu lub dziedziczone z obiektu nadrzędnego. Kolejność wpisów ACE na liście ACL jest ważna, przy czym wpisy ACE z odmową dostępu pojawiają się wyżej w kolejności niż wpisy ACE przyznające dostęp. Deskryptory zabezpieczeń zawierają również właściciela obiektu.
Obowiązkowa kontrola integralności jest realizowana przez nowy typ ACE w deskryptorze bezpieczeństwa.
Uprawnienia do plików i folderów można edytować za pomocą różnych narzędzi, w tym Eksploratora Windows , WMI , narzędzi wiersza poleceń, takich jak Cacls , XCacls, ICacls , SubInACL, darmowej konsoli Win32 FILEACL, bezpłatnego oprogramowania narzędziowego SetACL i innych narzędzi. Aby edytować deskryptor zabezpieczeń, użytkownik potrzebuje uprawnień WRITE_DAC do obiektu, uprawnień, które są zwykle delegowane domyślnie administratorom i właścicielowi obiektu.
Uprawnienia w systemie plików NTFS
Poniższa tabela podsumowuje uprawnienia NTFS i ich role (w poszczególnych wierszach). Tabela zawiera następujące informacje:
- Kod uprawnień: każdy wpis kontroli dostępu (ACE) określa swoje uprawnienia za pomocą kodu binarnego. Istnieje 14 kodów (12 w starszych systemach).
- Znaczenie: Każdy kod uprawnień ma znaczenie w zależności od tego, czy jest stosowany do pliku, czy do folderu. Na przykład kod 0x01 w pliku wskazuje uprawnienie do odczytu pliku, podczas gdy w folderze wskazuje uprawnienie do wyświetlenia zawartości folderu. Znajomość samego znaczenia jest jednak bezużyteczna. ACE musi również określać, do kogo odnosi się zezwolenie i czy to zezwolenie jest udzielane, czy odmawiane.
- Zawarte w: Oprócz indywidualnych uprawnień, ACE może określać specjalne uprawnienia znane jako „ogólne prawa dostępu”. Te uprawnienia specjalne są odpowiednikami wielu uprawnień indywidualnych. Na przykład GENERIC_READ (lub GR) jest odpowiednikiem „Odczyt danych”, „Odczyt atrybutów”, „Odczyt rozszerzonych atrybutów”, „Odczyt uprawnień” i „Synchronizuj”. Ponieważ sensowne jest jednoczesne poproszenie o te pięć, wygodniejsze jest żądanie „GENERIC_READ”.
- Alias: Dwa narzędzia wiersza poleceń systemu Windows ( icacls i cacls ) mają własne aliasy dla tych uprawnień.
| Kod zezwolenia |
Oznaczający | Zawarte w | Alias | ||||||
|---|---|---|---|---|---|---|---|---|---|
| Dla plików | Do folderów | R | mi | W | A | M | w icacls | w cacls | |
| 0x01 | Odczyt danych | Wyświetl zawartość folderu | Tak | Tak | Tak | Tak | R & D | FILE_READ_DATA | |
| 0x80 | Przeczytaj atrybuty | Tak | Tak | Tak | Tak | RA | FILE_READ_ATTRIBUTES | ||
| 0x08 | Przeczytaj rozszerzone atrybuty | Tak | Tak | Tak | Tak | REA | FILE_READ_EA | ||
| 0x20 | Wykonaj plik | Przekrój folderu | Tak | Tak | Tak | X | PLIK_WYKONAJ | ||
| 0x20000 | Odczyt uprawnień | Tak | Tak | Tak | Tak | Tak | RC | READ_CONTROL | |
| 0x100000 | Synchronizować | Tak | Tak | Tak | Tak | Tak | S | SYNCHRONIZOWAĆ | |
| 0x02 | Zapisz dane | Twórz pliki | Tak | Tak | Tak | WD | FILE_WRITE_DATA | ||
| 0x04 | Dołącz dane | Twórz foldery | Tak | Tak | Tak | OGŁOSZENIE | FILE_APPEND_D | ||
| 0x100 | Napisz atrybuty | Tak | Tak | Tak | wa | FILE_WRITE_ATTRYBUTY | |||
| 0x10 | Napisz rozszerzone atrybuty | Tak | Tak | Tak | WEA | FILE_WRITE_EA | |||
| 0x10000 | Usuń (lub zmień nazwę) | Tak | Tak | DE | USUWAĆ | ||||
| 0x40000 | Zmień uprawnienia | Tak | WDAC | WRITE_DAC | |||||
| 0x80000 | Przejąć na własność | Tak | WO | WRITE_WŁAŚCICIEL | |||||
| 0x40 | Usuń podfoldery i pliki | Tak | DC | FILE_DELETE_CHILD | |||||
Większość z tych uprawnień jest oczywista, z wyjątkiem następujących:
- Zmiana nazwy pliku wymaga uprawnienia „Usuń”.
- Eksplorator plików nie pokazuje opcji „Synchronizuj” i zawsze ją ustawia. Aplikacje wielowątkowe, takie jak Eksplorator plików i Wiersz polecenia systemu Windows, wymagają uprawnienia „Synchronizuj”, aby móc pracować z plikami i folderami.
przypisy
Zobacz też
- Kontrola dostępu § Bezpieczeństwo komputerowe
- Audyt bezpieczeństwa technologii informatycznych
- Upoważnienie
- Bezpieczeństwo komputera
- Bezpieczeństwo informacji
- Token (architektura Windows NT)
- Identyfikator SID systemu Windows
- SDDL