Jump to content

Дескриптор безопасности

Дескрипторы безопасности данных — это структуры с информацией о безопасности для защищаемых Windows объектов , то есть объектов, которые можно идентифицировать по уникальному имени. Дескрипторы безопасности могут быть связаны с любыми именованными объектами, включая файлы , папки , общие ресурсы, ключи реестра , процессы, потоки, именованные каналы, службы, объекты заданий и другие ресурсы. [1]

Дескрипторы безопасности содержат списки управления доступом по усмотрению (DACL), которые содержат записи управления доступом (ACE), которые предоставляют или запрещают доступ доверенным лицам, таким как пользователи или группы. Они также содержат список управления доступом к системе (SACL), который контролирует аудит доступа к объектам. [2] [3] Элементы управления доступом могут быть явно применены к объекту или унаследованы от родительского объекта. Порядок ACE в ACL важен: ACE, которым запрещен доступ, располагаются выше в порядке, чем ACE, предоставляющие доступ. Дескрипторы безопасности также содержат владельца объекта.

Обязательный контроль целостности реализуется посредством нового типа ACE в дескрипторе безопасности. [4]

Разрешения для файлов и папок можно редактировать с помощью различных инструментов, включая Windows Explorer , WMI , инструменты командной строки, такие как Cacls , XCacls, ICacls , SubInACL, [5] бесплатная FILEACL консоль Win32 , [6] [7] бесплатная программная утилита SetACL и другие утилиты. Чтобы редактировать дескриптор безопасности, пользователю необходимы разрешения WRITE_DAC для объекта. [8] разрешение, которое обычно делегируется по умолчанию администраторам и владельцу объекта.

Разрешения в NTFS

[ редактировать ]

В следующей таблице приведены разрешения NTFS и их роли (в отдельных строках). В таблице представлена ​​следующая информация: [9] [10] [11]

  • Код разрешения: каждая запись управления доступом (ACE) определяет свое разрешение в двоичном коде. Существует 14 кодов (12 в старых системах).
  • Значение. Каждый код разрешения имеет значение в зависимости от того, применяется ли он к файлу или папке. Например, код 0x01 в файле указывает на разрешение на чтение файла, а на папке — на разрешение отображать содержимое папки. Однако знать только смысл бесполезно. В ACE также должно быть указано, к кому применяется разрешение и предоставлено ли это разрешение или отказано.
  • Входит в: Помимо индивидуальных разрешений, ACE может указывать специальные разрешения, известные как «общие права доступа». Эти специальные разрешения являются эквивалентами ряда индивидуальных разрешений. Например, GENERIC_READ (или GR) является эквивалентом «Чтение данных», «Чтение атрибутов», «Чтение расширенных атрибутов», «Разрешения на чтение» и «Синхронизировать». Поскольку имеет смысл запрашивать эти пять одновременно, удобнее запрашивать «GENERIC_READ».
  • Псевдоним: две утилиты командной строки Windows ( icacls и cacls ) имеют свои собственные псевдонимы для этих разрешений.
Разрешение
код
Значение Включено в Псевдоним
Для файлов Для папок Р [а] И [б] В [с] А [д] М [и] В icacls В часах
0x01 Чтение данных Список содержимого папки Да Да Да Да РД FILE_READ_DATA
0x80 Чтение атрибутов Да Да Да Да ДА FILE_READ_ATTRIBUTES
0x08 Чтение расширенных атрибутов Да Да Да Да РЭА FILE_READ_EA
0x20 Выполнить файл Обход папки Да Да Да Х ФАЙЛ_ИСПОЛНЕНИЕ
0x20000 Разрешения на чтение Да Да Да Да Да ЖК ЧТЕНИЕ_КОНТРОЛЬ
0x100000 Синхронизировать Да Да Да Да Да С СИНХРОНИЗИРОВАТЬ
0x02 Запись данных Создание файлов Да Да Да ВД FILE_WRITE_DATA
0x04 Добавить данные Создание папок Да Да Да ОБЪЯВЛЕНИЕ FILE_APPEND_D
0x100 Запись атрибутов Да Да Да Вашингтон FILE_WRITE_ATTRIBUTES
0x10 Запись расширенных атрибутов Да Да Да ВЭА FILE_WRITE_EA
0x10000 Удалить (или переименовать [12] ) Да Да ИЗ УДАЛИТЬ
0x40000 Изменение разрешений Да ВДАК WRITE_DAC
0x80000 Возьмите на себя ответственность Да ГДЕ НАПИСАТЬ_ВЛАДЕЛЕЦ
0x40 Удаление подпапок и файлов Да округ Колумбия FILE_DELETE_CHILD

Большинство этих разрешений не требуют пояснений, за исключением следующих:

  1. Для переименования файла требуется разрешение «Удалить». [12]
  2. Проводник не показывает «Синхронизировать» и всегда устанавливает его. Многопоточным приложениям, таким как «Проводник» и «Командная строка Windows», требуется разрешение «Синхронизировать», чтобы иметь возможность работать с файлами и папками. [13]


  1. ^ GENERIC_READ, известный как «Чтение» в проводнике.
  2. ^ GENERIC_EXECUTE, известный как «Чтение и выполнение» в проводнике.
  3. ^ GENERIC_WRITE, известный как «Запись» в проводнике.
  4. ^ GENERIC_ALL, известный как «Полный доступ» в проводнике.
  5. ^ известен как «Изменить». В проводнике

См. также

[ редактировать ]
  1. ^ «Охраняемые объекты» . Майкрософт . 24 апреля 2008 г. Проверено 16 июля 2008 г.
  2. ^ «Что такое дескрипторы безопасности и списки контроля доступа?» . Майкрософт . Архивировано из оригинала 5 мая 2008 г. Проверено 16 июля 2008 г.
  3. ^ «DACL и ACE» . Майкрософт . 24 апреля 2008 г. Проверено 16 июля 2008 г.
  4. ^ https://msdn.microsoft.com/en-us/library/bb625957.aspx Что такое механизм обеспечения целостности Windows?
  5. ^ Домашняя страница SubInACL
  6. ^ Домашняя страница FILEACL. Архивировано 29 августа 2012 г. на Wayback Machine.
  7. ^ «FILEACL v3.0.1.6» . Майкрософт . 2004-03-23. Архивировано из оригинала 16 апреля 2008 года . Проверено 25 июля 2008 г.
  8. ^ «Тип данных ACCESS_MASK» . Майкрософт . 24 апреля 2008 г. Проверено 23 июля 2008 г.
  9. ^ «Как работают разрешения» . Майкрософт . 21 июня 2013 г. Проверено 24 ноября 2017 г.
  10. ^ Ричард Сивил. «Как это работает. Разрешения NTFS, часть 2» . Майкрософт . Проверено 24 ноября 2017 г.
  11. ^ Ричард Сивил. «Как это работает. Разрешения NTFS» . Майкрософт . Проверено 24 ноября 2017 г.
  12. ^ Перейти обратно: а б Чен, Раймонд (22 октября 2021 г.). «Переименование файла — это многоэтапный процесс, только одним из которых является изменение имени файла» . Старая новая вещь . Майкрософт . Открытие с разрешением DELETE дает разрешение на переименование файла. Требуется разрешение DELETE, поскольку старое имя удаляется.
  13. ^ Чен, Раймонд (18 ноября 2019 г.). «Я установил один и тот же список ACL для графического интерфейса и для icacls, но результаты разные» . Старая новая вещь . Майкрософт .
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: c732a0dbf81ddc44731aa7633ac807e3__1712539800
URL1:https://arc.ask3.ru/arc/aa/c7/e3/c732a0dbf81ddc44731aa7633ac807e3.html
Заголовок, (Title) документа по адресу, URL1:
Security descriptor - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)