Дескриптор безопасности - Security descriptor

Дескрипторы безопасности данные структуры информации о безопасности для защищаемый Windows объекты, то есть объекты, которые можно идентифицировать по уникальному имени. Дескрипторы безопасности могут быть связаны с любыми именованными объектами, включая файлы, папки, акции, реестр ключи, процессы, потоки, именованные каналы, службы, объекты заданий и другие ресурсы.[1]

Дескрипторы безопасности содержат дискреционные списки контроля доступа (DACL), которые содержат записи управления доступом (ACE), которые предоставляют или запрещают доступ опекунам, таким как пользователи или группы. Они также содержат системный список управления доступом (SACL), который контролирует аудит доступа к объектам.[2][3] ACE могут быть явно применены к объекту или унаследованы от родительского объекта. Порядок ACE в ACL важен, при этом ACE с отказом в доступе появляются в более высоком порядке, чем ACE, которые предоставляют доступ. Дескрипторы безопасности также содержат владельца объекта.

Обязательный контроль целостности реализуется через новый тип ACE в дескрипторе безопасности.[4]

Права доступа к файлам и папкам можно редактировать с помощью различных инструментов, включая проводник Виндоус, WMI, инструменты командной строки, такие как Cacls, XCacls, ICacls, SubInACL,[5] в бесплатное ПО Консоль Win32 FILEACL,[6][7] в бесплатно программное обеспечение полезность SetACL, и другие утилиты. Чтобы редактировать дескриптор безопасности, пользователю необходимы разрешения WRITE_DAC для объекта,[8] разрешение, которое обычно по умолчанию делегируется администраторы и собственник объекта.

Разрешения в NTFS

NTFS использует набор из 14 (12 в старых системах) разрешения для файлов и папок которые в форме ACL хранится в дескрипторах безопасности. В следующей таблице представлена ​​система разрешений (в отдельных строках), которая скрыта за счет использования разных имен и сокращений в различных программах (см. icacls и cacls столбцы), а также несколько уровней сопоставлений разрешений, например общие права доступа (столбцы GR, GE, GW и GA в таблице предназначены для GENERIC_READ, GENERIC_EXECUTE, GENERIC_WRITE и GENERIC_ALL соответственно), стандартные права доступа и специальные разрешения все они сопоставлены с разрешениями для файлов и папок.[9][10][11]

winnt.hфайлыпапкиGRGEГВтGABMicaclscacls
0x01Прочитать данныеПапка списка++++RDFILE_READ_DATA
0x80Читать атрибуты++++РАFILE_READ_ATTRIBUTES
0x08Читать расширенные атрибуты++++REAFILE_READ_EA
0x20Выполнить файлПапка перемещения+++ИксFILE_EXECUTE
0x20000Разрешения на чтение+++++RCREAD_CONTROL
0x100000Синхронизировать+++++SСИНХРОНИЗИРОВАТЬ
0x02Запись данныхСоздать файлы+++WDFILE_WRITE_DATA
0x04Добавить данныеСоздать папки+++ОБЪЯВЛЕНИЕFILE_APPEND_D
0x100Запись атрибутов+++WAFILE_WRITE_ATTRIBUTES
0x10Написать расширенные атрибуты+++WEAFILE_WRITE_EA
0x10000Удалить++DEУДАЛИТЬ
0x40000Изменить разрешения+WDACWRITE_DAC
0x80000Стать владельцем+WOWRITE_OWNER
0x40Удалить подпапки и файлы+ОКРУГ КОЛУМБИЯFILE_DELETE_CHILD

Смотрите также

Рекомендации

  1. ^ «Защищаемые объекты». Microsoft. 2008-04-24. Получено 2008-07-16.
  2. ^ "Что такое дескрипторы безопасности и списки контроля доступа?". Microsoft. Архивировано из оригинал на 2008-05-05. Получено 2008-07-16.
  3. ^ "DACL и ACE". Microsoft. 2008-04-24. Получено 2008-07-16.
  4. ^ https://msdn.microsoft.com/en-us/library/bb625957.aspx Что такое механизм целостности Windows?
  5. ^ Домашняя страница SubInACL
  6. ^ Домашняя страница FILEACL В архиве 2012-08-29 в Wayback Machine
  7. ^ «FILEACL v3.0.1.6». Microsoft. 2004-03-23. Архивировано из оригинал 16 апреля 2008 г.. Получено 2008-07-25.
  8. ^ "Тип данных ACCESS_MASK". Microsoft. 2008-04-24. Получено 2008-07-23.
  9. ^ «Как работают разрешения». Microsoft. 2013-06-21. Получено 2017-11-24.
  10. ^ Ричард Сивил. «Как это работает. Разрешения NTFS, часть 2». Microsoft. Получено 2017-11-24.
  11. ^ Ричард Сивил. «Как это работает. Разрешения NTFS». Microsoft. Получено 2017-11-24.

внешняя ссылка