Deskriptor zabezpečení - Security descriptor

Deskriptory zabezpečení jsou data struktur bezpečnostních informací pro zabezpečitelné Okna předměty, tj. objekty, které lze identifikovat jedinečným názvem. Deskriptory zabezpečení lze přidružit k libovolným pojmenovaným objektům, včetně soubory, složky, akcie, registr klíče, procesy, vlákna, pojmenované kanály, služby, objekty úloh a další zdroje.[1]

Deskriptory zabezpečení obsahují diskreční práva seznamy řízení přístupu (DACL), které obsahují položky řízení přístupu (ACE), které udělují a odepírají přístup správcům, jako jsou uživatelé nebo skupiny. Obsahují také seznam řízení přístupu k systému (SACL), který řídí auditování přístupu k objektům.[2][3] ACE mohou být explicitně použity na objekt nebo zděděny z nadřazeného objektu. Pořadí ACE v seznamu ACL je důležité, přičemž ACE s odepřeným přístupem se v pořadí zobrazují výše než ACE, které udělují přístup. Deskriptory zabezpečení také obsahují vlastníka objektu.

Povinná kontrola integrity je implementován prostřednictvím nového typu ACE na deskriptoru zabezpečení.[4]

Povolení souborů a složek lze upravovat různými nástroji, včetně Průzkumník Windows, WMI, nástroje příkazového řádku jako Cacl, XCacls, ICacls, SubInACL,[5] the freeware Konzole Win32 FILEACL,[6][7] the svobodný software nástroj Nastavit ACL a další nástroje. K úpravě deskriptoru zabezpečení potřebuje uživatel oprávnění WRITE_DAC k objektu,[8] oprávnění, které je ve výchozím nastavení obvykle delegováno na správci a majitel objektu.

Oprávnění v NTFS

NTFS používá sadu 14 (12 ve starších systémech) oprávnění pro soubory a složky které jsou ve formě ACL uloženy v bezpečnostních deskriptorech. Následující tabulka shrnuje systém oprávnění (v jednotlivých řádcích), který je zakryt použitím různých jmen a zkratek v různých programech (viz icacls a cacls sloupce) a také několik úrovní mapování oprávnění, jako obecná přístupová práva (sloupce GR, GE, GW a GA v tabulce jsou pro GENERIC_READ, GENERIC_EXECUTE, GENERIC_WRITE a GENERIC_ALL), standardní přístupová práva a speciální oprávnění že všechny jsou mapovány na oprávnění pro soubory a složky.[9][10][11]

winnt.hsouborysložkyGRGEGWGABMicaclscacls
0x01Číst dataSeznam složek++++RDFILE_READ_DATA
0x80Číst atributy++++RAFILE_READ_ATTRIBUTES
0x08Přečtěte si rozšířené atributy++++REAFILE_READ_EA
0x20Spustit souborTraverza složky+++XFILE_EXECUTE
0x20000Číst oprávnění+++++RCREAD_CONTROL
0x100000Synchronizovat+++++SSYNCHRONIZOVAT
0x02Zápis datVytváření souborů+++WDFILE_WRITE_DATA
0x04Připojit dataVytvořit složky+++INZERÁTFILE_APPEND_D
0x100Napište atributy+++WAFILE_WRITE_ATTRIBUTES
0x10Napište rozšířené atributy+++WEAFILE_WRITE_EA
0x10000Vymazat++DEVYMAZAT
0x40000Změnit oprávnění+WDACWRITE_DAC
0x80000Převzít vlastnictví+WOZapsat_OWNER
0x40Odstraňte podsložky a soubory+DCFILE_DELETE_CHILD

Viz také

Reference

  1. ^ „Zabezpečitelné objekty“. Microsoft. 2008-04-24. Citováno 2008-07-16.
  2. ^ „Co jsou deskriptory zabezpečení a seznamy řízení přístupu?“. Microsoft. Archivovány od originál dne 05.05.2008. Citováno 2008-07-16.
  3. ^ „DACL a ACE“. Microsoft. 2008-04-24. Citováno 2008-07-16.
  4. ^ https://msdn.microsoft.com/en-us/library/bb625957.aspx Co je mechanismus integrity systému Windows?
  5. ^ Domovská stránka SubInACL
  6. ^ Domovská stránka FILEACL Archivováno 2012-08-29 na Wayback Machine
  7. ^ „FILEACL v3.0.1.6“. Microsoft. 23. 3. 2004. Archivovány od originál 16. dubna 2008. Citováno 2008-07-25.
  8. ^ „Datový typ ACCESS_MASK“. Microsoft. 2008-04-24. Citováno 2008-07-23.
  9. ^ „Jak fungují oprávnění“. Microsoft. 2013-06-21. Citováno 2017-11-24.
  10. ^ Richard Civil. „Jak IT funguje oprávnění NTFS, část 2“. Microsoft. Citováno 2017-11-24.
  11. ^ Richard Civil. „Jak IT pracuje oprávnění NTFS“. Microsoft. Citováno 2017-11-24.

externí odkazy