Дескриптор безопасности

Дескрипторы безопасности — это структуры данных информации о безопасности для защищаемых объектов Windows , то есть объектов, которые можно идентифицировать по уникальному имени. Дескрипторы безопасности могут быть связаны с любыми именованными объектами, включая файлы , папки , общие ресурсы, ключи реестра , процессы, потоки, именованные каналы, службы, объекты заданий и другие ресурсы. ^[1]

Дескрипторы безопасности содержат списки дискреционного контроля доступа (DACL), которые содержат записи контроля доступа (ACE), которые предоставляют и запрещают доступ доверенным лицам, таким как пользователи или группы. Они также содержат системный список контроля доступа (SACL), который управляет аудитом доступа к объектам. ^[2]^[3] ACE могут быть явно применены к объекту или унаследованы от родительского объекта. Порядок ACE в ACL важен, при этом ACE с отказом в доступе отображаются выше в порядке, чем ACE, которые предоставляют доступ. Дескрипторы безопасности также содержат владельца объекта.

Обязательный контроль целостности реализуется посредством нового типа ACE на дескрипторе безопасности. ^[4]

Разрешения для файлов и папок можно редактировать различными инструментами, включая Windows Explorer , WMI , инструменты командной строки, такие как Cacls , XCacls, ICacls , SubInACL, ^[5] бесплатную консоль Win32 FILEACL, ^[6]^[7] бесплатную утилиту SetACL и другие утилиты . Для редактирования дескриптора безопасности пользователю необходимы разрешения WRITE_DAC для объекта, ^[8] разрешение, которое обычно делегируется по умолчанию администраторам и владельцу объекта.

Разрешения в NTFS

В следующей таблице обобщены разрешения NTFS и их роли (в отдельных строках). Таблица содержит следующую информацию: ^[9]^[10]^[11]

Код разрешения: Каждая запись контроля доступа (ACE) определяет свое разрешение с помощью двоичного кода. Существует 14 кодов (12 в старых системах).
Значение: Каждый код разрешения имеет значение в зависимости от того, применяется ли он к файлу или папке. Например, код 0x01 на файле указывает на разрешение на чтение файла, а на папке указывает на разрешение на просмотр содержимого папки. Однако знание только значения бесполезно. ACE также должен указывать, к кому применяется разрешение, и предоставлено ли это разрешение или отклонено.
Включено в: В дополнение к индивидуальным разрешениям, ACE может указывать специальные разрешения, известные как «общие права доступа». Эти специальные разрешения являются эквивалентами ряда индивидуальных разрешений. Например, GENERIC_READ (или GR) является эквивалентом «Чтение данных», «Чтение атрибутов», «Чтение расширенных атрибутов», «Чтение разрешений» и «Синхронизация». Поскольку имеет смысл запрашивать эти пять одновременно, запрос «GENERIC_READ» более удобен.
Псевдоним: Две утилиты командной строки Windows ( icacls и cacls ) имеют собственные псевдонимы для этих разрешений.

Код разрешения	Значение		Включено в					Псевдоним
Код разрешения	Для файлов	Для папок	Р ^[а]	Э ^[б]	Туалет ^]	А ^[д]	Мне ^]	В icacls	В cacls
0x01	Прочитать данные	Список содержимого папки	Да	Да		Да	Да	РД	ФАЙЛ_ЧИТАЕМ_ДАННЫЕ
0x80	Атрибуты чтения		Да	Да		Да	Да	РА	АТРИБУТЫ_ЧТЕНИЯ_ФАЙЛА
0x08	Прочитать расширенные атрибуты		Да	Да		Да	Да	РЭА	ФАЙЛ_ЧИТАТЬ_EA
0x20	Выполнить файл	Папка Traverse		Да		Да	Да	Х	ФАЙЛ_ВЫПОЛНИТЬ
0x20000	Разрешения на чтение		Да	Да	Да	Да	Да	РК	ЧИТАТЬ_КОНТРОЛЬ
0x100000	Синхронизировать		Да	Да	Да	Да	Да	С	СИНХРОНИЗИРОВАТЬ
0x02	Запись данных	Создать файлы			Да	Да	Да	ВД	ЗАПИСЬ_ДАННЫХ_ФАЙЛА
0x04	Добавить данные	Создать папки			Да	Да	Да	ОБЪЯВЛЕНИЕ	ФАЙЛ_ПРИЛОЖЕНИЕEND_D
0x100	Написать атрибуты				Да	Да	Да	Вашингтон	АТРИБУТЫ_ЗАПИСИ_ФАЙЛА
0x10	Написать расширенные атрибуты				Да	Да	Да	ВЭА	ФАЙЛ_ЗАПИСЬ_EA
0x10000	Удалить (или переименовать ^[12] )					Да	Да	ДЕ	УДАЛИТЬ
0x40000	Изменить разрешения					Да		WDAC	WRITE_DAC
0x80000	Взять на себя ответственность					Да		ВО	WRITE_OWNER
0x40	Удалить подпапки и файлы					Да		округ Колумбия	FILE_DELETE_CHILD

Большинство из этих разрешений не требуют пояснений, за исключением следующих:

Для переименования файла требуется разрешение «Удалить». ^[12]
File Explorer не показывает «Синхронизировать» и всегда устанавливает его. Многопоточные приложения, такие как File Explorer и Windows Command Prompt, нуждаются в разрешении «Синхронизировать» для работы с файлами и папками. ^[13]

Сноски

^ GENERIC_READ, известный как «Чтение» в Проводнике файлов
^ GENERIC_EXECUTE, известный как «Читать и выполнить» в проводнике файлов
^ GENERIC_WRITE, известный как «Запись» в Проводнике файлов
^ GENERIC_ALL, известный как «Полный доступ» в Проводнике файлов
^ В проводнике файлов называется «Изменить».

Смотрите также

Ссылки

^ "Защищаемые объекты". Microsoft . 2008-04-24 . Получено 2008-07-16 .
^ "Что такое дескрипторы безопасности и списки контроля доступа?". Microsoft . Архивировано из оригинала 2008-05-05 . Получено 2008-07-16 .
^ "DACL и ACE". Microsoft . 2008-04-24 . Получено 2008-07-16 .
^ https://msdn.microsoft.com/en-us/library/bb625957.aspx Что такое механизм целостности Windows?
^ Домашняя страница SubInACL
^ Домашняя страница FILEACL Архивировано 29.08.2012 на Wayback Machine
^ "FILEACL v3.0.1.6". Microsoft . 2004-03-23. Архивировано из оригинала 16 апреля 2008 г. Получено 2008-07-25 .
^ "Тип данных ACCESS_MASK". Microsoft . 2008-04-24 . Получено 2008-07-23 .
^ "Как работают разрешения". Microsoft . 2013-06-21 . Получено 2017-11-24 .
^ Ричард Сивил (8 сентября 2016 г.). «Как это работает. Разрешения NTFS, часть 2». Microsoft . Получено 24.11.2017 .
^ Ричард Сивил (30 августа 2016 г.). «Как это работает. Разрешения NTFS». Microsoft . Получено 24.11.2017 .
^ ab Chen, Raymond (22 октября 2021 г.). «Переименование файла — многоэтапный процесс, только один из которых — изменение имени файла». The Old New Thing . Microsoft . Открытие с разрешением DELETE дает разрешение на переименование файла. Требуемое разрешение — DELETE, поскольку старое имя удаляется.
^ Чен, Рэймонд (18 ноября 2019 г.). «Я установил один и тот же ACL с помощью GUI и icacls, но результаты разные». The Old New Thing . Microsoft .

Внешние ссылки

Описание команды CACLS на SS64.com
Страница SetACL SourceForge

[12] GENERIC_READ, известный как «Чтение» в Проводнике файлов

[13] GENERIC_EXECUTE, известный как «Читать и выполнить» в проводнике файлов

[14] GENERIC_WRITE, известный как «Запись» в Проводнике файлов

[15] GENERIC_ALL, известный как «Полный доступ» в Проводнике файлов

[16] ^ В проводнике файлов называется «Изменить».

[1] "Защищаемые объекты". Microsoft . 2008-04-24 . Получено 2008-07-16 .

[2] "Что такое дескрипторы безопасности и списки контроля доступа?". Microsoft . Архивировано из оригинала 2008-05-05 . Получено 2008-07-16 .

[3] "DACL и ACE". Microsoft . 2008-04-24 . Получено 2008-07-16 .

[4] ttps://msdn.microsoft.com/en-us/library/bb625957.aspx Что такое механизм целостности Windows?

[5] Домашняя страница SubInACL

[6] Домашняя страница FILEACL Архивировано 29.08.2012 на Wayback Machine

[7] "FILEACL v3.0.1.6". Microsoft . 2004-03-23. Архивировано из оригинала 16 апреля 2008 г. Получено 2008-07-25 .

[8] "Тип данных ACCESS_MASK". Microsoft . 2008-04-24 . Получено 2008-07-23 .

[9] "Как работают разрешения". Microsoft . 2013-06-21 . Получено 2017-11-24 .

[10] Ричард Сивил (8 сентября 2016 г.). «Как это работает. Разрешения NTFS, часть 2». Microsoft . Получено 24.11.2017 .

[11] Ричард Сивил (30 августа 2016 г.). «Как это работает. Разрешения NTFS». Microsoft . Получено 24.11.2017 .

[Rename1-17] Chen, Raymond (22 октября 2021 г.). «Переименование файла — многоэтапный процесс, только один из которых — изменение имени файла». The Old New Thing . Microsoft . Открытие с разрешением DELETE дает разрешение на переименование файла. Требуемое разрешение — DELETE, поскольку старое имя удаляется.

[18] Чен, Рэймонд (18 ноября 2019 г.). «Я установил один и тот же ACL с помощью GUI и icacls, но результаты разные». The Old New Thing . Microsoft .