Säkerhetsbeskrivning
Säkerhetsdeskriptorer är datastrukturer av säkerhetsinformation för säkerhetsbara Windows -objekt , det vill säga objekt som kan identifieras med ett unikt namn. Säkerhetsbeskrivningar kan associeras med alla namngivna objekt, inklusive filer , mappar , resurser, registernycklar , processer, trådar, namngivna rör, tjänster, jobbobjekt och andra resurser.
Säkerhetsbeskrivningar innehåller diskretionära åtkomstkontrollistor (DACL) som innehåller åtkomstkontrollposter (ACEs) som beviljar och nekar åtkomst till förvaltare som användare eller grupper. De innehåller också en systemåtkomstkontrolllista (SACL) som kontrollerar granskning av objektåtkomst. ACE:er kan uttryckligen tillämpas på ett objekt eller ärvas från ett överordnat objekt. Ordningen på ACE i en ACL är viktig, med åtkomst nekad ACE visas högre i ordningen än ACE som ger åtkomst. Säkerhetsbeskrivningar innehåller också objektets ägare.
Obligatorisk integritetskontroll implementeras genom en ny typ av ACE på en säkerhetsdeskriptor.
Filer och mappbehörigheter kan redigeras av olika verktyg, inklusive Windows Explorer , WMI , kommandoradsverktyg som Cacls , XCacls, ICacls , SubInACL, gratisprogrammet Win32-konsolen FILEACL, det fria programvaruverktyget SetACL och andra verktyg . För att redigera en säkerhetsbeskrivning behöver en användare WRITE_DAC-behörigheter till objektet, en behörighet som vanligtvis delegeras som standard till administratörer och objektets ägare.
Behörigheter i NTFS
Följande tabell sammanfattar NTFS-behörigheter och deras roller (i enskilda rader). Tabellen visar följande information:
- Behörighetskod: Varje åtkomstkontrollpost (ACE) anger dess behörighet med binär kod. Det finns 14 koder (12 i äldre system.)
- Betydelse: Varje behörighetskod har en betydelse, beroende på om den tillämpas på en fil eller en mapp. Till exempel anger koden 0x01 på filen behörigheten att läsa filen, medan på en mapp anger behörigheten att lista innehållet i mappen. Att bara veta innebörden är dock värdelöst. En ACE måste också ange vem tillståndet gäller och om det tillståndet beviljas eller nekas.
- Ingår i: Förutom individuella behörigheter kan en ACE ange särskilda behörigheter som kallas "generiska åtkomsträttigheter". Dessa speciella behörigheter är motsvarigheter till ett antal individuella behörigheter. Till exempel är GENERIC_READ (eller GR) motsvarigheten till "Läs data", "Läsattribut", "Läs utökade attribut", "Läsbehörigheter" och "Synkronisera". Eftersom det är vettigt att be om dessa fem samtidigt, är det bekvämare att begära "GENERIC_READ".
- Alias: De två Windows kommandoradsverktyg ( icacls och cacls ) har sina egna alias för dessa behörigheter.
|
Tillståndskod _ |
Menande | Ingår i | Alias | ||||||
|---|---|---|---|---|---|---|---|---|---|
| För filer | För mappar | R | E | W | A | M | I icacls | I cacls | |
| 0x01 | Läs data | Lista mappinnehåll | Ja | Ja | Ja | Ja | RD | FILE_READ_DATA | |
| 0x80 | Läs attribut | Ja | Ja | Ja | Ja | RA | FILE_READ_ATTRIBUTES | ||
| 0x08 | Läs utökade attribut | Ja | Ja | Ja | Ja | REA | FILE_READ_EA | ||
| 0x20 | Kör filen | Traverse mapp | Ja | Ja | Ja | X | FILE_EXECUTE | ||
| 0x20000 | Läsbehörigheter | Ja | Ja | Ja | Ja | Ja | RC | READ_CONTROL | |
| 0x100000 | Synkronisera | Ja | Ja | Ja | Ja | Ja | S | SYNKRONISERA | |
| 0x02 | Skriv data | Skapa filer | Ja | Ja | Ja | WD | FILE_WRITE_DATA | ||
| 0x04 | Lägg till data | Skapa mappar | Ja | Ja | Ja | AD | FILE_APPEND_D | ||
| 0x100 | Skriv attribut | Ja | Ja | Ja | WA | FILE_WRITE_ATTRIBUTES | |||
| 0x10 | Skriv utökade attribut | Ja | Ja | Ja | WEA | FILE_WRITE_EA | |||
| 0x10000 | Ta bort (eller byt namn på) | Ja | Ja | DE | RADERA | ||||
| 0x40000 | Ändra behörigheter | Ja | WDAC | WRITE_DAC | |||||
| 0x80000 | Ta äganderätt | Ja | WO | WRITE_OWNER | |||||
| 0x40 | Ta bort undermappar och filer | Ja | DC | FILE_DELETE_CHILD | |||||
De flesta av dessa behörigheter är självförklarande, förutom följande:
- Att byta namn på en fil kräver behörigheten "Radera".
- Filutforskaren visar inte "Synkronisera" och ställer alltid in det. Flertrådiga appar som File Explorer och Windows Command Prompt behöver behörigheten "Synkronisera" för att kunna arbeta med filer och mappar.
Fotnoter
Se även
- Tillträdeskontroll § Datorsäkerhet
- Informationstekniksäkerhetsrevision
- Tillstånd
- Datorsäkerhet
- Informationssäkerhet
- Token (Windows NT-arkitektur)
- Windows SID
- SDDL