Popisovač zabezpečení
![Avatar](assets/img/avatar/39.jpg)
Author
Albert FloresPopisovač zabezpečení je datová struktura s informacemi, které v operačním systému Windows umožňují nebo znemožňují přístup k objektu. objekt je libovolný objekt, který lze identifikovat jednoznačným jménem - soubor, složka, sdílení, položka v registru Windows, proces, vlákno, pojmenovaná roura, služba, úloha nebo jiný prostředek.
Základem popisovače zabezpečení jsou nepovinné Access control lists (DACLs), které obsahují položky pro řízení přístupu umožňující nebo znemožňující přístup uživatelům nebo skupinám (souhrnně ). Popisovač může obsahovat i systémové seznamy řízení přístupu (SACLs), které řídí auditování přístupu k objektu. +more ACEs mohou být explicitně definovány pro daný objekt, nebo mohou být zděděny z nadřízeného objektu. Na pořadí ACEs v ACL záleží, položky znemožňující přístup jsou před položkami umožňujícími přístup. Součástí popisovače zabezpečení je také informace o vlastníkovi objektu.
Popisovače zabezpečení mohou obsahovat také informace pro povinné Mandatory Integrity control, které jsou v popisovačích zabezpečení implementovány novým typem ACE.
Oprávnění k souborům a složkám (adresářům) lze upravovat různými prostředky - grafickými programy Windows Explorer nebo WMI, nástroji pro příkazový řádek jako Cacls, XCacls, ICacls, SubInACL, freewarovým programem FILEACL pro Win32 konzoli, svobodnou utilitou SetACL a dalšími programy. Pro úpravy popisovače zabezpečení musí mít uživatel oprávnění WRITE_DAC k příslušnému objektu, které je obvykle implicitně delegováno správcům systému a vlastníkovi objektu.
Oprávnění v NTFS
NTFS disponuje sadou 14 (ve starších systémech 12) oprávnění pro soubory a složky , která jsou v podobě ACL uložena v popisovačích zabezpečení. Popis oprávnění na NTFS je komplikován několika vrstvami mapování oprávnění; na oprávnění pro soubory a složky uvedená v jednotlivých řádcích tabulky jsou mapována generická přístupová práva (v tabulce sloupce GR, GE, GW a GA pro GENERIC_READ, GENERIC_EXECUTE, GENERIC_WRITE a GENERIC_ALL), standardní přístupová práva a speciální oprávnění . +more Různé programy používají pro stejná oprávnění různá jména a zkratky (sloupce icacls a cacls):.
winnt.h | soubory | složky | GR | GE | GW | GA | BM | icacls | cacls |
0x01 | Read Data | List Folder | + | + | + | + | RD | FILE_READ_DATA | |
0x80 | Read Attributes | Read Attributes | + | + | + | + | RA | FILE_READ_ATTRIBUTES | |
0x08 | Read Extended Attributes | Read Extended Attributes | + | + | + | + | REA | FILE_READ_EA | |
0x20 | Execute File | Traverse Folder | + | + | + | X | FILE_EXECUTE | ||
0x20000 | Read Permissions | Read Permissions | + | + | + | + | + | RC | READ_CONTROL |
0x100000 | Synchronize | Synchronize | + | + | + | + | + | S | SYNCHRONIZE |
0x02 | Write Data | Create Files | + | + | + | WD | FILE_WRITE_DATA | ||
0x04 | Append Data | Create Folders | + | + | + | AD | FILE_APPEND_D | ||
0x100 | Write Attributes | Write Attributes | + | + | + | WA | FILE_WRITE_ATTRIBUTES | ||
0x10 | Write Extended Attributes | Write Extended Attributes | + | + | + | WEA | FILE_WRITE_EA | ||
0x10000 | Delete | Delete | + | + | DE | DELETE | |||
0x40000 | Change Permissions | Change Permissions | + | WDAC | WRITE_DAC | ||||
0x80000 | Take Ownership | Take Ownership | + | WO | WRITE_OWNER | ||||
0x40 | Delete Subfolders and Files | Delete Subfolders and Files | + | DC | FILE_DELETE_CHILD |
Odkazy
Reference
Externí odkazy
[url=https://ss64.com/nt/cacls.html]Popis příkazu CACLS na SS64.com[/url] * [url=http://setacl.sourceforge.net/]Stránka s popisem SetACL na SourceForge[/url]
Související články
Computer security * Bezpečnostní audit informačních technologií * Autorizace * Počítačová bezpečnost * Informační bezpečnost * Token (Windows NT architektura) * Windows SID * Security Descriptor Definition Language
Kategorie:Microsoft Windows Kategorie:Komponenty Windows Kategorie:Oprávnění v systému souborů