Icacls - контрол на достъпа до файлове и папки, NTFS

iCACLS команда позволява да се покаже или да промени списъци за контрол на достъпа (ДОСТЪП С ontrol L вци (ACL)) до файловете и папките на файловата система. iCACLS.EXE полезност е по-нататъшно подобряване CACLS.EXE контрол на достъпа полезност.

Контрол на достъпа до файловата система NTFS обекти се осъществява с помощта на специални записи в МВТ (основна документация на маса). Всеки файл или папка NTFS файлова система съответства на запис в MFT, съдържа специален дескриптор за защита SD (Security дескриптори). Всяка характеристика на сигурност съдържа списък за контрол на достъпа две:

Списък на системата за контрол на достъпа (Sacl) - Sacl.

Доверително Access-Control Списък (DACL) - списък на дискреционна контрол на достъпа.

Sacl се контролира от системата и се използва за предоставяне на одиторски опити за достъп до обекта на файловата система, като се посочва условията, при които генерират и събития за сигурност. В Windows Vista операционни системи и по-късно, Sacl също се използва за прилагане на системата на механизъм за защита при използване равнища на цялост (Integrity Level, IL).

DACL - това всъщност е контролът на ACL достъп в общоприетия смисъл на думата. Тя DACL създава правила, които определят кой да се позволи достъп до даден обект, и на кого - да се забрани.

Всеки списък за контрол на достъпа (ACL) е набор от елементи (записи) за контрол на достъпа - контрол на теми за достъп. или АСЕ). АСЕ записи са два вида (позволяващи и забраняват достъпа), и се състои от три области:

  • SID потребител или група, към която се прилага правилото

  • Вид на достъп. която е предмет на правилото

  • разрешава или забранява - ACE тип.

    ID Сигурност - - SID уникален идентификатор, който се определя на всеки потребител или група от потребители в момента на създаването им. Виж примери за SID, колкото е възможно. например чрез Whoami / ALL команда. Както можете да видите, достъп до NTFS обекти система за контрол работи, без имена и идентификатори SID. Така например не можете да си възвърнете достъпа до файлове и папки, които са съществували в продължение на отдалечения потребител от системата, като го създаде отново със същото име - тя ще получи нов SID и правилата на АСЕ, които се прилагат към стария идентификатор SID, няма да бъде изпълнена.

    При определяне на резултатите от исканията за достъп до NTFS файловата система на обектите се прилагат следните правила:

  • Ако няма дескриптор за защита DACL. обектът се счита уязвими, т.е. всички те имат неограничен достъп до него.

  • Ако DACL съществува, но не съдържа елемент на АСЕ, а след това на достъпа до обекта е затворен за всички.

    За да промените DACL на обекта, потребителят (процес), следва да има право да пише в DACL (WRITE_DAC - WDAC). Напиши достъп могат да бъдат включени или изключени от icalc.exe полезност. но дори и забрана, тя все още е разрешение за запис има поне един собственик на потребител на файла или папката (областта на собственика на дескриптора на сигурност), като собственик винаги има право да промени КПР.

    Опции iCACLS екипа на приложение:

  • ICACLS име / спаси ACL_fayl [/ T] [/ C] [/ L] [/ Q] - запазване на DACL за файловете и папките, съответното име в ACL-файл за бъдеща употреба с командата / възстановяване. Моля, имайте предвид, че собственикът на Sacl етикет и целостта не са запазени.

  • указател ICACLS [/ заместител SidOld SidNew [. ]] / Restore ACL_fayl [/ C] [/ L] [/ Q] - използване на предварително запаметената DACL до файлове в директория.

  • ICACLS име / setowner от [/ T] [/ C] [/ L] [/ Q] - промяна на собствеността на всички съответни имена. Тази опция не е предназначен да принуди промяна на собствеността; като за тази цел takeown.exe на програмата.

  • ICACLS име / findsid Sid [/ T] [/ C] [/ L] [/ Q] - търсене на всички съответни имена съдържащи ACL с изрично позоваване SIDS.

  • ICACLS име / провери [/ T] [/ C] [/ L] [/ Q] - търсене всички файлове с noncanonical ACL или дължини на вълните, които не съответстват на броя на АСЕ.

  • ICACLS име / нулиране [/ T] [/ C] [/ L] [/ Q] - ACL подмяна наследил подразбиране за всички съответни файлове.

  • ICACLS име [/ грант [: R] Sid: къдрене [. ]] [/ Deny Sid: къдрене [. ]] [/ Премахване на [: г |: д]] Sid [. ]] [/ T] [/ C] [/ L] [/ Q] [/ setintegritylevel Ниво: политика [. ]]

    / Грант [: R] Сид: Перм - предоставянето на определени потребителски права за достъп. С параметър: R разрешенията подменят всички издадените преди това изрично разрешение за това. Без параметър: R разрешения, се добавят към всякакви издадените преди това изрично разрешение за това.

    / Deny Сид: Перм - ясен преглед на определените потребителски права за достъп. ACE се добавя към приложението очевидната разрешение оттегляне с премахването на същите тези разрешения в изрична отпускане.

    / Премахване на [: [г |: д]] Sid - за изтриване на всички случаи на SIDS в ACL. С параметър: гр премахва всички срещания на предоставени права в тази SID. С параметър: D изтриете всички случаи на отнемане на правата в тази SID.

    / Setintegritylevel [(CI) (OI)] Ниво - добавяне изрично ниво ACE цялост на всички съответни файлове. Нивото се определя от една от следните стойности:

    Ниво може да предшества настройки върху наследствата за ACE цялост се прилага само към директории.

    Механизмът на целостта на Windows Vista и по-късните версии на операционната система, разширява архитектура на сигурността чрез дефиниране на нов тип ACE списък достъп елемент да представляват нивото на почтеност в дескриптора на сигурността на обекта (файл, папка). ACE е едно ново ниво на интегритет на обекта. То се намира в системата ACL (Sacl), който вече е бил използван само за одит. ниво цялост също се определя маркер за защита по време на инициализация. Почтеност ниво на сигурност знак осигурява ниво интегритет (Integrity Level, IL) потребител (процес). степен на почтеност в означението се сравнява с нивото на почтеност в дескриптора на обект, когато монитора сигурност проверява достъпа. Системата ограничава правата за достъп в зависимост от по-висока или по-ниска степен на интегритет на обекта по отношение на обекта, както и в зависимост от политиката на флага за пълнота съответстваща ACE обект. нива интегритет (IL), представени идентификатори за сигурност (SID), които също са потребители и групи, които ниво е кодирана в идентификатор на SID относителна идентификатор (RID). Най-често срещаните нива на целостта:

    SID = S-1-16-4096 RID = 0x1000 - Ниско ниво (ниско ниво на свързване)

    SID = S-1-16-12288 RID = 0x3000 - Високо ниво (Високо ниво свързване)

    SID = S-1-16-16384 RID = 0x4000 - ниво на системата (изискваното ниво на системата).

    д - включване на наследството

    R - премахване на всички наследени ACE

    SIDS могат да бъдат в цифров вид (SID), или под формата на приятелски '(потребителско име). Ако цифрова форма, добавете * до началото на SID, например - * S-1-1-0. Параметри iCACLS команден ред:

    / T - операцията се извършва за всички съответни файлове и директории, намиращи се в посочената директория.

    / C - продължи работа при всяка грешка файл. тя ще се показва съобщения за грешки.

    / L - операция се извършва на символната връзка, а не на целта си обект.

    / Q - ICACLS полезност потиска съобщението за успех.

    ICACLS полезност спасява каноничен ред на ACE:

    Резолюция - маска на резолюция, която може да се зададе в една от две форми:

  • последователност от прости права:

    N - няма достъп

    F - пълен достъп

    М - Достъп до промяна

    RX - четене и изпълнение

    R - достъп само за четене

    W - само предоставя достъп до документацията

    D - възможност за почистване

  • списък на индивидуални права в скоби, разделени със запетаи:

    DE - отстраняване
    RC - Reading
    WDAC - Напишете КПР
    WO - промяна на собствеността
    S - Синхронизация
    AS - охранителна система за достъп
    MA - максималното възможно
    GR - обща четене
    GW - Синопсис
    GE - цялостното изпълнение
    GA - всички общи
    РД - четене на данни, се прехвърля съдържанието на папка
    WD - запис на данни, добавяне на файлове
    АД - добавяне на данни и поддиректории
    РЕА - четете разширени атрибути
    WEA - Напишете Разширени атрибути
    X - изпълнение на файлове и папки преглед
    DC - премахването на вградени обекти
    RA - чете атрибути
    Вашингтон - публикувайте атрибути

    наследствените права могат да предхождат и да е форма и се прилагат само към директории:

    (OI) - обекти наследят

    (CI) - контейнери наследство

    (IO) - само наследство

    (NP) - спиране на разпространението на наследството

    (I) - разрешения наследство от контейнера родител

    Примери за използване iCACLS:

    icacls - започват без ключове, използвани за бърза справка за използването на командата.

    icacls C: \ Users - показване списъка за контрол на достъпа на папка C: \ Users. Пример за информацията на дисплея:

    C: \ Users NT ОРГАН \ System: (OI) (CI) (F)
    BUILTIN \ Администратори: (ОИ) (CI) (F)
    BUILTIN \ Users: (RX)
    BUILTIN \ Users: (ОИ) (CI) (IO) (GR, GE)
    Всички: (RX)
    Всички: (OI) (CI) (IO) (GR, GE)

    Успешно обработена 1 файлове; не може да бъде обработена 0 файла

    icacls C: \ Windows \ * / запазване на D: \ win7.acl / T - ACL за запазване на всички файлове в директорията C: \ Windows и нейните поддиректории ACL-файл D на: \ win7.acl. Спасен от ACL позволява да си възвърне контрола на достъпа до файлове и директории в първоначалното си състояние, така че преди да се правят промени, е желателно да има файла спаси ACL.

    Пример за данни, съхранявани ACL ACL:

    В тези случаи, когато извършващи iCACLS команда грешка, причинена от отказа на достъп до обекта да бъдат обработени, е възможно да се продължи изпълнението на заповедта, ако сте задали параметъра / C:

    icacls "C: \ том информационна система \ *" / запазване на D: \ СВИ-C.acl / T / C - спестяване на ACL ACL-за всички файлове и поддиректории в директорията C: \ том информационна система от продължаване на лечението в случай на грешка , Според резултатите от обработката на съобщението за броя на успешните и не успешни, обработените файлове.

    За да възстановите достъпа до файлове и папки с помощта на параметъра / възстановяване:

    icacls C: \ Windows \ / възстановяване на D: \ win7.acl - възстановяване на файлове и папки директория списъци за контрол на достъпа C: \ Windows от предварително записан ACL-файл D: \ win7.acl.

    icacls C: \ Users \ user1 \ TMP \ Myfile.doc / грант шеф: (D, WDAC) - предоставяне на шефа позволява на потребителя да се премахне и Напиши КПР към файл C на: \ Users \ user1 \ TMP \ Myfile.doc.

    icacls C: \ Users \ user1 \ TMP \ Myfile.doc / грантови * S-1-1-0: (D, WDAC) - осигурява на потребителя на SID S-1-1-0 (групата "Всички") разрешителни отстраняване и Напиши КПР към файл C на: \ Users \ user1 \ TMP \ Myfile.doc. icacls C: \ шеф Users \ user1 \ TMP \ Myfile.doc / грант: F - осигурява на потребителя шеф пълен достъп до файла C на: \ Users \ user1 \ TMP \ Myfile.doc.