Сигурност часовници инструменти за управление на ACL-

Сигурност Гледайте контрол ACL

Jesper Johansson (Jesper М. Johansson)

В Windows ACL-(списъци ACL) контроли позволяват достатъчно точно, за да управлявате потребителите възможността за обработка и използване на ресурсите, като например файлове и папки. Създавай списъци ACL - един от най-трудните задачи за гарантиране на сигурността на потребителите на операционната система. За щастие, има редица полезни комунални услуги,

помогне автоматизиране и опростяване на задачите, свързани с издаване на разрешителни и на ACL.

Повечето читатели са запознати с един чудесен инструмент cacls.exe - това е във всяка версия на Windows NT ® от момента на появата му. Ако изпълните cacls.exe в Windows Vista ™, ще видите следното съобщение:

Странно е, но най-малко означава cacls.exe представен като остарял, той има нови функции. На първо място, че има смисъл и точки на свързване, и символни връзки и знае как да ги видите. На второ място, той може и двете печат и задайте ACL използване SDDL низ.

Но въпреки всичко cacls.exe на актуализации, човек не може да оцени функциите, предвидени icacls.exe средства.

Записване и възстановяване на ACL

Всички от последните 10 години имат желание - поне аз - имате възможността да запишете ACL, така че по-късно те могат да бъдат възстановени. Както се оказа, това е един от най-сложните операции при работа с ACL. Само в редки случаи е възможно да се върне в точно същото състояние, без да унищожава първото нещо, което в ACL. Въпреки това, тези функции могат да бъдат доста полезни.

Запазване и възстановяване на ACL не е толкова лесно, колкото би трябвало ти вярвам. Тук е необходимо да се действа много предпазливо. В резултат на това може да срещнете неочаквано поведение - дори вероятно, така да бъде. Възстановяване на ACL, разбира се, е необходимо само в крайни случаи. И колкото повече време е минало от създаването на копия, толкова по-вероятно нещо да се развали по време на възстановяването.

Ако въпреки всичко това, което искате да изпробвате тези функции в действие, тичам icacls.exe с параметъра / спаси.

ACL потребителския интерфейс, или ACL потребителски интерфейс е малко по-различен от този, използван в Windows XP. Фиг. 4 и фиг. 5 показва диалоговия прозорец за ACL UI в Windows XP и Windows Vista, съответно.

Фиг. диалогов прозорец 4 ACL UI в Windows XP

Фиг. диалогов прозорец 5 ACL UI в Windows Vista

Ако кликнете върху раздела "Разширени" и отидете на "Одит", във всеки случай ще видите увеличаване на бутон (вж. Фиг. 6). За смяна на одита изисква непременно повишени привилегии, дори и да имате пълен контрол върху обекта и да го притежават. Това се дължи на факта, че възможността за промяна на Sacl се контролира обекти SE_SECURITY_NAME привилегия - ". Управление на одита и системата за сигурност" в медиите GUI се нарича По подразбиране, това право е само за администратори. Въпреки това, Admin режим на одобрение (когато е активен, UAC) е точно в администраторите избрани, така че дори и те се нуждаят от тласък.

Фиг. 6 Промяна на настройките на одит в Windows Vista винаги изисква кота

На последно място, тук е това, което трябва да спомена за промяната в ACL: всички по-горе е вярно само ако UAC е изключен. Ако UAC инвалиди, поведението ще съответства на това, което беше в Windows XP - освен че диалози ще изглеждат по различен начин. Ако влезете в системата като администратор, повишаване никога не е необходимо, тъй като символично си по всяко време е администратор SID.

Icacls.exe инструмент е много полезен - и това е голяма стъпка напред в сравнение с cacls.exe - но има недостатъци. Може би най-сериозният от тях - в състояние да контролира достъпа само до файлове и директории. ACL списъци на други обекти в Windows Vista не се различават от списъка в Windows XP, но в някои случаи има нужда да контролира ACL списъци за услуги, ключове в регистъра, дори Active Directory ® обекти.

Пламенен последователите на инструмента за команден ред се използва за тази subinacl.exe. Subinacl.exe там в инструменти за поддръжка. Тя може да се изтегли от тук.

Аз трябва да ви предупредя, че subinacl.exe означава, лесен за използване. От време на време, това показва само непроницаема твърдоглавие. И все пак тя осигурява най-широкия контрол на достъпа. Всеки уважаващ себе си администратор е средства.

Списъкът ACL за системния регистър

Списъкът ACL за регистъра, както и системата за ACL, са преминали през някои промени. Въпреки това, те не са толкова важни, колкото промените в файловата система. Най-очевидната разлика от предишните версии на Windows е, че в резултат на премахването на "потребителите на мощност" загубил почти всички елементи на АСЕ за опитни потребители. Сега се счита, че опитни потребители не са наистина опитни всички останали. Това показва само колко сложен на ACL. Gone, разбира се, не всички елементи на АСЕ за опитни потребители, но, за съжаление, не са достатъчно.

Сред ACL в регистъра ще се срещнете с АСЕ елемент за идентификатора за сигурност на име ограничен. Той не се появи в Windows Vista, но трябва да се отбележи идентификатора. Всички не се разбира много добре за какво става дума. ОГРАНИЧЕНИ идентификатор сигурност се отнася за всеки процес, който представлява ограничение маркер. ограничения Маркер, създадени от специална функция API CreateRestrictedToken интерфейс. Маркерът може да има един или повече ограничаващи SIDS, използвани в проверка на поделен достъп. Да предположим, че имаме работещ процес с ограничения маркер. Ако един процес се опитва да получи достъп до обект с АСЕ елемент за идентификатора на зоните с ограничен, Windows всъщност изпълнява две проверки. Първо - това е обичайните проверки за достъп. Втората проверка е напълно идентичен на първия, но само проверени ограничаване SIDS в токен. проверки както на достъпа трябва да успее.

Сега има повече от един ACL, използвайки идентификатора на зоните с ограничен - по-специално в системния регистър. Снимка показва списък на ACL, е показана на Фиг. 7.

Фиг. 7 ACL в регистъра съдържа няколко елементи АСЕ за RESTRICTED ID

В момента няколко процеси използват ограничения маркери, особено по граничните SIDS. Като пример, процесът на услуга, която е домакин на защитната стена на Windows, основен механизъм за филтриране и Сервиз за диагностика политика. Той също така използва граница запис маркер. Доколкото ми е известно, само девет услуги в Windows Vista, използващи ОГРАНИЧЕН ID и ограниченията за звукозаписната компания.

Както и в предишните версии на Windows, то в регистъра на разрешения трябва да бъдат много внимателни. Промяна трябва да бъде само в най-изключителните обстоятелства, както и за решаването на определени проблеми. Предвид сложността на моделите на наследството и деликатността на операциите, извършвани от системния регистър, вероятността за сериозен пропуск в следствие на небрежно промяна на ACL в регистъра е неприемливо високо.

Както при повечето версии на Windows, Windows Vista малки промени бяха направени за контрол на достъпа. Но - за разлика от предишните версии - с голям брой малки промени доста голяма промяна в поведението. UAC, в частност, да изискват няколко корекции: целостта на етикетите и модификацията на потребителски интерфейс ACL. В допълнение, не е за първи път в историята на основен почистване на ACL.

В много отношения, стандартните ACL списъци в Windows Vista са опростени - това още не беше някога. Въпреки това, както в предишните версии, които работят с ACL-, внимавайте и добро разбиране на това, което се случва. Това е особено важно в новите версии на операционната система. За щастие, инструментите, описани в тази статия ще ви помогнат с по-малки загуби да разгледа ACL.