Icacls - controlul accesului la fișiere și foldere NTFS

comandă iCACLS permite afișarea sau modifica listele de control al accesului (A ccesul C ontrol L iști (ACL-uri)) la fișierele și folderele sistemului de fișiere. iCACLS.EXE utilitate este o altă îmbunătățire a Cacls.exe utilitate de control al accesului.

Controlul accesului la NTFS obiectelor din sistemul de fișiere este implementat folosind intrări speciale în MFT (Master File Table). Fiecare sistem de fișiere NTFS fișier sau un folder corespunde o intrare în MFT, conține un descriptor de securitate specială SD (Security Descriptor). Fiecare descriptor de securitate conține lista de control acces două:

Listă Sistemul de control al accesului (SACL) - SACL.

Access Control List Discreționare (DACL) - lista de control al accesului discreționar.

SACL este controlată de către sistem și este utilizat pentru a furniza încercări de audit pentru a accesa obiectul sistemului de fișiere prin specificarea condițiilor în care au generat evenimente de securitate. Windows Vista sisteme de operare și mai târziu, de asemenea, utilizat SACL pentru punerea în aplicare a sistemului de protecție a mecanismului folosind un nivel de integritate (Integritate Level, IL).

DACL - este de fapt controlul de acces ACL în sensul obișnuit. Se DACL creează reguli care determină care să permită accesul la un obiect, și cui - să interzică.

Fiecare listă de control al accesului (ACL) este un set de elemente (înregistrări) de control al accesului - intrările de control acces. sau ACE). intrările ACE sunt de două tipuri (care permit și interzicerea accesului), și cuprinde trei domenii:

  • SID utilizator sau un grup căruia i se aplică regula

  • Tipul de acces. care este supus regulii

  • autorizarea sau interzicerea - de tip ACE.

    ID-ul de securitate - - SID un ID unic care este atribuit fiecărui utilizator sau grup de utilizatori în momentul creării lor. Vezi exemple de SID posibil. de exemplu, prin Whoami / ALL comanda. După cum puteți vedea, acces la NTFS obiectelor din sistemul de control funcționează fără nume și identificatori SID. Deci, de exemplu, nu puteți redobândi accesul la fișiere și foldere care au existat pentru utilizator la distanță de sistem, prin crearea-o din nou cu același nume - acesta va primi noi SID și regulile ACE care se aplică la vechiul identificator SID, nu va fi executat.

    La determinarea rezultatelor cererilor de acces la sistemul de fișiere NTFS obiecte se aplică următoarele reguli:

  • În cazul în care nu există nici un DACL descriptor de securitate. obiectul este considerat vulnerabil, și anume toate au acces nelimitat la acesta.

  • Dacă DACL există, dar nu conține nici un element de ACE, atunci accesul la obiectul este închisă tuturor.

    Pentru a schimba DACL a obiectului, utilizatorul (proces) ar trebui să aibă dreptul de a scrie în DACL (WRITE_DAC - WDAC). Accesul la scriere poate fi activat sau dezactivat de utilitate icalc.exe. dar chiar dacă o interdicție, este încă permisiunea de scriere are cel puțin un proprietar de utilizator al fișierului sau dosarului (câmpul proprietar în descriptorul de securitate), în calitate de proprietar are întotdeauna dreptul de a schimba DAC.

    Opțiuni iCACLS Echipa de aplicare:

  • Numele ICACLS / salva ACL_fayl [/ T] [/ C] [/ L] [/ Q] - păstrarea DACL pentru fișierele și folderele, numele corespunzător în ACL-fișier pentru o utilizare viitoare cu comanda / restaurare. Vă rugăm să rețineți că proprietarul eticheta SACL și integritatea nu sunt salvate.

  • Directorul ICACLS [/ înlocuitor SidOld SidNew [. ]] / Restore ACL_fayl [/ C] [/ L] [/ Q] - utilizarea anterior stocate DACL la fișiere într-un director.

  • Denumirea ICACLS / setowner de [/ T] [/ C] [/ L] [/ Q] - schimbarea proprietății asupra tuturor numelor relevante. Această opțiune nu este destinat pentru a forța o schimbare de proprietate; folosind în acest scop takeown.exe programului.

  • Nume ICACLS / findsid Sid [/ T] [/ C] [/ L] [/ Q] - căutarea tuturor numelor relevante care conțin ACL cu AIN referință explicite.

  • nume ICACLS / verifica [/ T] [/ C] [/ L] [/ Q] - caută toate fișierele cu ACL necanonica sau lungimi de undă care nu corespund numărului de ACE.

  • Numele ICACLS / reset [/ T] [/ C] [/ L] [/ Q] - înlocuire ACL moștenit implicit pentru toate fișierele relevante.

  • Numele ICACLS [/ grant [r] Sid: permanent [. ]] [/ Deny Sid: permanent [. ]] [/ Eliminare [: g |: d]] Sid [. ]] [/ T] [/ C] [/ L] [/ Q] [/ setintegritylevel Nivel: politică [. ]]

    / Grant [: r] Sid: Perm - furnizarea de drepturi specifice de acces ale utilizatorilor. Cu parametrul: r permisiunile înlocui orice permisiuni explicite acordate anterior. Fără parametru: permisiunile r sunt adăugate la orice permisiuni explicite acordate anterior.

    / Deny Sid: Perm - o revizuire clară a drepturilor de acces ale utilizatorilor specificate. ACE se adaugă la cererea de permis de retragere aparentă cu eliminarea acestor aceleași permisiuni în orice acordare explicită.

    / Eliminare [: [g |: d]] Sid - pentru a șterge toate aparițiile AIN în ACL. Cu parametrul: g înlătură toate aparițiile drepturilor acordate în acest SID. Cu un parametru: d șterge toate cazurile de revocare a drepturilor în acest SID.

    / Setintegritylevel [(CI) (OI)] Nivelul - adăugarea explicită la nivel de integritate ACE la toate fișierele relevante. Nivelul este specificat de una dintre următoarele valori:

    Nivelul poate preceda setările de moștenire pentru integritatea ACE aplicate doar directoare.

    Mecanismul de integritate Windows Vista și versiunile ulterioare ale sistemului de operare, arhitectura de securitate se extinde prin definirea unui nou tip de ACE element de lista de acces pentru a reprezenta nivelul de integritate în descriptorul de securitate al obiectului (fișier, folder). ACE este un nou nivel de integritate a obiectului. Acesta se găsește în sistemul ACL (SACL), care a fost utilizat anterior numai pentru audit. nivel de integritate este de asemenea atribuit un simbol de securitate la momentul inițializării. Integritatea la nivel de securitate oferă jeton nivel de integritate (Integritate Level, IL) utilizator (proces). Nivelul de integritate în token-ul este comparat cu nivelul de integritate în descriptorul obiect atunci când monitorul de securitate verifică accesul. Sistemul restricționează drepturile de acces în funcție de nivelul mai ridicat sau mai scăzut de integritate a subiectului în ceea ce privește obiectul, și în funcție de politica de integritate de pavilion ACE obiect corespunzător. nivelurile de integritate (IL) reprezentat Identificatorii de securitate (SID), care sunt, de asemenea, utilizatori și grupuri, care nivel este codificată într-un identificator SID identificator relativ (RID). Cele mai frecvente niveluri de integritate:

    SID = S-1-16-4096 RID = 0x1000 - Nivel scăzut (nivel scăzut de legare)

    SID = S-1-16-12288 RID = 0x3000 - Nivel înalt (legare la nivel înalt)

    SID = S-1-16-16384 RID = 0x4000 - nivelul sistemului (nivelul sistemului obligatoriu).

    e - includerea de moștenire

    r - eliminarea tuturor ACE moștenit

    AIN poate fi sub formă numerică (SID), sau sub forma unui nume prietenos (nume de utilizator). Dacă o formă numerică, adăugați * la începutul SID, de exemplu - * S-1-1-0. linie de comandă Parametrii iCACLS:

    / T - operațiunea este efectuată pentru toate fișierele și directoarele relevante localizate în directorul specificat.

    / C - a continuat operațiune sub nici o eroare de fișier. Mesajele de eroare sunt afișate în continuare.

    / L - operațiune se efectuează pe link-ul simbolic, mai degrabă decât pe obiectul său țintă.

    / Q - ICACLS utilitate suprima mesajul de succes.

    ICACLS utilitate salvează ordinea canonică a ACE:

    Rezoluție - o mască de rezoluție care poate fi stabilit într-una din cele două forme:

  • o succesiune de drepturi simple de:

    N - fără acces

    F - acces complet

    M - Acces la schimbare

    RX - citit și execuție

    R - acces read-only

    W - acces numai la înregistrarea

    D - acces pentru îndepărtarea

  • o listă a drepturilor individuale în paranteze, separate prin virgulă:

    DE - îndepărtarea
    RC - Reading
    WDAC - Scrie DAC
    WO - schimbare de proprietate
    S - Sincronizare
    AS - securitatea sistemului de acces
    MA - maxim posibil
    GR - lectură generală
    GW - Sinopsis
    GE - punerea în aplicare globală
    GA - toate comune
    RD - citit de date, se transferă conținutul unui dosar
    WD - înregistrarea datelor, fișiere adăugând
    AD - adăugați date și subdirectoare
    REA - citeste atribute extinse
    WEA - Scriere atribute extinse
    X - executarea de fișiere și foldere prezentare generală
    DC - îndepărtarea obiectelor încorporate
    RA - citește atributele
    WA - atribute poștale

    drepturi de moștenire poate preceda, fie sub formă și se aplică numai directoare:

    (OI) - obiecte moștenesc

    (CI) - containere moștenire

    (IO) - numai moștenire

    (NP) - interzicerea distribuirii de moștenire

    (I) - permisiunile moștenire din containerul părinte

    Exemple de utilizare iCACLS:

    icacls - începe fără chei utilizate pentru referință rapidă cu privire la utilizarea comenzii.

    C icacls: \ Users - afișa lista de control acces al folderul C: \ Users. Un exemplu de informații de afișare:

    C: \ Users NT AUTHORITY \ System: (OI) (CI) (F)
    Builtin \ Administratorii: (OI) (CI) (F)
    ULUI \ Utilizatori: (RX)
    ULUI \ Utilizatori: (OI) (CI) (IO) (GR, GE)
    Toate: (RX)
    Toate: (OI) (CI) (IO) (GR, GE)

    prelucrate cu succes 1 fișiere; nu a putut fi procesată 0 fișiere

    icacls c: \ windows \ * / salva D: \ win7.acl / T - ACL pentru conservarea tuturor fișierelor în directorul c: \ windows și subdirectoare sale în ACL-fișier D: \ win7.acl. Salvat ACL permit redobândi accesul de control la fișiere și directoare în starea sa inițială, astfel încât înainte de a face orice modificări, este de dorit să aibă fișierul salvat ACL.

    Un exemplu de date stocate ACL ACL:

    În acele cazuri în care iCACLS care efectuează comanda de eroare cauzată de refuzul accesului la obiectul care urmează să fie prelucrate, este posibil să se continue executarea comenzii, dacă setați parametrul / C:

    icacls "C: \ System Volume Information \ *" / salva D: \ SVI-C.acl / T / C - economisire ACL ACLs pentru toate fișierele și subdirectoarele din directorul C: \ System Volume Information din continuarea tratamentului în cazul unei erori . Conform rezultatelor procesării mesajului despre numărul de fișiere, de succes și nu de succes prelucrate.

    Pentru a restabili accesul la fișiere și foldere utilizând parametrul / restaurare:

    icacls c: \ windows \ / restaurare D: \ win7.acl - restaurarea fișiere și foldere de director liste de control al accesului c: \ windows de salvat anterior ACL-fișier D: \ win7.acl.

    C icacls: \ Users \ utilizator1 \ tmp \ Myfile.doc / grant sef: (D, WDAC) - furnizarea de sef permite utilizatorului să îndepărteze și scrie DAC fișierul C: \ Users \ utilizator1 \ tmp \ Myfile.doc.

    icacls C: \ Users \ utilizator1 \ tmp \ Myfile.doc / grant * S-1-1-0: (D, WDAC) - furnizarea către utilizator cu SID S-1-1-0 (grupul "Toate") autorizațiile îndepărtarea și scrie DAC la fișierul C: \ Users \ utilizator1 \ tmp \ Myfile.doc. icacls C: \ Users seful \ utilizator1 \ tmp \ Myfile.doc / grant: F - oferind utilizatorului acces sef complet la fișierul C: \ Users \ utilizator1 \ tmp \ Myfile.doc.