Icacls - controlul accesului la fișiere și foldere NTFS
comandă iCACLS permite afișarea sau modifica listele de control al accesului (A ccesul C ontrol L iști (ACL-uri)) la fișierele și folderele sistemului de fișiere. iCACLS.EXE utilitate este o altă îmbunătățire a Cacls.exe utilitate de control al accesului.
Controlul accesului la NTFS obiectelor din sistemul de fișiere este implementat folosind intrări speciale în MFT (Master File Table). Fiecare sistem de fișiere NTFS fișier sau un folder corespunde o intrare în MFT, conține un descriptor de securitate specială SD (Security Descriptor). Fiecare descriptor de securitate conține lista de control acces două:
Listă Sistemul de control al accesului (SACL) - SACL.
Access Control List Discreționare (DACL) - lista de control al accesului discreționar.
SACL este controlată de către sistem și este utilizat pentru a furniza încercări de audit pentru a accesa obiectul sistemului de fișiere prin specificarea condițiilor în care au generat evenimente de securitate. Windows Vista sisteme de operare și mai târziu, de asemenea, utilizat SACL pentru punerea în aplicare a sistemului de protecție a mecanismului folosind un nivel de integritate (Integritate Level, IL).
DACL - este de fapt controlul de acces ACL în sensul obișnuit. Se DACL creează reguli care determină care să permită accesul la un obiect, și cui - să interzică.
Fiecare listă de control al accesului (ACL) este un set de elemente (înregistrări) de control al accesului - intrările de control acces. sau ACE). intrările ACE sunt de două tipuri (care permit și interzicerea accesului), și cuprinde trei domenii:
ID-ul de securitate - - SID un ID unic care este atribuit fiecărui utilizator sau grup de utilizatori în momentul creării lor. Vezi exemple de SID posibil. de exemplu, prin Whoami / ALL comanda. După cum puteți vedea, acces la NTFS obiectelor din sistemul de control funcționează fără nume și identificatori SID. Deci, de exemplu, nu puteți redobândi accesul la fișiere și foldere care au existat pentru utilizator la distanță de sistem, prin crearea-o din nou cu același nume - acesta va primi noi SID și regulile ACE care se aplică la vechiul identificator SID, nu va fi executat.
La determinarea rezultatelor cererilor de acces la sistemul de fișiere NTFS obiecte se aplică următoarele reguli:
Pentru a schimba DACL a obiectului, utilizatorul (proces) ar trebui să aibă dreptul de a scrie în DACL (WRITE_DAC - WDAC). Accesul la scriere poate fi activat sau dezactivat de utilitate icalc.exe. dar chiar dacă o interdicție, este încă permisiunea de scriere are cel puțin un proprietar de utilizator al fișierului sau dosarului (câmpul proprietar în descriptorul de securitate), în calitate de proprietar are întotdeauna dreptul de a schimba DAC.
Opțiuni iCACLS Echipa de aplicare:
/ Grant [: r] Sid: Perm - furnizarea de drepturi specifice de acces ale utilizatorilor. Cu parametrul: r permisiunile înlocui orice permisiuni explicite acordate anterior. Fără parametru: permisiunile r sunt adăugate la orice permisiuni explicite acordate anterior.
/ Deny Sid: Perm - o revizuire clară a drepturilor de acces ale utilizatorilor specificate. ACE se adaugă la cererea de permis de retragere aparentă cu eliminarea acestor aceleași permisiuni în orice acordare explicită.
/ Eliminare [: [g |: d]] Sid - pentru a șterge toate aparițiile AIN în ACL. Cu parametrul: g înlătură toate aparițiile drepturilor acordate în acest SID. Cu un parametru: d șterge toate cazurile de revocare a drepturilor în acest SID.
/ Setintegritylevel [(CI) (OI)] Nivelul - adăugarea explicită la nivel de integritate ACE la toate fișierele relevante. Nivelul este specificat de una dintre următoarele valori:
Nivelul poate preceda setările de moștenire pentru integritatea ACE aplicate doar directoare.
Mecanismul de integritate Windows Vista și versiunile ulterioare ale sistemului de operare, arhitectura de securitate se extinde prin definirea unui nou tip de ACE element de lista de acces pentru a reprezenta nivelul de integritate în descriptorul de securitate al obiectului (fișier, folder). ACE este un nou nivel de integritate a obiectului. Acesta se găsește în sistemul ACL (SACL), care a fost utilizat anterior numai pentru audit. nivel de integritate este de asemenea atribuit un simbol de securitate la momentul inițializării. Integritatea la nivel de securitate oferă jeton nivel de integritate (Integritate Level, IL) utilizator (proces). Nivelul de integritate în token-ul este comparat cu nivelul de integritate în descriptorul obiect atunci când monitorul de securitate verifică accesul. Sistemul restricționează drepturile de acces în funcție de nivelul mai ridicat sau mai scăzut de integritate a subiectului în ceea ce privește obiectul, și în funcție de politica de integritate de pavilion ACE obiect corespunzător. nivelurile de integritate (IL) reprezentat Identificatorii de securitate (SID), care sunt, de asemenea, utilizatori și grupuri, care nivel este codificată într-un identificator SID identificator relativ (RID). Cele mai frecvente niveluri de integritate:
SID = S-1-16-4096 RID = 0x1000 - Nivel scăzut (nivel scăzut de legare)
SID = S-1-16-12288 RID = 0x3000 - Nivel înalt (legare la nivel înalt)
SID = S-1-16-16384 RID = 0x4000 - nivelul sistemului (nivelul sistemului obligatoriu).
e - includerea de moștenire
r - eliminarea tuturor ACE moștenit
AIN poate fi sub formă numerică (SID), sau sub forma unui nume prietenos (nume de utilizator). Dacă o formă numerică, adăugați * la începutul SID, de exemplu - * S-1-1-0. linie de comandă Parametrii iCACLS:
/ T - operațiunea este efectuată pentru toate fișierele și directoarele relevante localizate în directorul specificat.
/ C - a continuat operațiune sub nici o eroare de fișier. Mesajele de eroare sunt afișate în continuare.
/ L - operațiune se efectuează pe link-ul simbolic, mai degrabă decât pe obiectul său țintă.
/ Q - ICACLS utilitate suprima mesajul de succes.
ICACLS utilitate salvează ordinea canonică a ACE:
Rezoluție - o mască de rezoluție care poate fi stabilit într-una din cele două forme:
N - fără acces
F - acces complet
M - Acces la schimbare
RX - citit și execuție
R - acces read-only
W - acces numai la înregistrarea
D - acces pentru îndepărtarea
DE - îndepărtarea
RC - Reading
WDAC - Scrie DAC
WO - schimbare de proprietate
S - Sincronizare
AS - securitatea sistemului de acces
MA - maxim posibil
GR - lectură generală
GW - Sinopsis
GE - punerea în aplicare globală
GA - toate comune
RD - citit de date, se transferă conținutul unui dosar
WD - înregistrarea datelor, fișiere adăugând
AD - adăugați date și subdirectoare
REA - citeste atribute extinse
WEA - Scriere atribute extinse
X - executarea de fișiere și foldere prezentare generală
DC - îndepărtarea obiectelor încorporate
RA - citește atributele
WA - atribute poștale
drepturi de moștenire poate preceda, fie sub formă și se aplică numai directoare:
(OI) - obiecte moștenesc
(CI) - containere moștenire
(IO) - numai moștenire
(NP) - interzicerea distribuirii de moștenire
(I) - permisiunile moștenire din containerul părinte
Exemple de utilizare iCACLS:
icacls - începe fără chei utilizate pentru referință rapidă cu privire la utilizarea comenzii.
C icacls: \ Users - afișa lista de control acces al folderul C: \ Users. Un exemplu de informații de afișare:
C: \ Users NT AUTHORITY \ System: (OI) (CI) (F)
Builtin \ Administratorii: (OI) (CI) (F)
ULUI \ Utilizatori: (RX)
ULUI \ Utilizatori: (OI) (CI) (IO) (GR, GE)
Toate: (RX)
Toate: (OI) (CI) (IO) (GR, GE)
prelucrate cu succes 1 fișiere; nu a putut fi procesată 0 fișiere
icacls c: \ windows \ * / salva D: \ win7.acl / T - ACL pentru conservarea tuturor fișierelor în directorul c: \ windows și subdirectoare sale în ACL-fișier D: \ win7.acl. Salvat ACL permit redobândi accesul de control la fișiere și directoare în starea sa inițială, astfel încât înainte de a face orice modificări, este de dorit să aibă fișierul salvat ACL.
Un exemplu de date stocate ACL ACL:
În acele cazuri în care iCACLS care efectuează comanda de eroare cauzată de refuzul accesului la obiectul care urmează să fie prelucrate, este posibil să se continue executarea comenzii, dacă setați parametrul / C:
icacls "C: \ System Volume Information \ *" / salva D: \ SVI-C.acl / T / C - economisire ACL ACLs pentru toate fișierele și subdirectoarele din directorul C: \ System Volume Information din continuarea tratamentului în cazul unei erori . Conform rezultatelor procesării mesajului despre numărul de fișiere, de succes și nu de succes prelucrate.
Pentru a restabili accesul la fișiere și foldere utilizând parametrul / restaurare:
icacls c: \ windows \ / restaurare D: \ win7.acl - restaurarea fișiere și foldere de director liste de control al accesului c: \ windows de salvat anterior ACL-fișier D: \ win7.acl.
C icacls: \ Users \ utilizator1 \ tmp \ Myfile.doc / grant sef: (D, WDAC) - furnizarea de sef permite utilizatorului să îndepărteze și scrie DAC fișierul C: \ Users \ utilizator1 \ tmp \ Myfile.doc.
icacls C: \ Users \ utilizator1 \ tmp \ Myfile.doc / grant * S-1-1-0: (D, WDAC) - furnizarea către utilizator cu SID S-1-1-0 (grupul "Toate") autorizațiile îndepărtarea și scrie DAC la fișierul C: \ Users \ utilizator1 \ tmp \ Myfile.doc. icacls C: \ Users seful \ utilizator1 \ tmp \ Myfile.doc / grant: F - oferind utilizatorului acces sef complet la fișierul C: \ Users \ utilizator1 \ tmp \ Myfile.doc.