Adoitamos consultar normalmente ás listas de control de acceso. Acrónimos de Porsus en inglés, é dicir, como a lista de control de acceso ACLO. Os ACL son desinstalados de táboas que din ao sistema operativo que ou quen é o permiso para acceder a un obxecto específico e son exclusivos NTFS formando particións. Todos estes permisos poden modificarse co comando “CACL”. Neste artigo veremos como facelo e definiremos que obxectos e / ocontantes podemos aplicar estes permisos.
Seguridade e descriptores de ACL
Calquera obxecto nun núcleo de WindowsCon NT e nun sistema de ficheiros NTFS asociado fosters de seguridade almacenados na seguridade chamada descritores. Nun descriptor de seguridade estancou quen é o propietario do obxecto e que grupo de usuariosperrteneceece, así como que ten acceso ao obxecto e que tipo de permisos teñen acceso. Estes permisos gárdanse en chamadas ACL (en inglés, lista de control de acceso) ou listas de control de acceso.
En principio, os descritores de desensururidade non se almacenan específicamente en calquera cartafol. Están enfocados metadatos no MFT. Santos, non podemos acceder directamente a estes descritores ou editalos (directamente) .a Howmost que podemos obter é verte cifrado no Rexistro De Dewindows. Por exemplo: Inicie sesión cunha conta de administrador e estamos na casa > executar e escribir regedit.si navegar á tecla que aparece na imaxe, veremos o valor de seguridade. Esta é a deseo descriptor asociada ao servizo de “rexistro de eventos”.
pero usando a GUI ou usando o comando CACLS podemos modificalos.
ACLS
o comando CACLS É responsable da xestión das listas de control de acceso antes mencionadas (Onwardacl). Existen dous tipos de ACL: DACL e SACL. Vexamos brevemente cada un:
DACL: son as siglas de “lista de control de acceso discrecional”, ESDECIR, lista discrecional de decencenda. En que se almacena o Permite o acceso ao obxecto e endereitarse polo propietario do devandito obxecto.
Sacte: son o acrónimo de “Lista de control de acceso ao sistema” ou a lista de control de acceso do sistema. Está relacionado coas accións que serán auditadas polo sistema.
A ACL contén unha ACE (ou “entrada de control de acceso”, entrada DeControl de acceso que indica que permisos ten cada usuario. É dicir, un ACE para cada usuario ou grupo. Os permisos son asignados como permisibles (permite) e negativo (Deniega). Como veremos, os permisos están localizados en UnaAacl negativo e despois LOSNEGATIVA. Como podemos ver isto visualmente?
para velos temos que acceder á pestana ” Sede “que aparece cando fai clic en directo por un cartafol de Oarchive. Neste faq número 6 hai información sobre como incluír esa pestana en Windows XP. Se facemos clic en Recrear en Unacarpet e eliximos propiedades e despois a pestana “Seguridade”, veremos que os diferentes usuarios e permisos que teñen no cartafol están nesta xanela, con todo, non veremos máis que un resumo dos diferentes aqueles, sendo estes cada vez máis complexos. Para velos, imos facelo con OusaX:
se iniciamos un usuario limitado e nós Crear un cartafol co nome que queremos e na localización que queremos. Imos a Adecome o acceso do usuario do administrador a ese cartafol (Denegación que, por favor, a dirección pode entón eliminar …). Fai clic co botón dereito no cartafol > Propiedades > e vemos alí o usuario do administrador. Para eliminar os permisos, PCach sobre “opcións avanzadas” e desmarque a herdanza do obxecto principal aos obxectos secundarios. A continuación, volvemos á xanela anterior e seleccionamos a administración do usuario e despois nas caixas de quehay a continuación “Denar”. Aparecerá a seguinte mensaxe:
de pé unha entrada Denegación de permisos. Entradas de denegación de precedentes sobre entradas de permiso. Isto significa que se un membro de dous grupos, aquel que se lle dá un permiso e outro ao que el nega, o usuario é denegado ao usuario. Queres continuar ?
Prema en “Aceptar” e eliminaremos os permisos de acceso.Tan claramente di a mensaxe, os desenratas dos executores son precedentes por permisos. Agora vemos esa precedencia. Se volvemos a “opcións avanzadas” veremos que os permisos de “Denar” e debaixo do “permitir” titulado “non especificará outros tipos de permisos que aparecerán, aparecerá” Control completo “, pero Silos Specans veremos iso Hai máis permisos de formigón que en xeral suave.
Estes son os permisos dun DACL. Como se mencionou nun SACL, a realización de ser auditada polo sistema está contida. Esta función non está dispoñible en XP Home e só podemos facelo no Prof. Parche, accedemos á pestana “Seguridade” e logo prema en “OptionsAvanzadas”. Veremos que unha das pestanas que aparecen é a auditoría, é dicir, o contido do SACL.
o comando CACLS
como nós Dixeron que as ACL determinan que os usuarios ou grupos de usuarios poden acceder a un obxecto específico e é unha característica exclusiva dos ficheiros de ficheiros.
De feito, este comando pode simplificar os permisos de licificación empregando os scripts automatizados que pode enviar estas ACL e o seu uso é posible en calquera sistema con NT NUCLEUS, é dicir, que podemos usalo tanto XP Home como XP Prof.
Debemos lembrar que a profesión de Windows 2000 e Windows XP tomará un editor de ACL á que podemos acceder facendo clic no Botonderecho no cartafol ou os ficheiros cuxo Formas Queremos modificar, facer clic en Propiedades e na nova caixa de Dediago, seleccionando a pestana “Seguridade”.
con Calcs, por outra banda, non é necesario facer nada adicional que sexa funcional tanto en WinXP e no prof, simplificando moito a asignación Permite a tarefa en usuarios, contedores ou obxectos. Estas comunidades son realmente equivalentes aos comandos de Chmod e Chown de Linux, que serven, respectivamente, varían os permisos de cartafoles e ficheiros e para modificar o propietario de Askcarpetas.
Cando se crea un obxecto ou ficheiro, normalmente herda os permisos por defecto do cartafol ou o contedor no que se crea improbando o proceso de administración dos obxectos contidos nel. Os permisos básicos que están autorizados a establecer en calquera operativitycon nt nt, son os seguintes:
Permisos
Ler. Permite a un usuario ou grupos de escombros para ver os ficheiros e subcartafoles contidos no principal.
Escriba. Permite a que un usuario cree o ficheiro YSUBCARD, cambia os atributos e ver o propietario e os permisos do cartafol e tamén para modificar o contido do ficheiro OCARTEC
Mostrar contido do cartafol. Este tipo de permiso, permite ver o contido de Unacchipe e viaxar a súa estrutura do directorio ou executar os ficheiros que teñen ensaio, tamén permite ler os atributos do ficheiro en cuestión e dar o contido do mesmo
Lectura e execución. Este tipo de permiso combina os dereitos concedidos por “Ler” Permisos e “Amosar o contido dun cartafol”, é dicir, que os permisos concedidos serían similares aos que comentamos anteriormente para o contido da exposición. A única diferenza entre este tipo de permiso para mostrar contido consiste en que se herdan os permisos. No caso de ler e executar, os permisos son herdados por todos os directivos e ficheiros contidos no cartafol no que se aplica o permiso de lectura e execución. No caso de mostrar os contidos do cartafol, os permisos son herdados só sobre as carpetas creadas.
Modificar. Este é un dos permisos que se elevan sobre o cartafol ou os ficheiros nos que se aplica xa que permite que todos e cada un dos permisos explicados anteriormente, agás a posesión e eliminación e ficheiros e cambiando os perpermises, xa que estes só poden ser eliminados por O permiso de control total.
Control total. Assenico Este permiso, digamos que abarca todos aqueles descritos anteriormente o control total sobre quen se concede, incluíndo a posibilidade de levar a timesesión. Cuxo proceso definiu as nosas preguntas frecuentes e que normalmente é unha característica exclusiva do grupo Dependeders.
o concepto de tomar posesión espaciable, se o entendemos O sistema de permisos NTFS recorda o propietario do ficheiro.Así, para os cartafoles que conteñan os perfís desmarcados en documentos e configuracións, o usuario sempre é o usuario cuxos ficheiros están contidos nesas alfariciosas e é o control total predeterminado, supera os ficheiros e cartafoles, polo que por defecto sempre pode modificar as Sieres para negar acceso a outros usuarios. Cando outro usuario toma a posesión dun cartafol significativo asume a propiedade do cartafol eo contido dela, se nos amamos no proceso de posesión. Descríbese neste número de preguntas frecuentes 7.
The Dim Color Tenu que podemos ver ao acceder á seguridade de seguridade da seguridade en cuestión alí herdou o incontento principal , podemos desactivalo, simplemente baleirar a opción oposta ou benestar os cambios no recipiente principal, que aplicará permisos a todos os contidos do cartafol.
Por defecto, estes permisos poden ser aplicados a usuarios específicos e específicos do noso sistema ou en grupos de usuarios. En Windows XP, defínese calquera serie de usuarios por defecto, que son os seguintes:
Grupos de usuarios
Usuarios
Este grupo é o que a maioría das restricións impón o sistema de Enel pero co que é o traballo máis seguro. O grupo de usuarios non permite modificar o rexistro ou modificar os ficheiros do sistema ou os ficheiros do programa, na práctica asume que non poden poder usar o software. Aínda que ten control total, sobre os ficheiros que cren e sobre o rexistro de rexistro, HKEY_CURRENT_USER, tamén se permiten desactivar o ELPC.
Na práctica é algo complicado para traballar o tipo de usuario xa que non permite a execución dunha multitude de software a Windows XP que non admita os novos NTFS e os permisos estándar Para versións anteriores deste sistema operativo.
Usuarios
Este grupo impón menos restricións ás que xestiona os usuarios, pero máis que os administradores. Digamos que está en Mediazino entre ambos grupos. En realidade, moitos dos problemas de restricións que se dan ao executar software no noso equipo, o uso deste tipo de usuario foi resolto. Os usuarios avanzados poden, xa que poden executar aplicacións deseñadas para sistemas operativos con núcleo núcleo a Windows 2000. Start and Stop Services que non sexan os conceptos básicos e aqueles que se inician por defecto co sistema operativo, instalar calquera programa que non modifique os ficheiros do sistema operativos e ensinando aos datos do Grupo de Usuario, a menos que reciban repetir o permiso de acceso aos seus ficheiros.
Operadores Backup
úsanse usuarios para crear e restaurar Copias de copia de seguridade e cuxas accións son aplicadas dependentes do sistema de permisos especificado no sistema. Estes usuarios poden iniciar o noso sistema e tamén desactivalo.
Esta é a que mellor subvencións no sistema e só se debe empregar para o As tarefas específicas que son, por exemplo, por exemplo: instalación de compoñentes do sistema operativo, é dicir, controladores, servizos, actualizacións e paquetes de servizos, reparación do sistema operativo, administración de auditoría e control de rexistros en contedores e obxectos e administración de grupos de residuos.
Os invitados
Os usuarios pertencentes a este grupo teñen os mesmos permisos que o grupo de usuarios e está destinado a proporcionar a calquera que non teña unha conta específica no sistema. En Windows XP, por defecto, estes usuarios non poden apagar o sistema e tamén atopa a conta de discapacidade xa que o nariz require que o contrasinal acceda ao noso sistema operativo como invitado, cos problemas de seguridade que isto podería levar.
basicamente, pasamos a revisión de grupos que Windows XP / Windows 2000 fornece, pero aínda hai unha serie especial de Dietar que aínda non definimos e que tamén se usan Porwindows:
Comprender a todos os usuarios que teñen acceso ao noso ordenador a través da rede.
Servidor UserIrioTERMINAL
cando habilitamos o servidor de terminal no noso ordenador para acceder remotamente a nosa máquina, este grupo está habilitado e comprende a todos os usuarios que teñen a sesión usando o servidor de terminal
Configuración de rede operador
Neste grupo, todos os usuarios están enmarcados, poden modificar a configuración TCP / IP das propiedades da rede. Por defecto non ten ningún usuario de usuario.
– Grupos especiais
Duplicadores
é un grupo destinado a integrar losusuarios que poden replicar a Directorio no servizo de replicación do ROD nun controlador de dominio. Nas estacións do cliente e do PC que non están integradas nun dominio non teñen sentido engadir usuarios a este grupo.
Esuno dos grupos especiais de Windows e, en ningún usuario de usuario, xa que está dedicado exclusivamente ao acceso ao ficheiro para que os procesos esenciais do sistema operativo poidan realizar.
Usuarios en
grupo que identifica Usuario actualmente rexistrado no noso sistema operativo.
sintaxe do comando CACLS
IV id = “0481744149” A sintaxe do comando é a Ancesencia, aínda que ten varios modificadores ou parámetros.
Antes de continuar a comentar que Todolo que segue escribirase a partir da consola de comandos .. É dicir, comezar > executar e escribir cmd e ahypod imos escribir todo o que segue.
A sintaxe máis inmediata dos CACLS é a seguinte:
caract_name_of_name
Por exemplo, se temos un ficheiro chamado un exemplo .xepuptores para facer clic:
CACLS Desktop \ Exemplo.exe
e obteremos os permisos segundo asignado ese ficheiro asignado. Tamén podemos usar a detención variable ou a ruta completa do ficheiro. Por exemplo, se queremos consultar as actuacións do ficheiro explorer.exe que está no cartafol de Windows, podemos escribir:
Cacls% Windir % \ explorer.exe
ou
Cacls c: Windows \ explorer.exe
como sempre, se a ruta conténpacios, ten que introducir comiñas:
CACLS “% Userprofile \ My Folder \ exame.exe”
como case todos os comandos de Dewindows, tamén ten unha serie de modificadores que son :
/ t con este modificador cancelamos os permisos a todos os ficheiros dun cartafol e subcartafoles.
/ e con el podemos modificar a ACL sen cambialo.
/ C é, digamos, modosilencio. Se cando a modificación das ACL considera un erro , omite e segue a modificalo.
/ g Este é o permiso para un comando de usuario particular. Os permisos son os seguintes:
Ningununish of Writing Wrermiso
CPERMISO de cambio Total de xeadas
Por exemplo, para conceder o usuario de Alusuario Writing PermissionsObre o ficheiro Exemplo.exe que é o cartafol” Cartafol persoal “do escritorio, poderiamos facelo do seguinte xeito:
IV id = “0481744149” Cacls “% Userprofile% \ desktop \ carpeta persoal \ example.exe” / build: w
Esta O comando suspende as levanteras a un usuario e actúa xunto con / e (desde / e modifica a ACL pero non o cambia)
/ p este comando substitúe ao usuario perpermises
/ D nega un eccesso usuario.
Por exemplo, para negar alusuario acceso ao usuario a Filenarior, escribimos:
CACLS”% Userprofile % \ Desktop \ carpeta persoal “\ example.exe / d usuario
Se estamos equivocados ao escribir o usuario, aparecerá unha mensaxe como esta:
Non se faga ningunha asignación entre nomes de conta e nomes de seguridade.
Cando se considere os cartafoles de permisos, podemos obter as seguintes abreviaturas:
OI que se refire a que o obxecto creado baixo o directorio herdará o permiso
que se refire ao feito de que os libDirectorios creados baixo este directorio herdarán o permiso
io que se refire ao feito de que a elpermissus non afectará o directorio e, polo tanto, herdará os losbDirectorios
(IO) (CI) Os permisos tomarán o cartafol e as subcartafoles e os ficheiros serán herdados
(OI) (IC) (IO) Os permisos só loitarán Subcartafoles e ficheiros
(CI) (IO) O permiso só percorrerá as subcartafoles
(IO ) (IO) O permiso só: “0481744149”> Non hai saída refírese só a esta carpeta
Ao consultar e modificar os permisos, podemos usar personaxes de comodín para facelo varias a Lavez. Por exemplo:
CACLS% Windir% \ *. Exe
Daría todos os permisos dos ficheiros con Extensión EXE do cartafol de Windows. Tamén pode asignar usuarios avarios licenzas no mesmo ficheiro cun único comando:
cacls “% USERPROFILE% \ Escritorio \ Personal cartafol \ example.exe” / Gusto: w / d usuario2
daría os permisos de script de usuario en Elarchy e User2 sería denegado.
V ID = ” CACL “% Userprofile% \ desktop \ carpeta persoal \ example.exe” / g Usuario: WUSER2: F
Daría aos permisos de escritura do usuario do usuario no controlTotal de Usuario de Usuario de Usuario.
Finalmente, veremos que recibir algunhas accións de permisos pregúntase se estamos seguros ou non de delo que imos facer. Para evitar esta mensaxe escribimos o seguinte:
echo y | Cacls “% Userprofile% \ Desktop \ carpeta persoal \ example.exe “/ gustación: w user2: f
tendo en conta que o introduce” e “e o símbolo | Non hai ningunha napaza.
a ferramenta XCACLS, un caclsmejorado
xcacls é Unha ferramenta de comando portátil que pode amosar información na pantalla que as ferramentas CACLS non poden amosar. A ferramenta que citamos pode descargarse aquí.
Esta ferramenta é especialmente útil para mostrar e establecer permisos especiais e, especialmente, automatizar os scripts por liña de comandos, configurar os permisos iniciais de cartafoles e ficheiros en instalacións ..
A túa sintaxe é similar á do comando CACLS e descríbese nesta GBS.
{jos_sb_discuss: 2}