Nós geralmente referem-se a Listas de Controle de Acesso em Português, isto é, como lista de controle de acesso ACLO. As ACLs são não especificadas por tabelas que contam o sistema operacional, o que é permissão para acessar um objeto específico e são ntfs exclusivos formando partições. Todas essas permissões podem ser modificadas com o comando “CACLS”. Neste artigo, vamos ver como fazer isso e vamos definir quais objetos e / octeners podemos aplicar essas autorizações.
Descritores de segurança e ACL
Qualquer objeto em um núcleo do WindowsCon NT e em um sistema de arquivos NTFS tem fóseros associados de segurança armazenados na segurança chamada descritores. Em um descritor de segurança estagnado Quem é o proprietário do objeto e qual grupo de utensílios portuguese, bem como quem tem acesso ao objeto e que tipo de permissões têm acesso. Essas permissões são salvas em chamadas ACLs (em inglês, lista de controle de acesso) ou listas de controle de acesso.
Em princípio, descritores de dessensor não são armazenados especificamente em qualquer pasta. Eles são metadados focados no MFT. Santo, não podemos acessar diretamente esses descritores ou editá-los (diretamente) .a, mais por mais, podemos obter é ver você criptografado no Registro de Dewindows. Por exemplo: Faz logá com uma conta de administrador e estamos em casa > Execute e escreva regedit.si vela para a chave que aparece na imagem, veremos o valor de segurança. Essa é a desregaridade do descritor associada ao serviço “registro de eventos”.
Mas usando a GUI ou usando o comando CACLS, podemos modificá-los.
Os ACLs
O comando CACLS É responsável por gerenciar as listas de controle de acesso acima mencionadas (ONWARDACL). Existem dois tipos de ACL: DACL e SACL. Vamos olhar brevemente a cada um:
DACL: são as acrônimos de “lista de controle de acesso discricionária”, esdecir, lista discricionária de decisão. Nele é armazenado Acesso permite ao objeto e endireitado pelo proprietário do referido objeto.
Sack: são o acrônimo para “lista de controle de acesso ao sistema” ou lista de controle de Acesso ao sistema. Está relacionado às ações que serão auditadas pelo sistema.
Uma ACL contém uma ACE (ou “Entrada de Controle de Acesso”, Entrada Access Decontrol que indica quais permissões cada usuário tem. Isto é, um ás para cada usuário ou grupo. As permissões são atribuídas como permitidas (permite) e negativas (deniega). Como veremos, as permissões estão localizadas no UNAAACL negativo e, em seguida, Losnegative. Como podemos ver isso visualmente?
para vê-los, temos que acessar a aba “SE Gury “que aparece quando você clica em uma pasta OAnchive. Nesta FAQ número 6 há informações sobre como incluir essa guia no Windows XP. Se clicarmos no UnacarChet e escolher propriedades e, em seguida, a guia “Segurança”, veremos que os diferentes usuários e permissões que têm na dita pasta estão nesta janela, no entanto, não veremos mais do que um resumo dos diferentes aqueles, sendo estes cada vez mais complexos. Para vê-los, faremos isso com o Uníssex:
Se fizemos login com um usuário limitado, e nós Crie uma pasta com o nome que queremos e no local desejamos. Nós vamos adecome o acesso do usuário do administrador para essa pasta (negação que, por favor, o endereço pode então remover …). Clique com o botão direito na pasta > propriedades > Security e vemos lá o usuário do administrador. Para remover permissões, pcach sobre “Opções avançadas” e desmarcamos o parente principal do objeto principal para os objetos secundários. Em seguida, voltamos para a janela anterior e selecionamos o usuário de administração e, em seguida, nas caixas Quhay abaixo “Denar”. A seguinte mensagem aparecerá:
em pé Uma denegação de entrada de permissões. Entradas de negar a precedência nas entradas de permissão. Isso significa que, se um membro de dois grupos, alguém que recebe uma permissão e outro ao qual ele o nega, o usuário é negado ao usuário. Você quer continuar ?
Clique em “Aceitar” e removeremos as permissões de acesso.Como diz claramente a mensagem, a negação Los realiza é precedência sobre as permissões. Agora vemos essa precedência. Se voltarmos a “Opções Avançadas”, veremos que as permissões “daNar” e abaixo do “Permitir” intitulada “não especificar outros tipos de permissões aparecerão,” controle total “aparecerão, mas os especitos de silos veremos que Lá mais permissões concretas aparecem do que em geral gentil.
Estas são as permissões em um DACL. Como mencionado em um SACL, o desempenho para ser auditado pelo sistema está contido. Esse recurso não está disponível no XP Home e só podemos fazê-lo no Prof. Parall, acionamos a guia “Segurança” e, em seguida, clique em “OpçõesAvanzadas”. Vamos ver que uma das guias que aparecem é auditoria, ou seja, o conteúdo do SACL.
o comando cacls
como nós Disseram que as ACLs determinam que os usuários ou grupos de usuários podem acessar um objeto específico e é uma característica exclusiva dos arquivos de arquivos.
Na verdade, este comando pode simplificar as permissões de licitação, usando scripts automatizados que você pode enviar essas ACLs e seu uso é possível em qualquer sistema com NT Núcleos, ou seja, que podemos usá-lo tanto XP Home quanto XP Prof.
Devemos lembrar que a profissão do Windows 2000 e do Windows XP fará um editor ACL para o qual podemos acessar clicando no botondereco na pasta ou nos arquivos Formizes Queremos modificar, clicar em Propriedades e na nova caixa Dediago, selecionando a guia “Segurança”.
com calcks, por outro lado, não é necessário fazer qualquer coisa adicional que seja funcional em casa WinXP e no Prof, simplificando muito a tarefa. A tarefa permite aos usuários, contêineres ou objetos. Essas comunidades são realmente equivalentes aos comandos Chmod e Chown do Linux, que servem, respectivamente, variam as permissões de pastas e arquivos e para modificar o proprietário do DISCARPETAS.
Quando um objeto ou arquivo é criado, geralmente herca as permissões padrão da pasta ou contêiner no qual é criada improcando o processo de administração nos objetos contidos nele. As permissões básicas que podem estabelecer em qualquer núcleo de operatividadeCon NT, são os seguintes:
Permissões
Leitura. Permite que um usuário ou grupos de detritos consulte os arquivos e subpastas contidos no principal.
Escreva. Permite que um usuário crie o arquivo ysubcard, altere os atributos e visualize o proprietário e as permissões na pasta, bem como modificar o conteúdo do arquivo OCARTEC
Mostrar conteúdo da pasta. Esse tipo de permissão, permite ver o conteúdo do Unatchipe e viajar sua estrutura de diretório ou executar os arquivos que possuem ensaio, ele também permite ler os atributos do arquivo em questão e dar o conteúdo do mesmo
Leitura e execução. Esse tipo de permissão combina os direitos concedidos por permissões “leituras” e “mostrar o conteúdo de uma pasta”, ou seja, que permite ser semelhante àqueles que comentamos anteriormente para o conteúdo da exposição. A única diferença entre esse tipo de permissão para mostrar conteúdo consiste em como as licenças são herdadas. No caso de leitura e execução, as permissões são herdadas por todas as diretorias e arquivos contidos na pasta na qual a permissão de leitura e execução é aplicada. No caso de mostrar o conteúdo da pasta, as permissões são herdadas apenas sobre as pastas criadas.
Modifique. Esta é uma das permissões que aumentam a pasta ou os arquivos em que é aplicada à medida que permite a todos e cada uma das permissões explicadas acima, exceto tomar posse e eliminações e arquivos e alterar os perdas Los, uma vez que isso só pode ser retirado por A permissão total de controle.
controle total. Assenico Esta permissão, digamos que ela abrange todos os descritos anteriormente o controle total sobre quem é concedido, incluindo a possibilidade de tomar o tempo. Cujo processo você definiu nossas FAQ e que geralmente é um recurso exclusivo do grupo de dependentes.
O conceito de tomar posse espaçosamente compreensível, se entendermos que O sistema de permissões NTFS lembra o proprietário do arquivo.Assim, para as pastas que contêm os perfis desuariosos em documentos e configurações, o usuário é sempre o usuário cujos arquivos estão contidos nesses carpetes e é padrão total controle, supera arquivos e pastas, portanto, por padrão, você sempre pode modificar os siercemes para negar acesso a outros usuários. Quando outro usuário toma posse de uma pasta significativa pressupõe a propriedade da pasta e do conteúdo, se amamos no processo de posse. É descrito neste número de FAQ 7.
A cor dim tenu que podemos ver ao acessar a segurança de segurança da segurança em questão herdou o principal incontentamento Podemos desativá-lo, simplesmente telhando a opção oposta ou o WellRealizing as alterações no contêiner principal, que aplicará permissões a todos os conteúdos da pasta.
Por padrão, essas permissões podem ser aplicadas a usuários específicos e especificam nosso sistema ou em grupos de usuários. No Windows XP, é definido qualquer série de usuários por padrão, que são os seguintes:
Grupos de usuários
Usuários
Este grupo é aquele que a maioria das restrições impõe o sistema ENEL, mas com o qual é o trabalho mais seguro. O grupo de usuários não permite modificar o registro ou modificar os arquivos do sistema ou os arquivos do programa, na prática, assumem que eles não podem ser capazes de usar software. Embora tenha controle total, sobre os arquivos que eles acreditam e sobre o ramo do Registro, HKEY_CURRENT_USER, eles também podem desativar o ELPC.
Na prática é algo incómodo para trabalhar o tipo de usuário, pois não permite a execução de uma multiplicidade de software ao Windows XP que não suportam os novos NTFS e as permissões padrão Para versões anteriores deste sistema operacional.
Usuários
Este grupo impõe menos restrições que você gerencia os usuários, mas mais do que administradores. Digamos que esteja em Mediezino entre os dois grupos. Na verdade, muitos dos problemas de restrições que são dadas ao executar o software em nossa equipe, o uso desse tipo de usuário foi resolvido. Os usuários avançados podem, portanto, executar aplicativos projetados para sistemas operacionais com núcleo do núcleo com o Windows 2000. Iniciar e parar serviços que não os fundamentos e aqueles que são iniciados por padrão com o sistema operacional, instale qualquer programa que não modifique os arquivos do sistema operacional e ensinar aos dados do grupo de usuários, a menos que recebam repelicamente a permissão de acesso para seus arquivos.
Os operadores Backup de backup são usados para criar e restaurar cópias de backup e cujas ações são aplicadas dependendo do sistema de permissão especificado no sistema. Esses usuários podem iniciar nosso sistema e também desligá-lo.
Administradores
Este é o que é o que melhor concede no sistema e só deve ser usado para o Tarefas específicas que são, por exemplo, por exemplo: instalação de componentes do sistema operacional, ou seja, drivers, serviços, atualizações e service packs, reparo do sistema operacional, administração de auditoria e controle de registros sobre contêineres e objetos e administração de grupos de detritos.
Invitados
Los usuarios pertenecientes a este grupo tienenlos mismos permisos que el grupo de Usuarios, y está destinado para proporcionaracceso a todo aquel que no tenga una cuenta especifica en o sistema. No Windows XP, por padrão, esses usuários não podem desligar o sistema e também encontrar a conta desabilitada, uma vez que o nariz requer senha para acessar nosso sistema operacional como convidado, com os problemas de segurança que isso pode levar.
Basicamente, passamos a revisar grupos que o Windows XP / Windows 2000 fornece, mas ainda há uma série especial de Deuse que ainda não definimos e que também são usados Porwindows:
Network
Entre todos os usuários que têm acesso ao nosso computador através da rede.
Useririoterminal Server
quando permitimos o Terminal Server em nosso computador para acessar remotamente a nossa máquina, este grupo está ativado e compreende todos os usuários que possuem sessão de terminal usando o Terminal Server.
Configuração de rede de operadores Neste grupo, todos os usuários estão emoldurando, eles podem modificar as configurações TCP / IP das propriedades da rede. Por padrão, não possui nenhum UserPlay.
– grupos especiais
Duplicadores é um grupo destinado a integrar Losusuarios que podem replicar um Diretório no serviço de replicação de haste em um controlador de domínio. No cliente e as estações do PC que não são integradas em um domínio não faz sentido adicionar usuários a este grupo.
Sistema
Esuno dos grupos especiais do Windows , e no UserPlay, pois é dedicado exclusivamente ao acesso a arquivos para que os processos essenciais do sistema operacional possam realizar.
Usuários no grupo que identifica Usuário atualmente conectado nosso sistema operacional.
Sintaxe do comando cacls
a sintaxe do comando é aniversa, embora tenha vários modificadores ou parâmetros.
Antes de continuar comentar que o ToDolo que se segue será digitado do console de comando. . Ou seja, iniciar > Execute e escreva cmd e ahyPod Vamos digitar tudo o que segue.
A sintaxe mais imediata dos CACLS é a seguinte:
caract_name_of_name
Por exemplo, se tivermos um arquivo chamado exemplo.exues para clicar:
Cacls desktop \ exemplo.exe
e vamos obter as permissões conforme atribuído a esse arquivo atribuído. Também podemos usar a detenção variável ou o caminho completo do arquivo. Por exemplo, se quisermos consultar os performances do arquivo explorer.exe que ele está na pasta do Windows, podemos escrever:
cacls% windir % \ explorer.exe
ou
cacls c: \ windows \ explorer.exe
Como sempre, se a rota contiverPacios, você tiver que inserir aspas:
cacls “% userprofile \ my pasta \ exam.exe”
Como quase todos os comandos de Dewindows, ele também tem um número de modificadores, que são :
/ t Com este modificador, cancelamos as permissões para todos os arquivos em uma pasta e subpastas.
/ e com ele, podemos modificar a ACL sem alterá-lo.
/ c é, digamos, modosilence. Se ao modificar os ACLs encontrarem um erro , omite e continua a modificá-lo.
/ g estas são as permissões para um comando específico do usuário. As permissões são as seguintes:
ningunununish de escrever Wremiso
CPERMISO de alterações totais geadas
Por exemplo, para conceder o arquivo do Alusuario Usuário Permissionsobre o arquivo de exemplo.exe que é a pasta” Pasta Pasta “da área de trabalho, poderíamos fazê-lo da seguinte forma:
/ r este comando suspende as subires a um usuário e atos em conjunto com / e (desde / e modifica a ACL, mas não a altera)
/ p Este comando substitua o usuário o usuário Permite
/ d nega um usuário Eccesso.
Por exemplo, para negar o acesso ao usuário do Alusuario ao filenarior, escrevemos:
CACLS”% userprofile % \ Desktop \ Personal Folder “\ exemplo.exe / d usuário
Se estamos errados ao escrever o usuário, uma mensagem como esta aparecerá:
Não seja feito nenhuma atribuição entre nomes de contas e nomes de segurança.
Quando você considera as pastas de permissões, podemos obter as seguintes abreviaturas:
Oi que está preocupado que o objeto criado no diretório herdará a permissão
CI que se refere ao fato de que os Losbdiretórios criados sob este diretório herdarão a permissão
IO que se refere ao fato de que o elpermissus não afetará o diretório e, portanto, herdará o Losbdirectorios
(IO) (CI) As permissões tomarão a pasta e as subpastas e os arquivos serão herdados
(Oi) (ic) (io) As permissões serão apenas Loheard Subpastas e arquivos
(IO) (IO) A permissão só apague as subpastas
(io ) (Io) A permissão só irá realizar os arquivos
Nenhuma saída refere-se apenas a esta pasta
. Quando consultoria e modificação de permissões, podemos usar personagens curinga para fazê-lo vários para Lavez. Por exemplo:
cacls% windir% \ *. Exe
nós Ele daria todas as permissões dos arquivos com extensão exe da pasta Windows. Também podemos atribuir os usuários de AVARIOSs autorizações no mesmo arquivo com um único comando:
cacls “% userprofile% \ desktop \ PODER PASTA \ exemplo.exe” / Sabor: w / d user2
daria as permissões de script do usuário na elarquia e user2 seriam negadas.
Eu daria as permissões de gravação do usuário sobre o elarquente e o usuário User2 ControlTotal.
Finalmente, veremos que obter algumas permissões Ação é perguntado se temos certeza ou não delo que vamos fazer. Para evitar esta mensagem, digitamos o seguinte:
echo y | cacls “% userprofile% \ Desktop \ Pessoal Pasta \ exemplo.exe “/ Taste: W User2: F
Levando em conta que você entra” e “e o símbolo | Não há nunepace.
A ferramenta XCACLS, um caclsmejorado
XCACLS é Uma ferramenta de comando portátil que pode exibir informações na tela que as ferramentas CACLS não podem ser exibidas. A ferramenta que citamos pode ser baixada aqui.
Esta ferramenta é especialmente útil para mostrar e definir permissões especiais, e especialmente para automatizar scripts por linha de comando, defina as permissões iniciais de pastas e arquivos em instalações .
Sua sintaxe é semelhante à do comando CACLS e é descrito neste GBS.
{jos_sb_discuss: 2}