Instrumente de ceas de securitate pentru gestionarea ACL-uri

Securitate Uita-te la un ACL de control

Jesper Johansson (Jesper M. Johansson)

În Windows ACL-uri (liste ACL) controale permit suficient de clar pentru a gestiona utilizatorilor capacitatea de a procesa și utilizarea resurselor, cum ar fi fișiere și foldere. Gestionare liste ACL - una dintre cele mai dificile sarcini în asigurarea securității utilizatorilor sistemului de operare. Din fericire, există o serie de utilități utile,

ajuta la automatizarea și simplificarea sarcinilor asociate cu procedura de autorizare și un ACL.

Cei mai mulți cititori sunt familiarizați cu un mare Cacls.exe instrument - a fost în fiecare versiune de Windows NT ® din momentul apariției sale. Dacă executați Cacls.exe în Windows Vista ™, veți vedea următorul mesaj:

Este ciudat, dar cel puțin înseamnă Cacls.exe prezentate ca depășite, are caracteristici noi. În primul rând, are sens și punctele de conexiune, și link-uri simbolice, și știe cum să le vizualizați. În al doilea rând, se poate atât de imprimare și setați ACL folosind șir SDDL.

Dar, în ciuda tuturor Cacls.exe actualizări, nu se poate evalua funcțiile prevăzute mijloace icacls.exe.

Salvarea și restaurarea ACL

Toate din ultimii 10 de ani, au dorința - cel puțin eu - au capacitatea de a salva ACL, pentru ca ulterior să poată fi restaurate. După cum sa dovedit, aceasta este una dintre operațiunile cele mai complexe atunci când se lucrează cu ACL. Numai în cazuri rare, este posibil să se întoarcă la exact aceeași stare, fără a distruge primul lucru în ACL. Cu toate acestea, aceste funcții pot fi destul de util.

Salvați și de a restabili ACL nu este la fel de ușor ca multi ar fi să crezi. Aici este necesar să se acționeze cu multă precauție. Ca urmare, s-ar putea întâlni un comportament neașteptat - chiar probabil, așa să fie. Restaurare ACL, desigur, este necesar doar în cazuri extreme. Și mai mult timp a trecut de la crearea de copii, cu atât mai probabil ceva să strice în timpul recuperării.

În cazul în care, în ciuda tuturor acest lucru, pe care doriți să încercați aceste caracteristici în acțiune, executați icacls.exe cu parametrul / salva.

ACL UI, sau interfața cu utilizatorul ACL este ușor diferită de cea utilizată în Windows XP. Fig. 4 și Fig. 5 prezintă dialogul UI ACL în Windows XP și Windows Vista, respectiv.

Fig. Caseta de dialog 4 ACL UI în Windows XP

Fig. Caseta de dialog 5 ACL UI în Windows Vista

Dacă faceți clic pe tab-ul „Advanced“ și du-te la „audit“, în orice caz, veți vedea butonul în creștere (vezi. Fig. 6). Pentru a schimba auditul în mod necesar necesită privilegii sporite, chiar dacă aveți un control deplin asupra obiectului și ea proprii. Acest lucru se datorează faptului că abilitatea de a schimba SACL este controlat obiecte SE_SECURITY_NAME privilegiu - „Gestionarea audit și jurnal de securitate“ în GUI media este numit În mod implicit, acest drept este doar pentru administratori. Cu toate acestea, modul de aprobare Admin (atunci când este activat UAC) este chiar la administratorii selectate, astfel încât chiar și au nevoie de un impuls.

Fig. 6 Modificarea setărilor de audit din Windows Vista necesită întotdeauna elevație

În cele din urmă, iată ce trebuie să mai vorbim despre schimbarea ACL: toate cele de mai sus este valabil numai în cazul în care UAC este dezactivat. În cazul în care UAC dezactivat, comportamentul va corespunde cu ceea ce a fost în Windows XP - cu excepția faptului că casetele de dialog va arata diferit. Dacă vă conectați ca administrator, sporind niciodată nevoie, deoarece token-ul în orice moment să fie administratorul SID.

instrument Icacls.exe este foarte util - și este un mare pas înainte în comparație cu Cacls.exe - dar are dezavantaje. Poate cea mai gravă dintre ele - capacitatea de a controla accesul numai la fișiere și directoare. liste ACL de alte obiecte din Windows Vista nu diferă de lista în Windows XP, dar în unele cazuri, este nevoie de a controla liste ACL pentru servicii, chei de registru, chiar Active Directory ® obiecte.

adepți înfocați ai instrumentul de linie de comandă este folosit pentru acest Subinacl.exe. Subinacl.exe există în instrumente de sprijin. Acesta poate fi, de asemenea, descărcat de aici.

Trebuie să vă avertizez că Subinacl.exe înseamnă ușor de utilizat. Uneori, aceasta demonstrează încăpățânarea doar impenetrabil. Cu toate acestea, acesta oferă cel mai larg de control al accesului. Orice administrator care se respectă este un mijloc necesar.

ACL-ul pentru registru

ACL-ul pentru registru, precum și sistemul de ACL, au suferit unele modificări. Cu toate acestea, ele nu sunt la fel de importante ca și modificările aduse sistemului de fișiere. Cea mai evidentă diferență față de versiunile anterioare de Windows este că, din cauza eliminarea „utilizatorii de putere“ a pierdut aproape toate elementele de ACE pentru utilizatorii cu experiență. Se consideră acum că utilizatorii experimentați nu sunt cu adevărat experimentat toate celelalte. Acest lucru arată doar cât de complex ACL. Gone, desigur, nu toate elementele ACE pentru utilizatorii cu experiență, dar unele, din păcate, nu avem suficiente.

Printre ACL în registru vă va întâlni elementul ACE pentru identificatorul de securitate numit RESTRICȚIONAT. El nu a apărut în Windows Vista, dar este demn de menționat identificatorul. Totul nu este bine inteles pentru ce este. identificator de securitate RESTRICTED se referă la orice proces care reprezintă marker limită. Restricții Marker create de o interfață specială CreateRestrictedToken API funcție. Markerul poate avea una sau mai multe AIN care restricționează utilizate în verificarea accesului partajat. Să presupunem că avem un proces care rulează cu markerul restricții. Dacă un proces încearcă să acceseze un obiect cu element de ACE pentru identificatorul de securitate cu acces restricționat, Windows efectuează de fapt două verificări. În primul rând - aceasta este verificările uzuale de acces. A doua verificare este complet identic cu primul, dar verificat numai restrictionarea AIN în token-ul. Ambele controale de acces trebuie să reușească.

Acum există mai mult de un ACL utilizând identificatorul de securitate cu acces restricționat - în special în registru. Captură de ecran cu o listă a ACL, este prezentată în Fig. 7.

Fig. 7 ACL la registru conține mai multe elemente de ACE pentru RESTRICȚIONAT ID

În prezent, câteva procese folosesc markere limitări, în special cu AIN de limitare. Ca un exemplu, procesul de serviciu care găzduiește Windows Firewall, un mecanism de bază pentru filtrarea și Politica de diagnosticare. Se folosește, de asemenea, markerul limită de înregistrare. Din câte știu, doar nouă servicii din Windows Vista utilizând ID-ul RESTRICȚIONAT și restricțiile casa de discuri.

Ca și în versiunile anterioare de Windows, permisiunile registru trebuie să fie foarte atent. Schimbarea ar trebui să fie numai în condițiile cele mai excepționale, și pentru rezolvarea problemelor bine definite. Având în vedere complexitatea modelelor de moștenire și finețea operațiunilor efectuate de registru, probabilitatea unei defecțiuni grave de schimbare neglijentă ACL în registru este inacceptabil de mare.

Ca și în cele mai multe versiuni de Windows, au fost făcute Windows Vista modificări minore pentru controlul accesului. Dar - spre deosebire de versiunile anterioare - un număr mare de modificări minore destul de schimbare majoră în comportament. UAC, în special, necesită mai multe ajustări: integritatea etichetelor și modificarea ACL interfață cu utilizatorul. În plus, a existat o premieră în istoria de o curățare majoră a ACL.

În multe feluri, listele standard de ACL în Windows Vista au fost simplificate - acest lucru nu a fost încă niciodată. Cu toate acestea, ca și în versiunile anterioare, care lucrează cu ACL-uri, acordați atenție și de bună înțelegere a ceea ce se întâmplă. Acest lucru este deosebit de important în noile versiuni OS. Din fericire, instrumentele descrise în acest articol vă va ajuta cu pierderi mai mici, pentru a examina ACL.