Windows ACL คืออะไร

10

Windows ACL คืออะไรและทำไมจึงมีความสำคัญ

windows  security  cacls 
user1413
แหล่งที่มา
4
หน้าหลักของ Windows ACL คุณอาจต้องการเพิ่มคุณสมบัติเพิ่มเติมสำหรับคำถามของคุณไม่เช่นนั้นผู้คนจะปิดมันและคุณจะได้รับลิงก์ไปยังเอกสาร MSDN และ Wikipedia
JYelton

คำตอบ:

9

ฉันพบสิ่งต่อไปนี้ที่หน้าวิกินี้

access control list (ACL) ที่เกี่ยวกับระบบไฟล์คอมพิวเตอร์คือรายการของสิทธิ์ที่แนบกับวัตถุ ACL ระบุว่าผู้ใช้หรือกระบวนการระบบใดที่ได้รับอนุญาตให้เข้าถึงออบเจ็กต์รวมถึงการอนุญาตให้ดำเนินการกับออบเจ็กต์ที่กำหนด แต่ละรายการใน ACL ทั่วไประบุหัวเรื่องและการดำเนินการ ตัวอย่างเช่นหากไฟล์มี ACL ที่มี (Alice ลบ) สิ่งนี้จะให้สิทธิ์แก่ Alice ในการลบไฟล์

เพื่อตอบคำถามของคุณเกี่ยวกับ "เหตุใดจึงมีความสำคัญ" หากคุณยังไม่เข้าใจหากคุณยังไม่มีการอนุญาตจะไม่มีอยู่ นี่คือวิธีที่ Windows เข้าใจว่าใครมีสิทธิ์บางอย่าง

เดวิด
แหล่งที่มา
2

คุณสามารถดูได้เช่นนี้

วัตถุทุกอย่างในระบบไฟล์ NTFS นั้นมีหมายเลขลำดับ (รวมถึงบัญชีผู้ใช้กลุ่มผู้ใช้กระบวนการอุปกรณ์ ฯลฯ ) รายการการควบคุมการเข้าถึงจะติดตามว่าหมายเลขใดที่ต่อเนื่องกันสามารถเข้าถึงหมายเลขที่เป็นอนุกรมอื่นได้และสิทธิ์ใดที่ถูกตั้งค่าไว้ แค่คิดว่าทุกอย่างมีหมายเลขต่อเนื่องพร้อมสิทธิ์แนบไว้ด้วย

หากคุณลบผู้ใช้ชื่อ FRED หมายเลขซีเรียลของเขาจะถูกลบและจะถูกลบออกจาก ACL อย่างมีประสิทธิภาพหมายเลขซีเรียลของ FRED จะไม่เชื่อมโยงกับอุปกรณ์อื่น ๆ อีกต่อไปและการอนุญาตที่เขามีกับอุปกรณ์เหล่านั้นก็จะถูกลบออกเช่นกัน

หากคุณสร้างชื่อผู้ใช้ FRED อีกครั้งเขาจะได้รับหมายเลขซีเรียลใหม่ ACL จะรับรู้ว่าเป็นหมายเลขใหม่ ดังนั้นจะไม่สร้างสิทธิ์ใด ๆ ที่บัญชี FRED ที่ถูกลบไปใหม่

หวังว่าสิ่งนี้จะช่วยให้เกิดแนวคิดเกี่ยวกับ ACL ว่ามันทำงานอย่างไรและทำไมมันถึงมีความสำคัญ

ไมค์
แหล่งที่มา
2

Access Control List (ACL) มีศูนย์หรือ Access Control Entries (ACEs) เป็นศูนย์หรือมากกว่า วัตถุต่าง ๆ มากมายใน Windows สามารถมี ACL เช่นไฟล์อุปกรณ์เครื่องพิมพ์รายการรีจิสตรีและสิ่งอื่น ๆ (ตรวจสอบWinObj ของ SysInternalหากคุณต้องการดูภาพรวมของวัตถุประเภทต่างๆทั้งหมดใน "namespace" ของ Windows - ส่วนใหญ่เป็นแบบภายในกับ Windows และไม่ได้สัมผัสกับผู้ใช้โดยตรง)

ACE ประกอบด้วย

  • หลัก โดยปกติจะเป็นผู้ใช้หรือกลุ่ม อาจเป็นผู้ใช้กลุ่มหรือคอมพิวเตอร์ในฐานข้อมูล Active Directory บนตัวควบคุมโดเมนหรือผู้ใช้ภายใน มีกลุ่ม "เสมือน" เช่น "ทุกคน" และ "ผู้ใช้ที่ผ่านการรับรองความถูกต้อง"

และ

  • ความสามารถอย่างน้อยหนึ่งอย่างความสามารถแต่ละอย่างสามารถตั้งค่าเป็นอนุญาตหรือปฏิเสธ ตัวอย่างของความสามารถคือ "อ่าน", "เขียน", "เนื้อหาของรายการ" ฯลฯ ปฏิเสธการทำสิ่งต่อไปนี้อนุญาต วัตถุส่วนใหญ่เช่นไฟล์ ฯลฯ จะไม่อนุญาตให้เข้าถึงหรือเปลี่ยนแปลงเว้นแต่จะมี "อนุญาต" ACL ให้ใช้งานโดยเฉพาะ ดังนั้นปฏิเสธควรใช้ในกรณีพิเศษเท่านั้น

ACLs สามารถสืบทอดเช่นไฟล์ในไดเรกทอรีระดับล่างสามารถรับ ACLs จากไดเรกทอรีระดับบน

สิ่งเหล่านี้มีความสำคัญเนื่องจากนี่คือวิธีที่ Windows ให้และบังคับใช้สิทธิ์พิเศษให้กับกระบวนการ แต่ละกระบวนการทำงานในฐานะผู้ใช้และหากผู้ใช้นั้น "ตกอยู่ภายใต้" หนึ่งหรือมากกว่าหนึ่ง ACEs Windows จะช่วยแก้ปัญหาให้พวกเขาทั้งหมดเพื่อพิจารณาว่าการกระทำเฉพาะนั้นได้รับอนุญาตหรือไม่

LawrenceC
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.