Icacls - ellenőrzési hozzáférést a fájlok és mappák ntfs

iCACLS parancs lehetővé teszi, hogy megjelenítse vagy módosítsa a hozzáférés-vezérlési listák (A ccess C ontrol L ists (ACL)) a fájlok és mappák a fájlrendszer. iCACLS.EXE segédprogram további javulást Cacls.exe hozzáférés-szabályozás segédprogram.

Hozzáférés vezérlése az NTFS fájlrendszer-objektumok felhasználásával valósították meg külön bejegyzéseket a MFT (Master File Table). Minden fájl vagy mappa NTFS fájlrendszer felel meg egy bejegyzést a MFT, tartalmaz egy speciális biztonsági leíró SD (biztonsági leíró). Minden biztonsági leíró két hozzáférés-vezérlési lista:

Rendszer Access Control List (SACL) - SACL.

Egyedi hozzáférés-szabályozási lista (DACL) - a lista egyedi hozzáférés-szabályozás.

SACL vezérli a rendszert, és arra használják, hogy ellenőrzési megpróbálja elérni a fájlrendszer objektum megadásával a feltételeket, amelyek által generált biztonsági eseményeket. A Windows Vista és újabb operációs rendszerekhez, SACL is használni, hogy végre a rendszer védelmi mechanizmus segítségével integritás szinten (Integrity Level, IL).

DACL - ez valóban az ACL hozzáférés-vezérlési a szokásos értelemben. Ez DACL létre szabályokat, amelyek meghatározzák, hogy kit engednek hozzáférést egy tárgyat, és kinek -, hogy tiltsák.

Minden hozzáférés-vezérlési lista (ACL) egy sor elem (rekord) Access Control - Access Control bejegyzések. vagy ACE). ACE bejegyzések két típusa (engedélyezés és tiltó hozzáférés), és tartalmaz három mező:

  • SID felhasználó vagy csoport, amelyre a szabály vonatkozik

  • A hozzáférés típusát. ez vonatkozik a szabály

  • engedélyezéséről vagy tiltó - ACE típusát.

    SID - Biztonsági ID - egy egyedi azonosító, amelyet az egyes felhasználó vagy felhasználói csoport pillanatában a teremtés. Példák a SID lehetséges. pl whoami / all paranccsal. Mint látható, a hozzáférést NTFS tárgyak ellenőrzési rendszer működik nincsenek nevek és azonosítók SID. Így például nem lehet visszanyerni a hozzáférést a fájlokat és mappákat, hogy létezett a távoli felhasználó a rendszer létrehozásával meg újra ugyanazt a nevet - ez lesz az új SID és az ACE szabályok vonatkoznak a régi azonosító SID, nem kerül végrehajtásra.

    Annak megállapítására, az eredmények a hozzáférés iránti kérelmek az NTFS fájlrendszer-objektumok a következő szabályokat kell alkalmazni:

  • Ha nincs biztonsági leíró DACL. az objektum veszélyeztetettnek tekintett, azaz minden korlátlan hozzáférést.

  • Ha DACL létezik, de nem tartalmaz olyan elemet ACE, akkor az objektum elérését zárva minden.

    Ha módosítani DACL a tárgy, a felhasználó (folyamatban) biztosítani kell a jogot, hogy írjon a DACL (WRITE_DAC - WDAC). Írási hozzáférés engedélyezhető vagy letiltható icalc.exe segédprogramot. de akkor is, ha a tilalmat, akkor is az írási jogosultságot legalább egy felhasználó tulajdonosa a fájlt vagy mappát (tulajdonos mező a biztonsági leíró), a tulajdonos mindig joga van megváltoztatni a DAC.

    Options iCACLS csapat alkalmazás:

  • ICACLS neve / save ACL_fayl [/ T] [/ C] [/ L] [/ Q] - megőrzése DACL a fájlok és mappák, a megfelelő nevet a ACL-fájlba későbbi használatra parancs / visszaállítás. Felhívjuk figyelmét, hogy a SACL címke tulajdonos és az integritás nem kerülnek mentésre.

  • ICACLS könyvtár [/ helyettesítő SidOld SidNew [. ]] / Visszaállítás ACL_fayl [/ C] [/ L] [/ Q] - használata előzőleg tárolt hozzáférés-szabályozó a fájlokat egy könyvtárban.

  • ICACLS név / setowner által [/ T] [/ C] [/ L] [/ Q] - tulajdonosváltás valamennyi releváns nevek. Ez a lehetőség nem célja, hogy erőt a tulajdonjog-változás; hogy erre a célra a program takeown.exe.

  • ICACLS név / findsid Sid [/ T] [/ C] [/ L] [/ Q] - keresés az összes vonatkozó nevek tartalmazó ACL kifejezett hivatkozás SIDs.

  • ICACLS név / ellenőrzésére [/ T] [/ C] [/ L] [/ Q] - keresés minden fájlokat noncanonical ACL vagy hullámhosszokon nem felel meg a száma ACE.

  • ICACLS neve / reset [/ T] [/ C] [/ L] [/ Q] - ACL csere örökölt alapértelmezés szerint az összes érintett fájlokat.

  • ICACLS neve [/ támogatási [r] Sid: perm [. ]] [/ Deny Sid: Perm [. ]] [/ Eltávolítása [: g |: d]] Sid [. ]] [/ T] [/ C] [/ L] [/ Q] [/ setintegritylevel szint: politika [. ]]

    / Grant [r] Sid: perm - nyújtása megadott felhasználói hozzáférési jogokat. Paraméterrel: r az engedélyeket felváltja a korábban megadott explicit engedélyeket. Paraméter nélkül: r jogosultságokat adunk a korábban megadott explicit engedélyeket.

    / Deny Sid: perm - világos felülvizsgálatát a megadott felhasználói hozzáférési jogokat. ACE adunk a látszólagos visszavonását engedély alkalmazás eltávolítása ezeket ugyanolyan jogosultságokat bármilyen explicit megadását.

    / Eltávolítása [: [g |: d]] Sid - törölni az összes előfordulását SIDS ACL. Paraméter: g eltávolítja az összes előfordulását jogokat kapnak ezen a SID. Egy paraméter: D töröl minden esetben a visszavonás a jogok e SID.

    / Setintegritylevel [(CI) (OI)] Level - hozzátéve explicit ACE integritási szintet valamennyi érintett fájlokat. A szint által meghatározott az alábbi értékeket:

    Level megelőzheti öröklési beállításokat ACE integritás csak olyan könyvtárakat.

    A mechanizmus a Windows Vista integritás és újabb verziói az operációs rendszer, bővül biztonsági architektúra meg egy új típusú ACE hozzáférési lista elemet képviselik szintű integritást a biztonsági leíró objektum (fájl, mappa). Az ACE egy új szintet objektum integritása. Ez található a rendszerben ACL (SACL), amelyet korábban csak a ellenőrzés. integritási szint is hozzá van rendelve egy biztonsági token idején inicializálás. Integrity Level Security token integritás szintig (Integrity Level, IL) a felhasználó (folyamat). szintű integritást a tokent szinthez képest az integritás az objektum leíró, amikor a biztonsági figyelő ellenőrzi a kapcsolat. A rendszer korlátozza a hozzáférési jogok függően magasabb vagy alacsonyabb szintű integritást a téma tekintetében az objektumot, és attól függően, hogy a zászló integritás politika megfelelő ACE objektumot. Integrity szintek (IL) képviselő biztonsági azonosítókat (SID), amelyek szintén a felhasználók és csoportok, amelyek szinten van kódolva relatív azonosítót (RID) SID azonosítót. A leggyakoribb integritását:

    SID = S-1-16-4096 RID = 0x1000 - szint Alacsony (alacsony szintű kötődés)

    SID = S-1-16-12288 RID = 0x3000 - Magas szintű (Magas szintű kötődés)

    SID = S-1-16-16384 RID = 0x4000 - szinten a rendszer (Szükséges szint a rendszer).

    e - integráció öröklési

    r - eltávolítja az összes örökölt ACE

    SIDs lehet numerikus formában (SID), vagy a formában egy felhasználóbarát nevet (username). Ha egy numerikus formában, add *, hogy az elején a SID, például - * S-1-1-0. Paraméterek iCACLS parancsot:

    / T - a műveletet az összes érintett fájlok és könyvtárak található a megadott könyvtárban.

    / C - folyamatos működés alatt bármilyen fájl hiba. A hibaüzenetek mindig látható.

    / L - műveletet végzünk a szimbolikus link, nem pedig annak céltárgy.

    / Q - ICACLS közüzemi elnyomja a siker üzenetet.

    ICACLS segédprogram megkíméli a kanonikus rend az ACE:

    Felbontás - egy maszk felbontást lehet beállítani egy két formája:

  • sorozata egyszerű jogok:

    N - nincs hozzáférése

    F - teljes hozzáférés

    M - Hozzáférés a változás

    RX - olvasni és végrehajtás

    R - csak olvasható hozzáférést

    W - hozzáférés csak a rekord

    D - hozzáférés eltávolítása

  • listáját az egyéni jogok zárójelben, vesszővel elválasztva:

    DE - eltávolítás
    RC - Reading
    WDAC - Írja DAC
    WO - tulajdonosváltás
    S - szinkronizálás
    AS - beléptető rendszer biztonsági
    MA - a lehető legnagyobb
    GR - általános olvasási
    GW - Áttekintés
    GE - végrehajtásának általános
    GA - minden közös
    RD - olvasható adatok, át a tartalmát egy mappába
    WD - adatrögzítés, hozzátéve fájlok
    AD - fűzni adatokat és alkönyvtárak
    REA - olvasható a kiterjesztett attribútumok
    WEA - Kiterjesztett attribútumok írása
    X - a teljesítés a fájlok és mappák áttekintése
    DC - eltávolítása beágyazott objektumok
    RA - olvasható attribútumokkal
    WA - post attribútumok

    öröklési jog megelőzheti mindkét formában, és csak azokra a könyvtárakat:

    (OI) - objektumok öröklik

    (CI) - konténerek öröklési

    (IO) - csak öröklés

    (NP) - ban a megoszlása ​​öröklés

    (I) - engedélyek öröklési a szülőtároló

    Felhasználási példák iCACLS:

    icacls - indul kulcs nélkül használható gyors bemutató használatáról szóló parancs.

    icacls C: \ Users - megjeleníti a hozzáférés-vezérlési lista a mappa C: \ Users. Egy példa a kijelzőn megjelenő információ:

    C: \ Users NT AUTHORITY \ System: (OI) (CI) (F)
    BUILTIN \ Rendszergazda: (OI) (CI) (F)
    BUILTIN \ Users: (RX)
    BUILTIN \ Users: (OI) (CI) (IO) (GR, GE)
    Minden: (RX)
    Mind: (OI) (CI) (IO) (GR, GE)

    Sikeresen feldolgozott 1 fájl; nem lehetett feldolgozni 0 fájl

    icacls c: \ windows \ * / menteni D: \ win7.acl / T - ACL megőrzésére az összes fájlt a c: \ windows és az alkönyvtárakban az ACL-file D: \ win7.acl. Mentett ACL lehetővé úrrá hozzáférést a fájlok és könyvtárak az eredeti állapotába, így mielőtt bármilyen változtatást, kívánatos, hogy a mentett fájl ACL.

    Egy példa a tárolt adatok ACL ACL:

    Azokban az esetekben, ha olyan munkát végez iCACLS parancs hiba okozta a hozzáférés megtagadása, hogy az objektumot kell feldolgozni, lehetséges, hogy továbbra is a parancs végrehajtását, ha a paraméter / C:

    icacls "C: \ System Volume Information \ *" / menteni D: \ SVI-C.acl / T / C - megtakarítás ACL ACL az összes fájlt és alkönyvtárat a C: \ System Volume Information A kezelés folytatása esetén a hiba . Az eredmények szerint az az üzenet feldolgozása a számos sikeres és sikertelen, a feldolgozott fájlok.

    Ahhoz, hogy visszaállítsa a hozzáférést a fájlok és mappák a paramétert használja / visszaállítás:

    icacls c: \ windows \ / visszaállítása D: \ win7.acl - helyreállítása fájlok és mappák mappa hozzáférés-vezérlési listák c: \ windows a korábban mentett ACL-file D: \ win7.acl.

    icacls C: \ Users \ felhasznalo1 \ tmp \ Myfile.doc / támogatási főnök: (D, WDAC) - a rendelkezésre főnök megengedi a felhasználónak, hogy távolítsa el és írása DAC a fájlt a C: \ Users \ felhasznalo1 \ tmp \ Myfile.doc.

    icacls C: \ Users \ user1 \ tmp \ Myfile.doc / támogatás * S-1-1-0: (D, WDAC) - nyújt a felhasználónak a SID S-1-1-0 (a csoport "Minden") engedélyek eltávolítás és írása DAC a fájlt a C: \ Users \ felhasznalo1 \ tmp \ Myfile.doc. icacls C: \ Users \ felhasznalo1 \ tmp \ Myfile.doc / támogatási főnök: F - nyújt a felhasználónak főnök teljes hozzáférést a C: \ Users \ felhasznalo1 \ tmp \ Myfile.doc.