[笔记] Windows 审计《一》判断是否SACL系统记录权限、DACL管理权限是否继承

已于 2023-10-24 18:56:34 修改
阅读量262 收藏
点赞数
分类专栏: windows 文章标签: windows
于 2023-10-24 18:13:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1113673178/article/details/134018378
版权

文章目录

前言

安全对象:由微软定义为可以具有安全描述符的对象,包括诸如文件,线程,远程注册表,Active Directory对象等许多东西。

安全描述符:包含许多字段的二进制结构,包括对象的所有者,以及指向对象的SACL和DACL的指针,这其中还包括头控制位和其他字段。

ACL:访问控制列表,SACL和DACL的超集的通用术语。

SACL:系统访问控制列表,一组控制审计访问或修改对象的ACE。

DACL:自主访问控制列表,这是一组定义哪些主体(或受托人)对给定对象具有特定权限的ACE集合。

ACE:访问控制条目,控制(如果包含在DACL中)或监控器(如果包含在SACL中)指定受托人访问对象的单独规则。

如下SACL的启用继承
在这里插入图片描述
如下DACL的启用继承
在这里插入图片描述

基本思路:

  1. 程序提权
  2. 获得已知SECURITY_INFORMATION (DACL,SACL)安全信息
  3. 判断标志位是否有(SE_SACL_PROTECTED、SE_DACL_PROTECTED)

代码

#include <windows.h>
#include <stdio.h>
#include <AccCtrl.h>
#include <AclAPI.h>
#include <string>
#include <sddl.h>
#include <algorithm>
#include <iostream>

static PSTR WINAPI SIDToName(PSID lpSID);

static BOOL UpProcessPriority() {
    HANDLE h_token_handle = nullptr;
    TOKEN_PRIVILEGES token_privileges;
    BOOL result = FALSE;

    result =
        OpenProcessToken(GetCurrentProcess(),
            static_cast<unsigned>(TOKEN_QUERY) |
            static_cast<unsigned>(TOKEN_ADJUST_PRIVILEGES),
            &h_token_handle);

    if (result != 0) {
        result = LookupPrivilegeValueW(nullptr, SE_SECURITY_NAME,
            &token_privileges.Privileges[0].Luid);
        if (result != 0) {
            token_privileges.PrivilegeCount = 1;
            token_privileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

            result = AdjustTokenPrivileges(
                h_token_handle, FALSE, &token_privileges, 0, nullptr, nullptr);
        }
    }

    if (h_token_handle != nullptr) {
        CloseHandle(h_token_handle);
    }
    return result;
}

int main(int argc, char *argv[])
{
    UpProcessPriority();
    SECURITY_INFORMATION requestedInfo = DACL_SECURITY_INFORMATION | SACL_SECURITY_INFORMATION;
    PSECURITY_DESCRIPTOR pSecDes = NULL; DWORD secSize = 0;
    /*CHAR filePath[MAX_PATH] = "C:\\Program Files\\zsw";*/
    CHAR filePath[MAX_PATH] = "C:\\Program Files\\zsw\\zsw2";
    if (!GetFileSecurityA(filePath, requestedInfo, pSecDes, secSize, &secSize))
    {
        pSecDes = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, secSize);
        if (!GetFileSecurityA(filePath, requestedInfo, pSecDes, secSize, &secSize)) {
            std::cout << GetLastError() << std::endl;
        }
    }

    SECURITY_DESCRIPTOR_CONTROL pControl; DWORD revision;
    if (GetSecurityDescriptorControl(pSecDes, &pControl, &revision))
    {
        if ((pControl & SE_DACL_PROTECTED) == SE_DACL_PROTECTED) {
            std::cout << "安全描述符DACL是否可以传播: 不可传播,禁用继承" << std::endl;
        }
        else {
            std::cout << "安全描述符DACL是否可以传播: 可传播,启用继承" << std::endl;
        }

        if ((pControl & SE_SACL_PROTECTED) == SE_SACL_PROTECTED) {
            std::cout << "安全描述符SACL是否可以传播: 不可传播,禁用继承" << std::endl;
        }
        else {
            std::cout << "安全描述符SACL是否可以传播: 可传播,启用继承" << std::endl;
        }

    }

    BOOL daclPresent; BOOL daclDefaulted; PACL lpACL = NULL;
    if (!GetSecurityDescriptorDacl(pSecDes, &daclPresent, &lpACL, &daclDefaulted))
        std::cout << GetLastError() << std::endl;

    ACL_SIZE_INFORMATION aclInfo; DWORD aclInfoSize = sizeof(ACL_SIZE_INFORMATION);
    ACE_HEADER *aceHeader = NULL; ACCESS_ALLOWED_ACE *accessAllowed = NULL; LPVOID unknown = NULL;
    if (GetAclInformation(lpACL, &aclInfo, aclInfoSize, AclSizeInformation))
    {
        for (int i = 0; i < aclInfo.AceCount; i++)
        {
            if (GetAce(lpACL, i, &unknown))
            {
                aceHeader = (ACE_HEADER *)unknown;
                if ((aceHeader->AceType == ACCESS_ALLOWED_ACE_TYPE) || (aceHeader->AceType == ACCESS_DENIED_ACE_TYPE))
                {
                    accessAllowed = (ACCESS_ALLOWED_ACE *)unknown;
                    std::cout << " ACE[" << i << "]: " << std::endl;
                    std::cout << "  > 类型: " << (INT)accessAllowed->Header.AceFlags << std::endl;
                    std::cout << "  > SID 账户名: " << SIDToName(&accessAllowed->SidStart) << std::endl;
                }
            }
        }
    }
    return 0;
}

PSTR WINAPI SIDToName(PSID lpSID)
{
    LPSTR userName = NULL; LPSTR domainName = NULL; DWORD nameSize = 0; DWORD domainSize = 0; SID_NAME_USE peUse;
    if (!LookupAccountSidA(NULL, lpSID, userName, &nameSize, domainName, &domainSize, &peUse))
    {
        userName = (LPSTR)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, nameSize);
        domainName = (LPSTR)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, domainSize);
        if (!LookupAccountSidA(NULL, lpSID, userName, &nameSize, domainName, &domainSize, &peUse))
            std::cout << GetLastError() << std::endl;
    }
    return userName;
}

总结

参考:
什么是DACL和SACL
利用SACL审核文件操作思路分享
访问控制列表

关于博主

wx/qq:binary-monster/1113673178
wxgzh: 二进制怪兽
CSDN:https://blog.csdn.net/qq1113673178
码云:https://gitee.com/shiver
Github: https://github.com/ShiverZm
个人博客:www.shiver.fun

二进制怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows系统安全完美版资料.ppt
11-16
DACL定义了哪些主体可以访问对象及具体权限,而SACL则用于审计和监控。 【总结】 Windows系统的访问控制机制通过访问控制矩阵模型、安全策略、访问控制列表(ACL)以及访问令牌和安全描述符等工具,实现了对系统...
关于Windows安全权限的学习.doc
08-19
3. **SACL (System Access Control List)**:与DACL不同,SACL主要用于审计目的,记录特定账户对对象的特定操作。SACL的设置可以帮助管理员了解谁对系统进行了何种操作,以便更好地监控和管理系统的安全状态。 4. *...
对象安全描述符
luckylion的专栏
06-03 2247
以下转自:http://sluttery.spaces.live.com/Blog/cns!1pT-_vAfaYbpcFEI23XZlwLg!711.entry简称:SDDL四个主要组件的令牌:所有者 (O:)、主要组 (G:)、DACL (D:) 和 SACL (S:)摘要:对基于 ACL 的安全性以及 Windows 访问控制模型的简介。1: ACL 编辑器介绍
Windows授权---Windows Authorization
刘国元的专栏
11-16 2558
授权 目的 Purpose 授权是指使用系统以及系统中的数据的权利的赋予。授权一般由系统管理员设置、并由计算机根据用户的身份,比如代码数字、密码,来进行区分。 微软的授权包括授权管理和授权API两部分。 面向的开发者受众 Developer audience 微软的授权技术是为那些基于Windows Server和控制访问资源的操作系统开发应用程序的开发者设计的。开发者需要熟悉Wi...
Windows权限简介
奔跑的蜗牛的博客
10-28 5335
1访问控制 Windows可以通过相互关联的身份验证和授权机制来控制系统和网络资源的使用。在用户通过身份验证后,Windows 操作系统使用内置的授权和访问控制技术来实现资源的保护,在确定用户身份后,确认用户是否具有访问资源的正确权限。 授权用户、组和计算机访问网络或计算机上的对象的过程。构成访问控制的关键概念是权限、对象所有权、权限继承、用户权限和对象审计。 1.1特权 特权是一个帐户(如用户或组帐户)在本地计算机上执行各种系统相关操作(如关闭系统、加载设备驱动程序或更改系统时间)的权限。特权与访问权限
Windows安全——访问控制概述
最新发布
stevenjoo67的博客
03-16 1380
Windows安全模型
The Windows Access Control Model
zhangyuqin_sh的专栏
04-11 870
<br />http://www.codeproject.com/KB/winsdk/accessctrl1.aspx<br />http://www.codeproject.com/KB/winsdk/accessctrl2.aspx<br />http://www.codeproject.com/KB/system/accessctrl3.aspx<br />http://www.codeproject.com/KB/winsdk/accessctrl4.aspx<br />摘自于 www.codepr
aa.rar_注册表权限
09-14
这个函数需要`SECURITY_INFORMATION`结构来指定要设置的安全信息类型,如DACL(Discretionary Access Control List,自定义访问控制列表)或SACL(System Access Control List,系统访问控制列表)。以下是一个简单...
以程序的方式操纵NTFS的文件权限
05-16
3. **系统访问控制列表 (SACL)**:记录了对象的访问审计信息,即哪些用户进行了何种类型的访问尝试。 4. **控制标志**:用于指定SD中各元素的有效性及其他控制选项。 ##### 安全对象 (Securable Objects) 在...
windows访问控制笔记
01-20
 SACL包含审核项(审核成功/失败)告诉Windows哪些动作要向安全事件日志中记录  打开对象时,Windows取得线程令牌中的用户名,读取安全描述符中的DACL,对访问进行判断(允许/拒绝)  关于访问令牌  ...
Windows 文件系统授权的继承和传播
CuiXY's Blog
01-18 1316
define MY_READ_DATA (0x1) // 00000000 00000000 00000000 00000001 列出文件夹/读取数据。#define MY_WRITE_DATA (0x2) // 00000000 00000000 00000000 00000010 创建文件/写入数据。SID 账户名: Administrators。安全描述符是否可以传播: 可以传播。SID 账户名: SYSTEM。SID 账户名: Cxy。这里附上高级权限的掩码。
Windows安全基础:认证基础知识
m0_59598029的博客
02-29 932
Windows凭据Windows访问控制模型访问令牌:安全标识符(SID):安全描述符:令牌安全防御1、禁止域管理员异机登录2、开启“审核进程创建”策略。
安全知识分享域渗透
weixin_43803070的博客
03-11 385
访问控制,是指某主体对某实体执行读取、写入、删除、更改等某种操作是否被允许,在Windows中,通常主体是进程,客体可能是文件、目录、管道、服务、注册表、打印机、共享等。NTLM 的网络认证,既可用于域内的认证服务,又可用于工作组环境。当一个对象被创建时,系统将为其分配安全描述符,安全描述符包含了该对象的属主对该对象所配置的一些安全属性和策略,安全描述符由4部分组成,包含SID(标识该对象拥有的SID),DACL(该对象的访问控制策略),SACL(该对象的访问行为的审计策略)、Flag;
翻译:安全描述符字符串格式
一個單身漢的专栏
04-10 2010
聲明:本人以學習目的翻譯此文,翻譯所用原始資料出自Windows 2003 Server R2 SDK之Authorization相關章節,一切版權歸Microsoft所有。本人水平有限,故仍附原文于后,謬誤之処,還望大家不吝賜教。 安全描述符字符串是一種用來存儲或傳輸安全描述符中的信息的文本格式,ConvertSecurityDescriptorToStringSecurityD
SDDL安全模板编写
尘埃落定
04-28 3077
怎样编写安全模板(权限设置DIY之SDDL简介) 怎样编写安全模板(权限设置DIY之SDDL简介)Author: joyadam@myrealbox.com Windows 2000 提供了使用“安全模板”管理单元方式定义安全性的集中式方法。对于一个网络管理员而言,安装系统并进行安全配置不再是一项繁琐的工作了,现在需要做的事情只有维护一个安全模板文件
以程序的方式操纵NTFS的文件权限(下)
陈皓专栏 【空谷幽兰,心如皓月】
01-20 7887
    //     // STEP 14: 把一个 access-allowed 的ACE 加入到新的DACL中    //     前面的循环拷贝了所有的非继承且SID为其它用户的ACE,退出循环的第一件事    // 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowed
windows访问控制列表 --ACL(Access Control List)
weixin_30628077的博客
07-07 1168
1、定义     ACL是一个windows中的表示用户(组)权限的列表。   Access Control List(ACL) Access Control Entry(ACE) ... 2、分类   ACL分为两类     1,Discretionary Access Control List (DACL) 自由访问控制列表    ...
Windows安全详解:权限与控制
Security Descriptor (SD)是一个结构,用于描述对象的安全属性,包括所有者、组、系统访问控制列表(SACL)和 discretionary访问控制列表(DACL)。Access Control Entry (ACE)是SD中的条目,包含了用户的SID和对应的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二进制怪兽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值