关于:Windows 中的 ACL,DACL,SACL 和 ACE

最新推荐文章于 2024-05-13 16:58:51 发布
最新推荐文章于 2024-05-13 16:58:51 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: Windows Client Windows Server 文章标签: windows NTFS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rllyz/article/details/122886046
版权

1、在 Windows 中,每个安全对象都有一个安全描述符(Security Descriptor,SD)。

   - SD 有助于控制对对象的访问,它包含所有者的信息、要审核的内容以及以何种方式授予访问权限。

   - 它包含了真正的用于设置安全权限的 ACL。

2、ACL(Access Control List)有 2 个,DACL 和 SACL。

   - DACL(Discretionary Access Control List),主要用于设置用户以及用户组对安全对象的访问权限。

   - SACL(System Access Control List,SACL),用于配置对安全对象的访问的审计(生成日志)。

   - 每个 ACL 由多个 ACE(Access Control Entries)构成。

3、图示:

   

   

   

生活在香樟园里
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
【DACLWindows 文件用户权限备份与恢复
qq_34684311的博客
04-25 1620
DACL的备份与恢复
ACL&ACE的三条原则!
技术点滴
09-02 4954
第一:NTFS Permission are Cumulative 即多个组被赋予的不同的权限是可以累加的。第二:File Override Folder Permission 即文件的权限占先于目录的权限。文件的权限先起作用,文件夹的权限后起作用。即底层的权限优先。第三:Deny Override Other Permission 即拒绝访问权限优先。
再聊Windows的访问控制(Access Control)(七)ICACLS.EXE
最新发布
stevenjoo67的博客
05-13 1473
icacls.exe
访问控制列表ACL学习
st3pby的博客
12-07 1315
需要注意的是,DACL 只是访问控制的一部分,它仅涵盖了资源的自由访问控制。在 Windows 操作系统,还有其他类型的访问控制,如系统访问控制列表(SACL)用于审核和监视访问,以及对象所有者等。总而言之,DACLWindows 操作系统用于自由访问控制的权限机制,用于确定谁可以访问资源以及他们可以执行的操作。它提供了一种灵活的方式来定义和管理资源的访问权限,以满足安全性和数据保护的需求。
NTFS权限、ACL权限的使用方法
youcan_doit的博客
04-20 482
NTFS权限、ACL权限的使用方法
修改 Windows 文件访问权限的多种方法
溡漪幽博客
08-23 7305
由于文件是安全对象,因此访问它们受访问控制模型控制,该模型控制对 Windows 所有其他安全对象的访问。更改文件或目录对象的安全描述符,需要调用或等函数。ACL,用来表示用户(组)权限的列表,包括 DACLSACL;ACEACL的元素;DACL,用来表示安全对象权限的列表;SACL,用来记录对安全对象访问的日志。关于这几个概念已经有很多资料解释,这里就不详细展开了。(以下仅介绍通过Win32API修改文件安全属性的一些内容)。
windows Access Token 、ACLACE学习笔记
xbgprogrammer的专栏
11-19 7578
今日看了看关于windows本身安全机制的一些文章,所以将自己掌握到的一些东西供大家探讨一下。   1. Access Token   windows访问令牌记录着某用户的SID、组ID、Session、及权限等信息,要获取这些信息,可以通过GetTokenInformation API获得。以下是一些代码样例 #define GETATTRI(desc, attri, check) \
WindowsDACLEnumProject:枚举和分析Windows DACL的工具集合
05-22
Windows DACLACE概述 阅读-http: 工具#1:过程权限 特征 作为该项目的一部分发布的第一个工具。 将枚举: 进程及其运行的完整性级别和用户。 可选:与流程对象关联的DACL。 可选:进程的线程以及与之关联的...
宁盾打印机网络准入:MAB认证+DACL权限管控.docx
06-06
宁盾打印机网络准入:MAB认证+DACL权限管控.docx宁盾打印机网络准入:MAB认证+DACL权限管控.docx宁盾打印机网络准入:MAB认证+DACL权限管控.docx宁盾打印机网络准入:MAB认证+DACL权限管控.docx宁盾打印机网络准入:...
宁盾打印机网络准入:MAB认证+DACL权限管控.pdf
06-06
宁盾打印机网络准入:MAB认证+DACL权限管控.pdf宁盾打印机网络准入:MAB认证+DACL权限管控.pdf宁盾打印机网络准入:MAB认证+DACL权限管控.pdf宁盾打印机网络准入:MAB认证+DACL权限管控.pdf宁盾打印机网络准入:MAB...
RunasCs:RunasCs-Csharp和Windows内置runas.exe的开放版本
02-05
此工具是改进的(从渗透测试的角度而言),它是内置于runas.exe的Windows的开放版本,解决了一些限制: 允许显式凭证如果是从交互过程和服务过程产生的,则都可以工作正确管理Window Station和Desktop的DACL ,以...
域渗透之ACL攻击.pdf
08-11
安全描述符则与被访问对象关联,包含对象所有者的SID以及ACL,其包括DACLSACL。 2. **DACL(自主访问控制列表)** DACL是安全描述符最关键的部分,它由一个或多个访问控制项(ACE,Access Control Entry)...
13、权限管理之ACL权限
吕秀军的博客
06-15 541
ACL权限(解决所有者、所属组、其他人命令不足情况): 1 ACL简介与开启 1.1: 什么是ACL权限:当一个临时其他用户A想对/data/test(750权限)拥有x权限,系统又不想把test所有者变为这个A也不想将A加入test所属组,那就单独针对这个文件夹给A设置ACL权限的x,他虽然不是该文件的所有者、也不属于所属组,他就会有x权限,这就是ACL权限存在的意义 1.2、查看分区命令
windows组策略与ACL访问控制列表
热门推荐
Shanfenglan's blog
08-21 27万+
什么是组策略 组策略与工作组没关系,它是许多策略的集合,组策略的组代表的是一组或者说多个,并不代表工作组的组。例如本地安全策略就是组策略的一部分。 ou是组织单元,组策略可以下发给ou可以给域可以给站点等。优先级ou最高一次递减。 但子ou的优先级比父ou高(默认情况)。 组策略相当于一张任务计划书。可以分配给不同的部门。 组策略大体分为如下几种: 域内组策略 在DC直接在服务器管理下面点的那个“组策略管理”即可管理域内组策略,这个组策略只对域内的主机有用。 命令行的命令为gpmc.msc。 它的作用是
Windows原理深入学习系列-访问控制列表
SecSource_Stars的博客
03-04 3593
这是[信安成长计划]的第 19 篇文章 0x00 目录 0x01 介绍 0x02 DACL 0x03 创建DACL 0x04 文件读取测试 0x05 进程注入测试 0x06 原理分析 Win10_x64_20H2 0x07 参考文章 在最后分析的时候纠正一下网上大批分析文章的一个错误,东西只有自己实践了才知道 0x01 介绍 在上一篇讲强制完整性控制的时候提到过,在权限检查的时候,会先进行强制完整性检查,然后再进行 DACL 检查,DACL 就是包含在这次要提到的 ACL的。 访问控制列表(Acce
Windows账户安全设置
悦分享
05-14 2537
用户账户控制(UAC)最初名为User Account Protect,是微软为提高系统安全而在Windows Vista引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止或提示标准用户进行不当的系统设置改变。在Windows 7,微软对UAC功能进行了大量改进,在确保安全性的同时,让UAC的提升提示出现的数量更少,而且我们可以根据需要使用不同级别的提示,因此,在确保安全的同时,也进一步提升了易用性。
测试real application security 的ACLACE
wgz7747147820的博客
02-17 213
测试ACLACE 在创建ACLACE的过程,基本上所有的东西都没有进行verify,比如 19:57:35 SQL> declare ace_list xs$ace_list; st_date timestamp with time zone; en_date timestamp with time zone; begin st_date :=systimestamp; en_date :=to_timestamp_tz('2021-12-31 00:00:00 -08:20','yy
windows ACL、DACLSACL、ACE
include_heqile的博客
01-08 671
个人博客 微信公众号
文件权限管理,特殊权限及ACL权限
windowsworld的博客
04-03 1188
文件权限的读取 用ls查看目录或文件信息。 格式:-|rw-r–r--| 1 | root |root| 0 | Mar 30 21:17 |5.unit5 【1】【2】 【3】 【4】【5】【6】 【7】 【8】 1.文件类型 文件的类型:-:空文件或文本 d:目录 l:软连接(快捷方式) c:字符设备 s:socket套接字符 b:block块设备 2.文件的权限 rw-|...
C++实现windows删除文件的DACL
05-11
Windows,要删除一个文件,你需要具有适当的权限。你可以使用Windows API来删除文件,其一个重要的函数是DeleteFile()。但是,如果文件有DACL(禁止访问控制列表)设置,则可能会阻止文件的删除。在这种情况下,你需要修改DACL以允许文件的删除。 以下是在C++修改文件DACL以允许删除文件的示例代码: ```cpp #include <Windows.h> #include <AclAPI.h> int main() { LPCWSTR filePath = L"C:\\example\\file.txt"; // 打开文件的句柄 HANDLE fileHandle = CreateFileW(filePath, GENERIC_READ | DELETE, FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE, NULL, OPEN_EXISTING, FILE_FLAG_DELETE_ON_CLOSE, NULL); if (fileHandle == INVALID_HANDLE_VALUE) { printf("Failed to open file. Error code: %d\n", GetLastError()); return 1; } // 获取文件的DACL PSECURITY_DESCRIPTOR fileSd; if (!GetSecurityInfo(fileHandle, SE_FILE_OBJECT, DACL_SECURITY_INFORMATION, NULL, NULL, NULL, NULL, &fileSd)) { printf("Failed to get file security information. Error code: %d\n", GetLastError()); CloseHandle(fileHandle); return 1; } // 获取文件DACL PACL fileDacl; BOOL daclPresent; BOOL daclDefaulted; if (!GetSecurityDescriptorDacl(fileSd, &daclPresent, &fileDacl, &daclDefaulted)) { printf("Failed to get file DACL. Error code: %d\n", GetLastError()); LocalFree(fileSd); CloseHandle(fileHandle); return 1; } // 将当前进程的SID添加到文件的DACL PSID currentUserSid; if (!ConvertStringSidToSidW(L"S-1-5-20", &currentUserSid)) // 这里使用了本地服务的SID,具体可根据实际情况更改 { printf("Failed to convert string SID to SID. Error code: %d\n", GetLastError()); LocalFree(fileSd); CloseHandle(fileHandle); return 1; } EXPLICIT_ACCESSW ea; ZeroMemory(&ea, sizeof(EXPLICIT_ACCESSW)); ea.grfAccessPermissions = DELETE; ea.grfAccessMode = SET_ACCESS; ea.grfInheritance = NO_INHERITANCE; ea.Trustee.TrusteeForm = TRUSTEE_IS_SID; ea.Trustee.TrusteeType = TRUSTEE_IS_USER; ea.Trustee.ptstrName = (LPWSTR)currentUserSid; PACL newDacl; if (ERROR_SUCCESS != SetEntriesInAclW(1, &ea, fileDacl, &newDacl)) { printf("Failed to set ACE in file DACL. Error code: %d\n", GetLastError()); LocalFree(currentUserSid); LocalFree(fileSd); CloseHandle(fileHandle); return 1; } // 将新的DACL设置为文件的安全信息 if (ERROR_SUCCESS != SetSecurityInfo(fileHandle, SE_FILE_OBJECT, DACL_SECURITY_INFORMATION, NULL, NULL, newDacl, NULL)) { printf("Failed to set new file security information. Error code: %d\n", GetLastError()); LocalFree(currentUserSid); LocalFree(fileSd); CloseHandle(fileHandle); return 1; } // 关闭文件句柄,删除文件 CloseHandle(fileHandle); DeleteFileW(filePath); LocalFree(currentUserSid); LocalFree(fileDacl); LocalFree(fileSd); printf("File deleted successfully.\n"); return 0; } ``` 在上面的代码,我们首先打开一个文件句柄,然后获取文件的DACL。接下来,我们使用ConvertStringSidToSidW()函数将当前进程的SID转换为SID结构体。然后,我们创建一个EXPLICIT_ACCESSW结构体,将当前进程的SID添加到其,并将其设置为允许删除文件。使用SetEntriesInAclW()函数将新的ACE(访问控制项)添加到文件的DACL。然后,我们将新的DACL设置为文件的安全信息。最后,我们关闭文件句柄并删除文件。 需要注意的是,这个例子只是在演示如何修改文件DACL以允许删除文件。在实际应用,你需要根据实际情况来修改代码。比如,你需要使用适当的SID来代表你的进程,而不是本地服务的SID。你也需要检查函数返回值以处理错误情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

生活在香樟园里

你的鼓励是我前进的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值