关于Windows中的权限限制

最新推荐文章于 2024-10-04 19:11:35 发布
最新推荐文章于 2024-10-04 19:11:35 发布
阅读量505 收藏
点赞数
分类专栏: 杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43899764/article/details/107537211
版权

随笔集中的所有内容为笔者在写作当时的所思所想,受于见识有限,学识有限,有些地方可能并不正确。如果有什么错误的地方,欢迎不吝指正。

  • 背景:
    • 最近遇到一个项目,需要对Windows上的文件权限以及注册表权限进行一些限制。于是就开始了一些毫无头绪的学习。
    • 本篇中的虚拟机环境为64位 Windows 7,镜像可搜索MSDN进行下载。
    • 文中的代码皆为 python2.7 版本的代码

0x0 目标

  • 由于项目需求,我们需要限制文件夹的权限,从而限制对指定文件夹的权限,大概,就像下面这种的限制。
    在这里插入图片描述

  • 那么,众所周知,把文件夹属性设置为只读,或者修改成SetFileAttribute之类的函数,并不会达成这样的目的。反而会显得我们有点蠢。
    在这里插入图片描述

  • 于是稍微尝试修改一下我们的思路,像这样,找几个地方瞎点一点试试,发现成功了。在这里插入图片描述

  • 那么,现在就需要我们利用代码来执行一下刚才的步骤了。

0x1 代码实现 (一)

  • 由于需要在原有的python代码上进行添加修改,尝试搜索一下windows相关的python库,可以找到一个名叫 pywin32 的模块,里面可以调用很多不同的 Windows 接口。
  • 继续尝试搜索 “pywin32 修改文件夹权限” 等关键词,可以找到类似于下面这样的代码。
import win32security
import ntsecuritycon as con

FILENAME = "C:\\test"	# 目标路径

userx, domain, type = win32security.LookupAccountName ("", "User X")
usery, domain, type = win32security.LookupAccountName ("", "User Y")

# 获取文件夹的 dacl 值
sd = win32security.GetFileSecurity(FILENAME, win32security.DACL_SECURITY_INFORMATION)
dacl = sd.GetSecurityDescriptorDacl()

# 设置新的权限为 dacl 可读可访问
dacl.AddAccessAllowedAce(win32security.ACL_REVISION, con.FILE_GENERIC_READ, userx)
dacl.AddAccessAllowedAce(win32security.ACL_REVISION, con.FILE_ALL_ACCESS, usery)

# 更新 dacl 权限
sd.SetSecurityDescriptorDacl(1, dacl, 0)
win32security.SetFileSecurity(FILENAME, win32security.DACL_SECURITY_INFORMATION, sd)
  • 把上面的代码放到我们的虚拟机里面测试一下,发现可以运行,但是和我们想象的还有一些差别。
  • 【这里因为时间太久远已经忘记要写什么了,貌似是覆盖了原始 dacl 导致不容易恢复回修改前的状态所以又继续折腾了一下】

0x2 概念

首先,让我们来看一下什么是ACL和ACE,微软官方文档给出的定义是这样子的:

Access Control List (ACL): A list of security protections that applies to an object. (An object can be a file, process, event, or anything else having a security descriptor.) An entry in an access control list (ACL) is an access control entry (ACE). There are two types of access control list, discretionary and system.

Access Control Entry (ACE): An entry in an access control list (ACL). An ACE contains a set of access rights and a security identifier (SID) that identifies a trustee for whom the rights are allowed, denied, or audited.

  • 简单来说,ACE(Access Control Entry) 就是Windows系统设置的一系列规则,决定了每个用户对于不同对象(文件,进程,实践,注册表等)的操作权限(访问,读,写,执行,等),ACL(Access Control List) 则是由多个 ACE 组成的链表(list)。
  • ACL 又分为两种类型,DACL(Discretionary Access Control List)SACL(System Access Control List),其中的 DACL 用来表示安全对象的权限,而 SACL 则是用来记录对安全对象访问的日志。
    这里是图片描述
ACL的结构

  • 再简单来说,ACL就是一个用来限制用户权限的一套规则,在 域控渗透 方面的用处比较多。具体的使用方法可以参考下面两篇文章:

  • 由于我们的目标只是一些简单的权限控制,那么就只进一步稍微了解一下DACL和SACL,两者都是由一条条的ACE组成,在这里我们只关心DACL的ACE(因为SACL我也还没研究明白)。

  • 众所周知,Windows中的权限限制,长这个样子:

在这里插入图片描述

  • 对应我们在刚才了解到的概念,又可以将上图以这样的方式进行解读:

在这里插入图片描述

可以看到,整个 权限项目 中显示的就是我们的DACL,而其中的每一个子项就是一个ACE。

0x3 代码实现(二)

## 根据 filename 为指定路径,禁用文件创建权限
def disable_dir(filename):
    try:
        userx, domain, type = win32security.LookupAccountName("", os.environ['USERNAME'])
        sd = win32security.GetFileSecurity(filename, win32security.DACL_SECURITY_INFORMATION)
        dacl = win32security.ACL()
        dacl.AddAccessAllowedAce(win32security.ACL_REVISION, con.FILE_GENERIC_READ, userx)
        sd.SetSecurityDescriptorDacl(1, dacl, 0)  # may not be necessary
        win32security.SetFileSecurity(filename, win32security.DACL_SECURITY_INFORMATION, sd)
    except:
        print "disable_dir failed"

## 根据 filename 为指定路径,恢复文件夹权限
def enable_dir(filename):
    try:
        userx, domain, type = win32security.LookupAccountName("", os.environ['USERNAME'])
        sd = win32security.GetFileSecurity(filename, win32security.DACL_SECURITY_INFORMATION)
        dacl = win32security.ACL()
        dacl.AddAccessAllowedAce(win32security.ACL_REVISION, con.FILE_GENERIC_READ | con.FILE_GENERIC_WRITE, userx)
        sd.SetSecurityDescriptorDacl(1, dacl, 0)  # may not be necessary
        win32security.SetFileSecurity(filename, win32security.DACL_SECURITY_INFORMATION, sd)
    except:
        print "enable_dir failed"

0x4 引用

阿鲁卡Alluka
关注
专栏目录
Windows UAC权限详解以及因为权限不对等引发的若干问题排查
dvlinker的技术专栏
06-08 4028
Windows UAC权限详解以及因为权限不对等引发的若干问题分享。
Windows UAC权限详解以及因为权限不对等引发的若干问题分享
dvlinker的技术专栏
11-15 1万+
Windows UAC权限详解以及因为权限不对等引发的若干问题分享。
windows对指定用户做权限限制
qq_56505882的博客
07-08 4080
5、禁止访问驱动器依次点击 用户配置->管理模板->Windows组件->文件资源管理器, 找到防止从"我的电脑"访问驱动器, 选择已启用. 这里你可以选择要限制的驱动器.左侧进入安全设置->本地策略->安全选项->找到用户帐户控制:标准用户的提升提示行为, 双击, 设置为自动拒绝提升请求, 点击确定. 这样就不能提升权限。3、ctrl+m进入添加或删除管理单元, 添加 组策略对象编辑器, 点击添加, 点击浏览, 点击用户, 选择cxk.2、选择本地计算机 ,点击用户, 双击指定要设置的用户。
系统权限限制
龙神add-走向数据架构师的路
07-17 1013
在oracle8之前的版本,具有select any table权限的用户可以查询数据字典。 这样可能存在安全隐患。 为了解决这一隐患,oracle8之后版本引入了o7_dictionary_accessibility参数, Oracle系统里有这一参数来控制select any table权限访问系统的方式。 如果这个参数被设为真,就表示具有select any table权限的用户可以
系统安全及权限限制
chenzhivhao的博客
06-26 174
required 一票否决,表示只有认证成功才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等到所有的认证步骤全部走完,才会给用户回馈。wheel组:用于控制用户的访问权限,加入wheel组之后,可以和root管理员一样使用权限,执行root管理员一样使用一些敏感命令。PAM 身份认证的框架,提供一种标准的身份认证接口,管理员可以定制化配置各种认证方式,是可插拔式的,即配即用,即删即失效。代码含义就是普通用户之间切换SU,将会收到限制,除非加入wheel组,否则,将不能进行用户切换。
Linux 下mergecap指令无法使用
LoveStarbucks的博客
01-09 1036
Linux 下mergecap指令无法使用 (1)使用wincap将linux捕获的包发送到windows下 (2)进入wireshark的安装目录,并将捕获的包放入该目录下 我们可以发现windows下完美解决 ws下完美解决 ...
百度网盘下载显示系统限制,无法下载解决
热门推荐
viviwa的博客
12-31 6万+
1.打开百度网盘客户端,点击客户端右上角的设置按钮,弹出设置菜单选择 传输设置 –> 下载位置 — > 浏览,然后选择 文稿或者桌面文件夹保存,然后再重新下载就可以了。百度网盘下载显示系统限制,无法下载,是文件写入权限问题,小白新手根据教程设置即可,老手可忽略。
超级管理员权限管理器forwindows71.0文绿色免费版
07-25
这意味着用户在尝试修改系统设置、安装某些软件或者访问特定系统文件时,会受到权限限制,系统会提示需要管理员权限才能继续。此时,如果没有超级管理员权限,这些操作将无法进行,这就给用户的日常工作和娱乐带来...
Windows UAC权限详解以及因为权限不对等引发软件工具无法正常使用的实例分析
最新发布
dvlinker的技术专栏
10-04 8569
Windows UAC权限详解以及因为权限不对等引发软件工具无法正常使用的实例分析。
WINDOWS 软件权限管理软件,软件设置密码 RunAS Tool 工具 软件保密
03-16
Windows操作系统权限管理是确保系统安全和数据保护的重要环节。"RunAS Tool"是一款专为Windows设计的软件权限管理工具,它允许用户对特定的软件进行密码保护,以限制非授权用户的使用。这样的工具在企业环境...
百度网盘安装位置系统权限限制解除
m0_62342492的博客
05-27 3719
右键单击百度网盘安装程序,选择“以管理员身份送行“
wireshark抓包合成
流别的博客
10-13 2909
1.cmd进入wireshark的安装目录 cd C:\Program Files\Wireshark 2.查看抓包文件 3.进行抓包文件合并 mergecap.exe -w C:\Users\Administrator\Desktop\test\hebing.pcap C:\Users\Administrator\Desktop\test\*.pcap 命令注释:mergecap.exe -w 合并后文件的路径及文件名 准备合并的文件路径及文件名,*号是匹配全...
关于windows安全权限
顺其自然~专栏
07-28 2035
随着网络的越来越普及,安全问题变的越来越重要。最近在项目遇到关于NTFS下安全权限的设置问题,希望通过编程的方式来获取,编辑,设置Windows下文件夹或文件的安全权限。以前关于Windows安全性的编程几乎从没接触过,所以只好到网上搜集相关的文章学习一番,下面是我的学习过程。 关于Windows的安全有一本很好的书,一美国人叫布朗的《Windows安全性编程》,可我是个懒人,又是穷人,所以放弃买书的想法,压根没想过,哈:) Windows安全权限的设置是随着NTFS文件系统和Windows 2000系统
Wireshark 文件分割和合并
Epsilon
03-01 3万+
通常使用 Wireshark 处理一个较大的捕获文件时,可能处理速度会很慢,或者甚至没响应。当捕获文件超过 100MB 时,使用显示过滤器、添加列或构建图表都可能很慢。为了快速地分析数据,这时候可以将该文件分割为文件集。下面我们介绍如何进行大文件分割。 一、使用 Capinfos 获取文件大小和包数 Capinfos 是一个命令行工具,它可以查看关于捕获文件的基本信息。 Capinfos 包括
文件常规属性 VS 安全属性
zhangchuan7758的博客
12-14 2090
Windows文件属性包括常规属性和安全属性
为文件添加everyone权限
yu_sn0w的博客
04-05 2051
SECURITY_DESCRIPTOR sd = {0}; if (InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION)) { if (SetSecurityDescriptorDacl(&sd, TRUE, NULL, FALSE)) { SetFileSecurityW(File, DACL_SECURITY_
以程序的方式操纵NTFS的文件权限(一)
Lee的专栏
09-08 1005
、             理论和术语 在Windows NT/2K?XP下的对象,不一定是文件系统,还有其它的一些对象,如:进程、命名管道、打印机、网络共享、或是注册表等等,都可以设置用户访问权限。在Windows系统,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD,其在Windows SDK的结构名是“SECURITY_DE
Windows服务器磁盘权限安全配置指南
"这篇文档详细介绍了Windows服务器关于磁盘访问权限的设置,特别是针对ASP.NET、PHP、MySQL以及WinWebMail等应用的权限配置,旨在确保服务器安全。" 在Windows服务器安全,磁盘访问权限设置是至关重要的,因为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值