Що таке Windows ACL?

Що таке Windows ACL і чому вони важливі?

На цій вікі- сторінці я знайшов наступне .

Список контролю доступу (ACL) стосовно файлової системи комп'ютера - це список дозволів, приєднаних до об'єкта. ACL вказує, яким користувачам або системним процесам надається доступ до об'єктів, а також які операції дозволено над даними об'єктами. Кожен запис у типовому ACL вказує тему та операцію. Наприклад, якщо у файлі є ACL, який містить (Alice, delete), це дасть Алісі дозвіл на видалення файлу.

Щоб відповісти на ваше запитання про "чому вони важливі?" якщо ви ще не розумієте, якщо у вас їх немає, дозволів не існувало б. Ось як Windows розуміє, хто має певні привілеї.

Ви можете подивитися на це так.

Кожен об’єкт NTFS має серіалізований номер (включаючи облікові записи користувачів, групи користувачів, процеси, пристрої тощо). Список контролю доступу відстежує, який серіалізований номер може отримати доступ до іншого серіалізованого номера та які дозволи встановлюються. Подумайте лише про те, що все має серіалізований номер із доданими до них дозволами.

Якщо ви видалите користувача на ім’я FRED, його серіалізований номер буде видалено, а його видалено з ACL. Фактично, серійний номер FRED більше не асоціюється з іншими пристроями, і дозволи, які він мав на цих пристроях, також видаляються.

Якщо ви знову створите ім’я користувача FRED, йому буде призначений новий серіалізований номер. ACL визнає це новим номером. Таким чином, він не відновить жодних дозволів, які мав видалений обліковий запис FRED.

Сподіваємось, це допомагає зрозуміти, що таке ACL, як він працює і чому це важливо.

У списку контролю доступу (ACL) є нуль або більше записів контролю доступу (ACE). Багато різних об’єктів у Windows можуть мати ACL, такі як файли, пристрої, принтери, записи реєстру та інші речі. (Перевірте WinObj SysInternal, якщо ви хочете отримати огляд усіх різних типів об’єктів у "просторі імен" для Windows - багато з них є внутрішніми для Windows і безпосередньо не піддаються користувачеві)

ACE складається з

• Принципал . Зазвичай це або користувач, або група. Це може бути користувач, група чи комп'ютер у базі даних Active Directory на контролері домену або локальний користувач. Є "віртуальні" групи, такі як "Усі" та "Автентифіковані користувачі".

і

• Один або декілька можливостей, для кожної можливості можна встановити "Дозволити" або "Заборонити". Деякі приклади функціональних можливостей - "Прочитати", "Записати", "Зміст списку" тощо. Заперечувати перевагу над дозволити. Більшість об'єктів, таких як файли тощо, не дозволять отримати доступ або зміни, якщо немає спеціального ACL "Дозволити"; таким чином, Deny слід застосовувати лише в особливих обставинах.

ACL можуть бути успадковані, тобто файли в каталогах нижчого рівня можуть успадковувати ACL з каталогів верхнього рівня.

Вони важливі, оскільки саме так Windows надає та застосовує привілеї для процесів. Кожен процес працює як користувач, і якщо цей користувач "потрапляє" під один або декілька АПФ, то Windows вирішує всі вони, щоб з’ясувати, чи дозволена конкретна дія чи ні.