自学内容网 自学内容网

9月16日笔记

访问控制列表

访问控制列表(ACL)是访问控制项(Access Control Entry , ACE)的列表。安全对象的安全描述可以通过两种访问控制列表DACL和SACL进行。

DACL

DACL 是由一条条的访问控制项(ACE)条目构成的,每条ACE定义了哪些用户或组对该对象拥有怎样的访问权限。DACL 中的每个 ACE 可以看作配置的一条访问策略,每个 ACE 指定了一组访问权限,并包含一个 SID。该 SID 标识了允许或拒绝访问该安全对象的安全主体。

为了描述简洁,可以把一条 ACE 归纳为如下4方面:①谁对这个安全对象拥有权限;② 拥有什么权限;③ 这个权限是允许还是拒绝;④ 这个权限能不能被继承。

当安全主体访问该安全对象时,Windows会检查安全主体的 SID和安全对象 DACL中的 ACE 配置策略,根据找到的 ACE 配置策略对安全主体的访问行为允许或拒绝。如果该安全对象没有设置 DACL,那么系统默认允许所有访问操作;如果安全对象配置了DACI 但是没有配置 ACE 条目,那么系统将拒绝所有访问操作;如果系统配置了 DACL和 ACE,那么系统将按顺序读取 ACE,直到找到一个或多个允许或拒绝安全对象访问行

为的 ACE。

举例说明:讲解ACL判断用户的访问权限的过程。

安全主体 PrincipalA: SID=110, GroupSID=120, GroupSID=130

安全主体 PrincipalB: SID=210,GroupSID=220,GroupSID=230

安全主体 PrincipalC:SID=310,GroupSID=320,GroupSID=330.

安全对象 ObjectD:ACE1,拒绝 SID=210 的对象访问; ACE2,允许 SID=110 和 SID=220 的对象访问。

这三个主体都想访问ObjectD,但并不是都可以访问。

  1. 当 PrincipalA 访问安全对象D时:检查A的用户/用户组的 SID与ObjectD 的 ACE配置策略,首先判断 ACE1,此时没匹配上;然后判断 ACE2,此时可以匹配上,则允许PrincipalA 对 ObjectD 进行访问。
  2. 当 PrincipalB 访问 ObjectD 时:检查 PrincipalB 的用户/用户组的 SID 与 ObjectD的 ACE 配置策略,首先判断 ACE1,此时可以匹配上,则直接拒绝 PrincipalB 的访问。
  3. 当 PrincipalC 访间 ObiectD 时:检査 PrincipalC 的用户/用户组的 SID 与 ObiectD的 ACE 配置策略,若两条 ACE 都没有匹配上,则直接拒绝 PrincipalB 的访问。
SACL

SACL(System Access ControlList,系统访问控制列表)是安全主体对安全对象的访问行为的审计策略。SACI 也由一条一条的 ACE 条目构成,每条 ACE 定义了对哪些安全主体的哪些访问行为进行日志记录,如对指定用户的访问成功、失败行为进行审计记录日志。安全主体的访问行为满足这条 ACE 时就会被记录。

查看与修改访问控制列表(icacls)

icacls 是一种命令行工具,使用 icacls 命令可以查看或修改指定文件上的访问控制列表(ACL),并将存储的 DACL 应用于指定目录中的文件。

icacls "文件名或目录名" [/grant 用户名:权限] [/deny 用户名:权限] [/remove 用户名] [/save 文件名] [/restore 文件名] [/setowner 用户名] [/T] [/C] [/L] [/Q]
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">文件名或目录名</font>:指定要修改权限的文件或目录的路径。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/grant 用户名:权限</font>:为用户或组授予指定的权限。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/deny 用户名:权限</font>:拒绝用户或组访问指定的权限。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/remove 用户名</font>:从ACL中删除用户或组的所有条目。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/save 文件名</font>:将ACL保存到指定的文件中,供将来恢复使用。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/restore 文件名</font>:从保存的文件中恢复ACL。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/setowner 用户名</font>:更改文件或目录的所有者。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/T</font>:递归地处理所有指定目录及其子目录中的文件。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/C</font>:在出现错误时继续执行操作。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/L</font>:对符号链接本身进行操作,而不是对链接指向的目标进行操作。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/Q</font>:以安静模式运行,不显示成功消息。

可授予的权限

  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">F</font>:完全控制
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">M</font>:修改
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">RX</font>:读取和执行
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">R</font>:只读
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">W</font>:只写
icacls C:\Users\Administrator\Desktop\test

查看指定文件的ACL。

① 在“()”中以“,”分隔的特定权限列表:DE,删除;RC,读取控制;WDAC,写入DAC;WO,写入所有者;S,同步;AS,访问系统安全性;MA,允许的最大值;GR,一般性读取;GW,一般性写入;GE,一般性执行;GA,全为一般性;RD,读取数据/列出目录;WD,写入数据/添加文件;AD,附加数据/添加子目录;REA,读取扩展属性;WEA,写入扩展属性;X,执行/遍历;DC,删除子项;RA,读取属性;WA,写入属性。

② 继承权限可以优先于每种格式,但只应用于目录:OI,对象继承;CI,容器继承,IO,仅继承;NP,不传播继承;I,从父容器继承的权限

icacls "C:\phpStudy\*" /save C:\phpStudy\aclfile.txt

将指定目录及子目录下所有文件的 ACL 备份到 aclfile.txt。

icacls "C:\phpStudy" /restore aclfile.txt

将 aclfile…txt内所有备份的文件 ACL 还原到指定目录及其子目录.

给用户Hacker添加指定文件或目录(及其子目录)的完全访问权限。

icacls C:\Users\Administrator\Desktop\test /grant Hacker:(OI)(CI)(F)/t

其中,“OI”代表对象继承,“CI”代表容器继承,“F”代表完全访问执行以下命令,删除用户Hacker对指定文件或目录(及其子目录)的完全访问权限。

icacls C:\Users\Administrator\Desktop\test /remove Hacker /t

组策略

组策略对象

组策略对象(Group Policy Object,GPO)即组策略设置的集合,其中包含应用于特定用户或计算机的策略信息和具体配置。在设置组策略时,只需将组策略对象链接到指定的站点、域和组织单位,其中的策略值便会应用到该站点、域和组织单位的所有用户和计算机。

组策略对象由组策略容器(Group Policy Container,GPC)和组策略模板(Group Policy Container,GPT)两个组件组成,在Windows中分别存储在域控制器的不同位置上。其中,组策略容器存储在活动目录的域分区组策略模板被存放在域控制器的如下文件夹中:%SYSTEMROOT%\SYSVOL\sysvol\域名\Policies。

可以使用组策略管理来查看和编辑每个GPO的设置,如下所示,可以看到两个默认组策略对象Default Domain Policy和Default Domain Controller Policy,它们在域控制器被建立时自动创建。

Default Domain Policy默认组策略对象

Default Domain Policy应用到其所在域的所有用户和计算机。例如在图1-7-2中,右侧的作用域中的这条组策略链接到了整个god.org域。

右击这条组策略,在弹出的快捷菜单中选择“保存报告”命令,就可以保存整个组策略的内容,保存类型可以为HTML。

Default Domain Controllers Policy默认组策略对象

Default Domain Controllers Policy应用到Domain Controllers中所有的用户和计算机。

1.组策略容器

组策略容器(GPC)中记录着该组策略对象的策略名称、标识组策略的GUD、组策略链接到的作用域、组策略模板的路径、组策略的版本信息等各种元数据。组策略容器存储在活动目录的域分区,例如:

CN=Policies,CN=System,DC=god,DC=org

图中可以看到两个GUID标识的两个默认组策略对象。选中一个右侧可以看到该对象的所有属性。

其中,displayName属性为组策略的名称,该组策略名为Default Domain Policy。gPCFileSysPath属性为组策略模板存放的路径。

\\god.org\sysvol\god.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

当域中某对象应用某组策略时,该对象的gPLink属性值将指向这条组策略的完整DN。如下图所示,域分区“DC=god,DC=org”应用了Default Domain Policy组策略

所以该组织单位的gPLink属性值指向了Default Domain Policy组策略的完整DN。

组策略模版

组策略模板(GPT)存储该组策略实际的配置数据,被存放在域控制器的共享目录%SYSTEMROOT%SYSVOL sysvol八域名Policies下以GUID命名的文件夹中。

以GUID标识的各组策略配置目录中包含以下内容。

MACHINE:该文件夹包含一些针对该组策略的整个作用域中计算机的具体配置。

USER:该文件夹包含一些针对该组策略的整个作用域中用户的具体配置。

GPT.INI:该文件包含一些关于该组策略的策略名称、版本信息等配置信息。

组策略的创建

下面创建一个新的组策略,并将其应用于预先创建的一个组织单位“科研中心”。首先在域控制器上打开组策略管理,右击“组策略对象”,在弹出的快捷莱单中选择“新建”命令。

新建之后组策略并不会链接到任何作用域,可以手动将其链接到域中指定的站点、域和组织单位。选中预先创建的一个组织单位并单击右键,在弹出的快捷菜单中选择“链接现有GP0”命令,在出现的对话框中选中新建的组策略,单击“确定”按钮即可。

组策略配置完成后,这些配置的值不会立刻被应用到作用域中的用户或计算机,可以通过执行“gpupdate/force”命令来将组策略生效。组策略生效后,用户再次修改密码,若密码长度低于7,则会提示“密码不满足密码策略的要求。

windows7加入域中

为了能让加入域中的Windows7用户正常登录需要为它们创建域用户,需要在Windows Server中打开“Active Directory 用户和计算机"。选中"User"目录并单击右键,利用弹出的快捷菜单命令新建一个新用户。并设置密码永不过期。


原文地址:https://blog.csdn.net/m0_74736832/article/details/142442914

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!