9月16日笔记
访问控制列表
访问控制列表(ACL)是访问控制项(Access Control Entry , ACE)的列表。安全对象的安全描述可以通过两种访问控制列表DACL和SACL进行。
DACL
DACL 是由一条条的访问控制项(ACE)条目构成的,每条ACE定义了哪些用户或组对该对象拥有怎样的访问权限。DACL 中的每个 ACE 可以看作配置的一条访问策略,每个 ACE 指定了一组访问权限,并包含一个 SID。该 SID 标识了允许或拒绝访问该安全对象的安全主体。
为了描述简洁,可以把一条 ACE 归纳为如下4方面:①谁对这个安全对象拥有权限;② 拥有什么权限;③ 这个权限是允许还是拒绝;④ 这个权限能不能被继承。
当安全主体访问该安全对象时,Windows会检查安全主体的 SID和安全对象 DACL中的 ACE 配置策略,根据找到的 ACE 配置策略对安全主体的访问行为允许或拒绝。如果该安全对象没有设置 DACL,那么系统默认允许所有访问操作;如果安全对象配置了DACI 但是没有配置 ACE 条目,那么系统将拒绝所有访问操作;如果系统配置了 DACL和 ACE,那么系统将按顺序读取 ACE,直到找到一个或多个允许或拒绝安全对象访问行
为的 ACE。
举例说明:讲解ACL判断用户的访问权限的过程。
安全主体 PrincipalA: SID=110, GroupSID=120, GroupSID=130
安全主体 PrincipalB: SID=210,GroupSID=220,GroupSID=230
安全主体 PrincipalC:SID=310,GroupSID=320,GroupSID=330.
安全对象 ObjectD:ACE1,拒绝 SID=210 的对象访问; ACE2,允许 SID=110 和 SID=220 的对象访问。
这三个主体都想访问ObjectD,但并不是都可以访问。
- 当 PrincipalA 访问安全对象D时:检查A的用户/用户组的 SID与ObjectD 的 ACE配置策略,首先判断 ACE1,此时没匹配上;然后判断 ACE2,此时可以匹配上,则允许PrincipalA 对 ObjectD 进行访问。
- 当 PrincipalB 访问 ObjectD 时:检查 PrincipalB 的用户/用户组的 SID 与 ObjectD的 ACE 配置策略,首先判断 ACE1,此时可以匹配上,则直接拒绝 PrincipalB 的访问。
- 当 PrincipalC 访间 ObiectD 时:检査 PrincipalC 的用户/用户组的 SID 与 ObiectD的 ACE 配置策略,若两条 ACE 都没有匹配上,则直接拒绝 PrincipalB 的访问。
SACL
SACL(System Access ControlList,系统访问控制列表)是安全主体对安全对象的访问行为的审计策略。SACI 也由一条一条的 ACE 条目构成,每条 ACE 定义了对哪些安全主体的哪些访问行为进行日志记录,如对指定用户的访问成功、失败行为进行审计记录日志。安全主体的访问行为满足这条 ACE 时就会被记录。
查看与修改访问控制列表(icacls)
icacls 是一种命令行工具,使用 icacls 命令可以查看或修改指定文件上的访问控制列表(ACL),并将存储的 DACL 应用于指定目录中的文件。
icacls "文件名或目录名" [/grant 用户名:权限] [/deny 用户名:权限] [/remove 用户名] [/save 文件名] [/restore 文件名] [/setowner 用户名] [/T] [/C] [/L] [/Q]
<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">文件名或目录名</font>:指定要修改权限的文件或目录的路径。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/grant 用户名:权限</font>:为用户或组授予指定的权限。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/deny 用户名:权限</font>:拒绝用户或组访问指定的权限。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/remove 用户名</font>:从ACL中删除用户或组的所有条目。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/save 文件名</font>:将ACL保存到指定的文件中,供将来恢复使用。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/restore 文件名</font>:从保存的文件中恢复ACL。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/setowner 用户名</font>:更改文件或目录的所有者。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/T</font>:递归地处理所有指定目录及其子目录中的文件。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/C</font>:在出现错误时继续执行操作。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/L</font>:对符号链接本身进行操作,而不是对链接指向的目标进行操作。<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/Q</font>:以安静模式运行,不显示成功消息。
可授予的权限
<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">F</font>:完全控制<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">M</font>:修改<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">RX</font>:读取和执行<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">R</font>:只读<font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">W</font>:只写
icacls C:\Users\Administrator\Desktop\test
查看指定文件的ACL。
① 在“()”中以“,”分隔的特定权限列表:DE,删除;RC,读取控制;WDAC,写入DAC;WO,写入所有者;S,同步;AS,访问系统安全性;MA,允许的最大值;GR,一般性读取;GW,一般性写入;GE,一般性执行;GA,全为一般性;RD,读取数据/列出目录;WD,写入数据/添加文件;AD,附加数据/添加子目录;REA,读取扩展属性;WEA,写入扩展属性;X,执行/遍历;DC,删除子项;RA,读取属性;WA,写入属性。
② 继承权限可以优先于每种格式,但只应用于目录:OI,对象继承;CI,容器继承,IO,仅继承;NP,不传播继承;I,从父容器继承的权限
icacls "C:\phpStudy\*" /save C:\phpStudy\aclfile.txt
将指定目录及子目录下所有文件的 ACL 备份到 aclfile.txt。
icacls "C:\phpStudy" /restore aclfile.txt
将 aclfile…txt内所有备份的文件 ACL 还原到指定目录及其子目录.
给用户Hacker添加指定文件或目录(及其子目录)的完全访问权限。
icacls C:\Users\Administrator\Desktop\test /grant Hacker:(OI)(CI)(F)/t
其中,“OI”代表对象继承,“CI”代表容器继承,“F”代表完全访问执行以下命令,删除用户Hacker对指定文件或目录(及其子目录)的完全访问权限。
icacls C:\Users\Administrator\Desktop\test /remove Hacker /t
组策略
组策略对象
组策略对象(Group Policy Object,GPO)即组策略设置的集合,其中包含应用于特定用户或计算机的策略信息和具体配置。在设置组策略时,只需将组策略对象链接到指定的站点、域和组织单位,其中的策略值便会应用到该站点、域和组织单位的所有用户和计算机。
组策略对象由组策略容器(Group Policy Container,GPC)和组策略模板(Group Policy Container,GPT)两个组件组成,在Windows中分别存储在域控制器的不同位置上。其中,组策略容器存储在活动目录的域分区,组策略模板被存放在域控制器的如下文件夹中:%SYSTEMROOT%\SYSVOL\sysvol\域名\Policies。
可以使用组策略管理来查看和编辑每个GPO的设置,如下所示,可以看到两个默认组策略对象Default Domain Policy和Default Domain Controller Policy,它们在域控制器被建立时自动创建。
Default Domain Policy默认组策略对象
Default Domain Policy应用到其所在域的所有用户和计算机。例如在图1-7-2中,右侧的作用域中的这条组策略链接到了整个god.org域。
右击这条组策略,在弹出的快捷菜单中选择“保存报告”命令,就可以保存整个组策略的内容,保存类型可以为HTML。
Default Domain Controllers Policy默认组策略对象
Default Domain Controllers Policy应用到Domain Controllers中所有的用户和计算机。
1.组策略容器
组策略容器(GPC)中记录着该组策略对象的策略名称、标识组策略的GUD、组策略链接到的作用域、组策略模板的路径、组策略的版本信息等各种元数据。组策略容器存储在活动目录的域分区,例如:
CN=Policies,CN=System,DC=god,DC=org
图中可以看到两个GUID标识的两个默认组策略对象。选中一个右侧可以看到该对象的所有属性。
其中,displayName属性为组策略的名称,该组策略名为Default Domain Policy。gPCFileSysPath属性为组策略模板存放的路径。
\\god.org\sysvol\god.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
当域中某对象应用某组策略时,该对象的gPLink属性值将指向这条组策略的完整DN。如下图所示,域分区“DC=god,DC=org”应用了Default Domain Policy组策略
所以该组织单位的gPLink属性值指向了Default Domain Policy组策略的完整DN。
组策略模版
组策略模板(GPT)存储该组策略实际的配置数据,被存放在域控制器的共享目录%SYSTEMROOT%SYSVOL sysvol八域名Policies下以GUID命名的文件夹中。
以GUID标识的各组策略配置目录中包含以下内容。
MACHINE:该文件夹包含一些针对该组策略的整个作用域中计算机的具体配置。
USER:该文件夹包含一些针对该组策略的整个作用域中用户的具体配置。
GPT.INI:该文件包含一些关于该组策略的策略名称、版本信息等配置信息。
组策略的创建
下面创建一个新的组策略,并将其应用于预先创建的一个组织单位“科研中心”。首先在域控制器上打开组策略管理,右击“组策略对象”,在弹出的快捷莱单中选择“新建”命令。
新建之后组策略并不会链接到任何作用域,可以手动将其链接到域中指定的站点、域和组织单位。选中预先创建的一个组织单位并单击右键,在弹出的快捷菜单中选择“链接现有GP0”命令,在出现的对话框中选中新建的组策略,单击“确定”按钮即可。
组策略配置完成后,这些配置的值不会立刻被应用到作用域中的用户或计算机,可以通过执行“gpupdate/force”命令来将组策略生效。组策略生效后,用户再次修改密码,若密码长度低于7,则会提示“密码不满足密码策略的要求。
windows7加入域中
为了能让加入域中的Windows7用户正常登录需要为它们创建域用户,需要在Windows Server中打开“Active Directory 用户和计算机"。选中"User"目录并单击右键,利用弹出的快捷菜单命令新建一个新用户。并设置密码永不过期。
原文地址:https://blog.csdn.net/m0_74736832/article/details/142442914
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!