Что такое списки управления доступом Windows?

Что такое списки ACL для Windows и почему они важны?

Я нашел следующее на этой вики- странице.

Список управления доступом (ACL) в отношении компьютерной файловой системы - это список разрешений, прикрепленных к объекту. ACL определяет, каким пользователям или системным процессам предоставляется доступ к объектам, а также какие операции разрешены для данных объектов. Каждая запись в типичном ACL-списке указывает тему и операцию. Например, если файл имеет ACL, который содержит (Алиса, удалить), это даст Алисе разрешение на удаление файла.

Чтобы ответить на ваш вопрос о "почему они важны?" если вы еще не понимаете, если у вас их нет, разрешения не будет. Вот как Windows понимает, кто имеет определенные привилегии.

Вы можете посмотреть на это так.

Каждый объект в NTFS имеет серийный номер (включая учетные записи пользователей, группы пользователей, процессы, устройства и т. Д.). Список контроля доступа отслеживает, какой сериализованный номер может получить доступ к другому сериализованному номеру, и какие разрешения установлены. Просто подумайте обо всем, имеющем серийный номер, с прикрепленными к ним разрешениями.

Если вы удаляете пользователя с именем FRED, его серийный номер удаляется, и он удаляется из ACL. По сути, серийный номер FRED больше не ассоциируется с другими устройствами, и разрешения, которые он имел для этих устройств, также удаляются.

Если вы заново создадите имя пользователя FRED, ему будет присвоен новый сериализованный номер. ACL распознает это как новый номер. Следовательно, он не будет восстанавливать какие-либо разрешения, которые имел удаленный аккаунт FRED.

Надеюсь, что это поможет понять, что такое ACL, как он работает и почему это важно.

Список контроля доступа (ACL) имеет ноль или более записей контроля доступа (ACE). Многие различные объекты в Windows могут иметь списки ACL, такие как файлы, устройства, принтеры, записи реестра и другие вещи. (Проверьте SysInternal's WinObj, если вы хотите получить обзор всех различных типов объектов в «пространстве имен» Windows - многие из них являются внутренними для Windows и не доступны непосредственно пользователю)

ACE состоит из

• Принципал . Обычно это либо пользователь, либо группа. Это может быть пользователь, группа или компьютер в базе данных Active Directory на контроллере домена или локальный пользователь. Существуют «виртуальные» группы, такие как «Все» и «Прошедшие проверку».

и

• Одна или несколько возможностей, каждая возможность может быть установлена ​​на Разрешить или Запретить. Некоторыми примерами возможностей являются «Чтение», «Запись», «Список содержимого» и т. Д. Запрет имеет приоритет над разрешением. Большинство объектов, таких как файлы и т. Д., Не разрешают доступ или изменения, если не доступен определенный «Разрешить» ACL; таким образом, Deny следует использовать только в особых обстоятельствах.

ACL могут быть унаследованы, то есть файлы в каталогах нижнего уровня могут наследовать ACL от каталогов верхнего уровня.

Они важны, потому что именно так Windows дает и применяет привилегии к процессам. Каждый процесс запускается как пользователь, и если этот пользователь «попадает под» один или несколько ACE, то Windows разрешает все из них, чтобы выяснить, разрешено или нет определенное действие.