보안 기술자

Security descriptor

보안 기술자는 보안 가능Windows 개체에 대한 보안 정보의 데이터 구조이며, 고유한 이름으로 식별할 수 있는 개체입니다.보안 기술자는 파일, 폴더, 공유, 레지스트리 키, 프로세스, 스레드, 명명된 파이프, 서비스, 작업 개체 및 기타 [1]리소스를 포함하여 명명된 개체와 연결할 수 있습니다.

보안 디스크립터에는 사용자나 그룹 등의 수탁자에 대한 접근을 허용 또는 거부하는 Access Control Entry(ACE; 접근컨트롤 엔트리)를 포함하는 Defactional Access Control List(DACL; 임의 접근컨트롤 리스트)가 포함되어 있습니다.또한 오브젝트 [2][3]액세스 감사를 제어하는SACL(System Access Control List)도 포함되어 있습니다.ACE는 오브젝트에 명시적으로 적용하거나 부모 오브젝트에서 상속할 수 있습니다.ACL 내의 ACE 순서는 중요합니다.액세스 거부 ACE는 액세스를 허가하는 ACE보다 높은 순서로 표시됩니다.보안 기술자에는 개체 소유자도 포함됩니다.

필수 무결성 제어는 보안 [4]기술자의 새로운 유형의 ACE를 통해 구현됩니다.

파일 및 폴더 권한은 윈도우즈 탐색기, WMI, Cacls, XCACls, ICACls, SubInACL,[5] 프리웨어 Win32 콘솔 FILEACL,[6][7] 무료 소프트웨어 유틸리티 SetACL 및 기타 유틸리티를 포함한 다양한 도구를 통해 편집할 수 있습니다.보안 설명자를 편집하려면 사용자가 [8]개체에 대한 WRITE_DAC 권한이 필요합니다. 이 권한은 기본적으로 관리자 및 개체의 소유자에게 위임됩니다.

NTFS에서의 권한

다음 표에서는 NTFS 권한 및 해당 역할을 개별 행으로 요약합니다.이 표에는 다음 [9][10][11]정보가 표시됩니다.

  • 권한 코드:각 Access Control Entry(ACE; 접근컨트롤 엔트리)는 바이너리코드로 권한을 지정합니다.14개의 코드가 있습니다(구식 시스템에서는 12개).
  • 의미:각 권한 코드는 파일에 적용되는지 폴더에 적용되는지에 따라 의미가 있습니다.예를 들어 코드 0x01 on file은 파일을 읽을 수 있는 권한을 나타내며 폴더는 폴더의 내용을 나열할 수 있는 권한을 나타냅니다.그러나 그 의미를 아는 것만으로는 소용이 없다.또한 ACE는 권한을 적용할 대상과 해당 권한이 부여되는지 여부를 지정해야 합니다.
  • 포함: ACE는 개별 권한 외에 "일반 액세스 권한"으로 알려진 특별한 권한을 지정할 수 있습니다.이러한 특수 권한은 여러 개별 권한과 동일합니다.예를 들어 GENERIC_READ(또는 GR)는 "Read data", "Read attributes", "Read extended attributes", "Read permissions" 및 "Synchronize"에 해당합니다.이들 5개를 동시에 요구하는 것이 타당하기 때문에 "GENERIC_READ"를 요청하는 것이 더 편리합니다.
  • 별칭: 두 개의 Windows 명령줄 유틸리티(icaclscacls)에는 이러한 권한에 대한 고유한 별칭이 있습니다.
허가
코드
의미. 에 포함되어 있다 에일리어스
파일의 경우 폴더용 R[a] E[b]. W[c] A[d]. M[e] icls에서 카셀로
0x01 데이터 읽기 폴더 내용 나열 네. 네. 네. 네. RD 파일_읽기_데이터.
0x80 속성 읽기 네. 네. 네. 네. RA 파일_읽기_특성
0x08 확장 특성 읽기 네. 네. 네. 네. 레아 파일_읽기_EA
0x20 파일 실행 트래버스 폴더 네. 네. 네. X 파일_EXECUTE
0x20000 읽기 권한 네. 네. 네. 네. 네. RC 판독_제어
0x100000 동기화 네. 네. 네. 네. 네. S 동기
0x02 데이터 쓰기 파일 생성 네. 네. 네. WD 파일_쓰기_데이터
0x04 데이터 추가 폴더 생성 네. 네. 네. AD 파일_APPEND_D
0x100 속성 쓰기 네. 네. 네. 파일_WRITE_Attributes
0x10 확장 특성 쓰기 네. 네. 네. WEA 파일_쓰기_EA
0x10000 삭제(또는[12] 이름 변경) 네. 네. DE 삭제
0x40000 권한 변경 네. WDAC 기입_DAC
0x80000 소유권을 얻다 네. WO 기입_OWNOWNER
0x40 하위 폴더 및 파일 삭제 네. 직류 파일_삭제_차일드

이러한 권한의 대부분은 다음과 같은 경우를 제외하고는 설명이 필요 없습니다.

  1. 파일 이름을 변경하려면 "삭제" [12]권한이 필요합니다.
  2. 파일 탐색기에는 "동기화"가 표시되지 않고 항상 설정합니다.파일 탐색기 및 Windows 명령 프롬프트와 같은 다중 스레드 응용 프로그램은 파일 및 [13]폴더를 사용할 수 있도록 "동기화" 권한이 필요합니다.

각주

  1. ^ GENERIC_READ 파일 탐색기에서는 "읽기"로 알려져 있습니다.
  2. ^ GENERIC_EXECUTE 파일 탐색기에서는 "읽기 & Execute"로 알려져 있습니다.
  3. ^ GENERIC_WRITE 파일 탐색기에서는 "Write"로 알려져 있습니다.
  4. ^ GENERIC_ALL 파일 탐색기에서는 "Full Control"로 알려져 있습니다.
  5. ^ 파일 탐색기에서는 "수정"으로 표시됨

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Securable Objects". Microsoft. 2008-04-24. Retrieved 2008-07-16.
  2. ^ "What Are Security Descriptors and Access Control Lists?". Microsoft. Archived from the original on 2008-05-05. Retrieved 2008-07-16.
  3. ^ "DACLs and ACEs". Microsoft. 2008-04-24. Retrieved 2008-07-16.
  4. ^ https://msdn.microsoft.com/en-us/library/bb625957.aspx Windows Integrity Mechanism이란 무엇입니까?
  5. ^ SubInACL 홈페이지
  6. ^ FILEACL 홈페이지 Wayback Machine에서 2012-08-29 아카이브 완료
  7. ^ "FILEACL v3.0.1.6". Microsoft. 2004-03-23. Archived from the original on April 16, 2008. Retrieved 2008-07-25.
  8. ^ "ACCESS_MASK Data Type". Microsoft. 2008-04-24. Retrieved 2008-07-23.
  9. ^ "How Permissions Work". Microsoft. 2013-06-21. Retrieved 2017-11-24.
  10. ^ Richard Civil. "How IT works NTFS Permissions, Part 2". Microsoft. Retrieved 2017-11-24.
  11. ^ Richard Civil. "How IT works NTFS Permissions". Microsoft. Retrieved 2017-11-24.
  12. ^ a b Chen, Raymond (22 October 2021). "Renaming a file is a multi-step process, only one of which is changing the name of the file". The Old New Thing. Microsoft. Opening with DELETE permission grants permission to rename the file. The required permission is DELETE because the old name is being deleted.
  13. ^ Chen, Raymond (18 November 2019). "I set the same ACL with the GUI and with icacls, yet the results are different". The Old New Thing. Microsoft.

외부 링크