9月16日笔记

news2024/12/27 3:56:46

访问控制列表

访问控制列表(ACL)是访问控制项(Access Control Entry , ACE)的列表。安全对象的安全描述可以通过两种访问控制列表DACL和SACL进行。

DACL

DACL 是由一条条的访问控制项(ACE)条目构成的,每条ACE定义了哪些用户或组对该对象拥有怎样的访问权限。DACL 中的每个 ACE 可以看作配置的一条访问策略,每个 ACE 指定了一组访问权限,并包含一个 SID。该 SID 标识了允许或拒绝访问该安全对象的安全主体。

为了描述简洁,可以把一条 ACE 归纳为如下4方面:①谁对这个安全对象拥有权限;② 拥有什么权限;③ 这个权限是允许还是拒绝;④ 这个权限能不能被继承。

当安全主体访问该安全对象时,Windows会检查安全主体的 SID和安全对象 DACL中的 ACE 配置策略,根据找到的 ACE 配置策略对安全主体的访问行为允许或拒绝。如果该安全对象没有设置 DACL,那么系统默认允许所有访问操作;如果安全对象配置了DACI 但是没有配置 ACE 条目,那么系统将拒绝所有访问操作;如果系统配置了 DACL和 ACE,那么系统将按顺序读取 ACE,直到找到一个或多个允许或拒绝安全对象访问行

为的 ACE。

举例说明:讲解ACL判断用户的访问权限的过程。

安全主体 PrincipalA: SID=110, GroupSID=120, GroupSID=130

安全主体 PrincipalB: SID=210,GroupSID=220,GroupSID=230

安全主体 PrincipalC:SID=310,GroupSID=320,GroupSID=330.

安全对象 ObjectD:ACE1,拒绝 SID=210 的对象访问; ACE2,允许 SID=110 和 SID=220 的对象访问。

这三个主体都想访问ObjectD,但并不是都可以访问。

  1. 当 PrincipalA 访问安全对象D时:检查A的用户/用户组的 SID与ObjectD 的 ACE配置策略,首先判断 ACE1,此时没匹配上;然后判断 ACE2,此时可以匹配上,则允许PrincipalA 对 ObjectD 进行访问。
  2. 当 PrincipalB 访问 ObjectD 时:检查 PrincipalB 的用户/用户组的 SID 与 ObjectD的 ACE 配置策略,首先判断 ACE1,此时可以匹配上,则直接拒绝 PrincipalB 的访问。
  3. 当 PrincipalC 访间 ObiectD 时:检査 PrincipalC 的用户/用户组的 SID 与 ObiectD的 ACE 配置策略,若两条 ACE 都没有匹配上,则直接拒绝 PrincipalB 的访问。
SACL

SACL(System Access ControlList,系统访问控制列表)是安全主体对安全对象的访问行为的审计策略。SACI 也由一条一条的 ACE 条目构成,每条 ACE 定义了对哪些安全主体的哪些访问行为进行日志记录,如对指定用户的访问成功、失败行为进行审计记录日志。安全主体的访问行为满足这条 ACE 时就会被记录。

查看与修改访问控制列表(icacls)

icacls 是一种命令行工具,使用 icacls 命令可以查看或修改指定文件上的访问控制列表(ACL),并将存储的 DACL 应用于指定目录中的文件。

icacls "文件名或目录名" [/grant 用户名:权限] [/deny 用户名:权限] [/remove 用户名] [/save 文件名] [/restore 文件名] [/setowner 用户名] [/T] [/C] [/L] [/Q]
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">文件名或目录名</font>:指定要修改权限的文件或目录的路径。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/grant 用户名:权限</font>:为用户或组授予指定的权限。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/deny 用户名:权限</font>:拒绝用户或组访问指定的权限。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/remove 用户名</font>:从ACL中删除用户或组的所有条目。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/save 文件名</font>:将ACL保存到指定的文件中,供将来恢复使用。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/restore 文件名</font>:从保存的文件中恢复ACL。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/setowner 用户名</font>:更改文件或目录的所有者。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/T</font>:递归地处理所有指定目录及其子目录中的文件。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/C</font>:在出现错误时继续执行操作。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/L</font>:对符号链接本身进行操作,而不是对链接指向的目标进行操作。
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">/Q</font>:以安静模式运行,不显示成功消息。

可授予的权限

  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">F</font>:完全控制
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">M</font>:修改
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">RX</font>:读取和执行
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">R</font>:只读
  • <font style="color:rgb(192, 52, 29);background-color:rgb(251, 229, 225);">W</font>:只写
icacls C:\Users\Administrator\Desktop\test

查看指定文件的ACL。

① 在“()”中以“,”分隔的特定权限列表:DE,删除;RC,读取控制;WDAC,写入DAC;WO,写入所有者;S,同步;AS,访问系统安全性;MA,允许的最大值;GR,一般性读取;GW,一般性写入;GE,一般性执行;GA,全为一般性;RD,读取数据/列出目录;WD,写入数据/添加文件;AD,附加数据/添加子目录;REA,读取扩展属性;WEA,写入扩展属性;X,执行/遍历;DC,删除子项;RA,读取属性;WA,写入属性。

② 继承权限可以优先于每种格式,但只应用于目录:OI,对象继承;CI,容器继承,IO,仅继承;NP,不传播继承;I,从父容器继承的权限

icacls "C:\phpStudy\*" /save C:\phpStudy\aclfile.txt

将指定目录及子目录下所有文件的 ACL 备份到 aclfile.txt。

icacls "C:\phpStudy" /restore aclfile.txt

将 aclfile…txt内所有备份的文件 ACL 还原到指定目录及其子目录.

给用户Hacker添加指定文件或目录(及其子目录)的完全访问权限。

icacls C:\Users\Administrator\Desktop\test /grant Hacker:(OI)(CI)(F)/t

其中,“OI”代表对象继承,“CI”代表容器继承,“F”代表完全访问执行以下命令,删除用户Hacker对指定文件或目录(及其子目录)的完全访问权限。

icacls C:\Users\Administrator\Desktop\test /remove Hacker /t

组策略

组策略对象

组策略对象(Group Policy Object,GPO)即组策略设置的集合,其中包含应用于特定用户或计算机的策略信息和具体配置。在设置组策略时,只需将组策略对象链接到指定的站点、域和组织单位,其中的策略值便会应用到该站点、域和组织单位的所有用户和计算机。

组策略对象由组策略容器(Group Policy Container,GPC)和组策略模板(Group Policy Container,GPT)两个组件组成,在Windows中分别存储在域控制器的不同位置上。其中,组策略容器存储在活动目录的域分区组策略模板被存放在域控制器的如下文件夹中:%SYSTEMROOT%\SYSVOL\sysvol\域名\Policies。

可以使用组策略管理来查看和编辑每个GPO的设置,如下所示,可以看到两个默认组策略对象Default Domain Policy和Default Domain Controller Policy,它们在域控制器被建立时自动创建。

Default Domain Policy默认组策略对象

Default Domain Policy应用到其所在域的所有用户和计算机。例如在图1-7-2中,右侧的作用域中的这条组策略链接到了整个god.org域。

右击这条组策略,在弹出的快捷菜单中选择“保存报告”命令,就可以保存整个组策略的内容,保存类型可以为HTML。

Default Domain Controllers Policy默认组策略对象

Default Domain Controllers Policy应用到Domain Controllers中所有的用户和计算机。

1.组策略容器

组策略容器(GPC)中记录着该组策略对象的策略名称、标识组策略的GUD、组策略链接到的作用域、组策略模板的路径、组策略的版本信息等各种元数据。组策略容器存储在活动目录的域分区,例如:

CN=Policies,CN=System,DC=god,DC=org

图中可以看到两个GUID标识的两个默认组策略对象。选中一个右侧可以看到该对象的所有属性。

其中,displayName属性为组策略的名称,该组策略名为Default Domain Policy。gPCFileSysPath属性为组策略模板存放的路径。

\\god.org\sysvol\god.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

当域中某对象应用某组策略时,该对象的gPLink属性值将指向这条组策略的完整DN。如下图所示,域分区“DC=god,DC=org”应用了Default Domain Policy组策略

所以该组织单位的gPLink属性值指向了Default Domain Policy组策略的完整DN。

组策略模版

组策略模板(GPT)存储该组策略实际的配置数据,被存放在域控制器的共享目录%SYSTEMROOT%SYSVOL sysvol八域名Policies下以GUID命名的文件夹中。

以GUID标识的各组策略配置目录中包含以下内容。

MACHINE:该文件夹包含一些针对该组策略的整个作用域中计算机的具体配置。

USER:该文件夹包含一些针对该组策略的整个作用域中用户的具体配置。

GPT.INI:该文件包含一些关于该组策略的策略名称、版本信息等配置信息。

组策略的创建

下面创建一个新的组策略,并将其应用于预先创建的一个组织单位“科研中心”。首先在域控制器上打开组策略管理,右击“组策略对象”,在弹出的快捷莱单中选择“新建”命令。

新建之后组策略并不会链接到任何作用域,可以手动将其链接到域中指定的站点、域和组织单位。选中预先创建的一个组织单位并单击右键,在弹出的快捷菜单中选择“链接现有GP0”命令,在出现的对话框中选中新建的组策略,单击“确定”按钮即可。

组策略配置完成后,这些配置的值不会立刻被应用到作用域中的用户或计算机,可以通过执行“gpupdate/force”命令来将组策略生效。组策略生效后,用户再次修改密码,若密码长度低于7,则会提示“密码不满足密码策略的要求。

windows7加入域中

为了能让加入域中的Windows7用户正常登录需要为它们创建域用户,需要在Windows Server中打开“Active Directory 用户和计算机"。选中"User"目录并单击右键,利用弹出的快捷菜单命令新建一个新用户。并设置密码永不过期。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2159023.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

进阶SpringBoot之集合 Redis

&#xff08;在跑 Redis 测试之前&#xff0c;需要先安装 Redis&#xff0c;并开启 Redis 服务&#xff09; Spring Boot 项目添加依赖 NoSQL -> Spring Data Redis pom.xml 文件如下 <dependencies><dependency><groupId>org.springframework.boot<…

实时数据的处理一致性

实时数据一致性的定义以及面临的挑战‍‍‍‍‍ 数据一致性通常指的是数据在整个系统或多个系统中保持准确、可靠和同步的状态。在实时数据处理中&#xff0c;一致性包括但不限于数据的准确性、完整性、时效性和顺序性。 下图是典型的实时/流式数据处理的流程&#xff1a; 1、…

佰朔资本:沪港通,深港通,港股通的区别与联系?

沪港通&#xff0c;深港通&#xff0c;港股通的差异与联系&#xff1a; 1、沪港通是“沪港股票市场生意互联互通机制”的简称&#xff0c;包含“沪股通”和“沪港通下的港股通”。 &#xff08;1&#xff09;“沪股通”是指投资者托付香港经纪商&#xff0c;经由联交地址上海…

kettle从入门到精通 第八十六课 ETL之kettle kettle调用https接口忽略SSL校验

1、在使用kettle调用接口的时候不可避免要调用http或者https接口&#xff0c;调用http接口kettle可以正常工作&#xff0c;但是遇到https接口的时候kettle就会提示证书有误&#xff0c;无法正常调用接口&#xff0c;今天咱们一起通过自研插件的方式来解决这个问题。自研插件需要…

启明云端WT32C3-S2模组,乐鑫ESP32-C3芯片开发应用,设备联网通信方案

随着科技的飞速发展&#xff0c;我们正步入一个全新的时代——物联网时代。在这个时代&#xff0c;每一个设备都不再是孤立的个体&#xff0c;而是通过无线网络相互连接、相互沟通的智能节点。 想象一下&#xff0c;当你走进家门&#xff0c;灯光自动亮起&#xff0c;空调调整…

认识NDK

什么是NDK&#xff08;Native Development Kit&#xff09; The Android NDK is a toolset that lets you implement parts of your app in native code, using languages such as C and C. &emdp; Android NDK 是一个工具集&#xff0c;可让您使用 C 和 C 等语言以原生代…

CANdela/Diva系列8--如何生成0x27服务解锁的DLL

本系列的上一篇文章中&#xff0c;我们介绍了如何在CDD文件中去根据客户需求来配置诊断服务&#xff0c;其实每个诊断服务的配置方式都是大同小异&#xff0c;但是0x27服务略有不同&#xff0c;为了能够让CDD文件根据ECU返回的种子去自动计算出密钥&#xff0c;需要添加一个解锁…

流域碳中和技术

随着全球气候变化的加剧&#xff0c;碳中和已成为实现可持续发展的重要目标之一。碳中和不仅仅是能源和工业领域的调整&#xff0c;它涉及整个生态系统的转型与再生。在这一过程中&#xff0c;流域的生态系统作为水、土、生物多样性等自然资源的集成体&#xff0c;扮演着至关重…

解密.baxia勒索病毒:.baxia勒索病毒的攻击手法及防护建议

导言 在当前网络安全形势日益严峻的背景下&#xff0c;勒索软件的威胁正不断升级&#xff0c;其中.baxia勒索病毒尤为突出。作为一种新型恶意软件&#xff0c;.baxia病毒通过加密用户的文件并要求支付赎金来获取解密密钥&#xff0c;对个人和企业的安全构成了严重威胁。随着其…

【LLM多模态】视频理解模型Cogvlm-video和MVBench评测基准

note Cogvlm-video模型通过视频抽帧&#xff08;24帧&#xff0c;每帧大小为224 x 224&#xff09;后经过ViT进行图像编码&#xff08;ViT中添加了2x2的卷积核更好的压缩视觉信息&#xff09;&#xff0c;使用adapter模块更好的将视觉特征和文本特征对齐&#xff0c;得到的图像…

基于WebServer的工业数据采集系统

一、项目框架及流程 二、http简介 HTTP协议是Hyper Text Transfer Protocol&#xff08;超文本传输协议&#xff09;的缩写&#xff0c;是用于Web Browser&#xff08;浏览器&#xff09;到Web Server&#xff08;服务器&#xff09;进行数据交互的传输协议。 HTTP是应用层协…

poi生成的ppt,powerPoint打开提示内容错误解决方案

poi生成的ppt&#xff0c;powerPoint打开提示内容错误解决方案 最近做了ppt的生成&#xff0c;使用poi制作ppt&#xff0c;出现一个问题。微软的powerPoint打不开&#xff0c;提示错误信息 通过xml对比工具发现只需要删除幻灯片的某些标签即可解决。 用的是XML Notepand 分…

ai写论文哪个平台好?7款AI写论文软件帮你撰写论文

在当今学术研究和写作领域&#xff0c;AI论文写作工具的出现极大地提高了写作效率和质量。这些工具不仅能够帮助研究人员快速生成论文草稿&#xff0c;还能进行内容优化、查重和排版等操作。以下是七款推荐的AI写论文软件&#xff0c;其中特别推荐千笔-AIPassPaper。 一、千笔…

Java集合(Map篇)

一.Map a.使用Map i.键值&#xff08;key-value&#xff09;映射表的数据结构&#xff0c;能高效通过key快速查找value&#xff08;元素&#xff09;。 ii.Map是一个接口&#xff0c;最常用的实现类是HashMap。 iii.重复放入k-v不会有问题&#xff0c;但是一个…

盈科巴黎办公室开业典礼暨盈科全球一小时法律服务生态圈·法国中心揭牌仪式圆满举办

国际化建设是盈科律师事务所发展的重要战略目标之一&#xff0c;随着中国对外投资、跨境贸易、“一带一路”高质量共建等迅速发展&#xff0c;越来越多中国企业和公民“走出去”&#xff0c;寻找海外市场。今年是中法建交60周年。建交以来&#xff0c;中法坚持做真诚的朋友、共…

【Java】JVM基本组成

一、JDK、JRE、JVM JDK&#xff1a;全称 “Java Development Kit” Java 开发工具包&#xff0c;提供 javac编译器、jheap、jconsole 等监控工具; JRE&#xff1a;全称 “Java Runtime Environment” Java 运行环境&#xff0c;提供 class Library 核心类库JVM; …

文件服务器FastDFS 消息队列中间件RabbitMQ

新标签页 (chinaunix.net) FastDFS - Browse Files at SourceForge.net 一、FastDFS Tracker和Storage&#xff1a; tracker用来管理所有的storage&#xff0c;只是管理服务器&#xff0c;负责负载均衡。 storage是存储服务器&#xff0c;每一个storage服务器都是一个单独的个…

计算机毕业设计之:基于微信小程序的疫苗预约系统的设计与实现(源码+文档+讲解)

博主介绍&#xff1a; ✌我是阿龙&#xff0c;一名专注于Java技术领域的程序员&#xff0c;全网拥有10W粉丝。作为CSDN特邀作者、博客专家、新星计划导师&#xff0c;我在计算机毕业设计开发方面积累了丰富的经验。同时&#xff0c;我也是掘金、华为云、阿里云、InfoQ等平台…

Shiro rememberMe反序列化漏洞(Shiro-550)

开启环境抓包验证Shiro框架 使⽤BurpSuite进⾏抓包&#xff0c;在请求包中的cookie字段中添加 rememberMe123; &#xff0c;看响应包 header中是否返回 rememberMedeleteMe 值&#xff0c;若有&#xff0c;则证明该系统使⽤了Shiro框架&#xff1a; 使用工具爆破密钥爆破利用…

论文大杀器!分享4款ai论文写作工具软件

在当今学术研究和论文写作领域&#xff0c;AI技术的应用已经变得越来越普遍。这些工具不仅能够提高写作效率&#xff0c;还能帮助研究人员生成高质量的论文内容。本文将重点介绍四款优秀的AI论文写作工具&#xff0c;并特别推荐千笔-AIPassPaper。 一、千笔-AIPassPaper 传送门…