Что такое Windows ACL
Обновлено: 21.11.2024
В этом разделе вы можете найти информацию о том, как использовать списки управления доступом (ACL) Microsoft Windows к файловым ресурсам SMB, включенным с помощью Microsoft Active Directory (AD). Используя списки управления доступом Windows, вы можете настроить подробные разрешения для файлов и папок в общей папке SMB.
По умолчанию файловые шлюзы поддерживают разрешения POSIX для управления доступом к файлам и каталогам, хранящимся в общей папке NFS или SMB. Для файлов и каталогов, которые хранятся в общих файловых ресурсах SMB, файловые шлюзы позволяют использовать списки управления доступом Windows вместо разрешений POSIX для управления доступом. Этот тип управления доступом имитирует списки управления доступом Windows для собственных файловых ресурсов Windows.
Ниже приведены некоторые важные характеристики списков ACL Windows для общих файловых ресурсов SMB:
По умолчанию списки управления доступом Windows для файловых ресурсов SMB не включены. Чтобы включить списки управления доступом Windows, задайте для параметра SmbAclEnabled значение true для файлового ресурса с помощью операции UpdateSMBFileShare с SDK Storage Gateway или интерфейсом командной строки AWS.
Если списки управления доступом включены, информация об этих списках сохраняется в метаданных объекта Amazon S3.
Шлюз сохраняет до 10 списков ACL для каждого файла или папки.
Когда вы используете общий файловый ресурс SMB со списками управления доступом для доступа к объектам S3, созданным за пределами вашего шлюза, эти объекты наследуют информацию ACL из родительской папки.
Корневой ACL-список по умолчанию для общей папки SMB предоставляет полный доступ всем, но вы можете изменить разрешения корневого ACL-списка. Вы можете использовать корневые ACL для управления доступом к файловому ресурсу. Вы можете указать, кто может подключать общий файловый ресурс (сопоставлять диск) и какие разрешения пользователь получает рекурсивно для файлов и папок в общем файловом ресурсе. Однако мы рекомендуем вам установить это разрешение для папки верхнего уровня в корзине S3, чтобы ваш ACL сохранялся.
Вы можете включить списки управления доступом Windows при создании новой общей папки SMB с помощью операции API CreateSMBFileShare. Или вы можете включить списки управления доступом Windows в существующей общей папке SMB с помощью операции API UpdateSMBFileShare.
Включение списков контроля доступа Windows в новой общей папке SMB
Выполните следующие действия, чтобы включить списки управления доступом Windows в новой общей папке SMB.
Чтобы включить Windows ACL при создании новой общей папки SMB
Создайте файловый шлюз, если у вас его еще нет. Дополнительные сведения см. в разделе Создание файлового шлюза.
Если шлюз не присоединен к домену, добавьте его в домен. Дополнительные сведения см. в разделе Использование Active Directory для аутентификации пользователей.
Создайте общую папку SMB. Дополнительные сведения см. в разделе Создание общей папки.
Включите Windows ACL для общей папки из консоли Storage Gateway.
Чтобы использовать консоль Storage Gateway, выполните следующие действия:
Выберите общую папку и выберите Изменить общую папку.
Для параметра "Управление доступом к файлам/каталогам" выберите "Список управления доступом Windows".
(Необязательно) Добавьте пользователя с правами администратора в список AdminUsersList, если вы хотите, чтобы у пользователя с правами администратора были права на обновление списков ACL для всех файлов и папок в общей папке.
Обновите списки управления доступом для родительских папок в корневой папке. Для этого с помощью Проводника Windows настройте списки ACL для папок в общей папке SMB.
Если вы настраиваете списки управления доступом в корневом каталоге, а не в родительской папке в корневом каталоге, разрешения ACL не сохраняются в Amazon S3.
Мы рекомендуем устанавливать списки управления доступом в папке верхнего уровня в корне общей папки, а не настраивать списки управления доступом непосредственно в корне общей папки. При таком подходе информация сохраняется как метаданные объекта в Amazon S3.
При необходимости включите наследование.
Вы можете включить наследование для файловых ресурсов, созданных после 8 мая 2019 года.
Если включить наследование и рекурсивно обновить разрешения, Storage Gateway обновит все объекты в корзине S3. В зависимости от количества объектов в сегменте обновление может занять некоторое время.
Включение списков контроля доступа Windows в существующей общей папке SMB
Выполните следующие действия, чтобы включить списки управления доступом Windows в существующей общей папке SMB с разрешениями POSIX.
Чтобы включить списки управления доступом Windows в существующей общей папке SMB с помощью консоли Storage Gateway
Выберите общую папку и выберите Изменить общую папку.
Для параметра "Управление доступом к файлам/каталогам" выберите "Список управления доступом Windows".
При необходимости включите наследование.
Мы не рекомендуем настраивать списки управления доступом на корневом уровне, поскольку если вы сделаете это и удалите свой шлюз, вам потребуется снова сбросить списки управления доступом.
Если включить наследование и рекурсивно обновить разрешения, Storage Gateway обновит все объекты в корзине S3. В зависимости от количества объектов в сегменте обновление может занять некоторое время.
Ограничения при использовании Windows ACL
Помните следующие ограничения при использовании списков управления доступом Windows для управления доступом к общим файловым ресурсам SMB:
Списки управления доступом Windows поддерживаются только для общих файловых ресурсов, для которых включена служба Active Directory, при использовании клиентов Windows SMB для доступа к общим файловым ресурсам.
Файловые шлюзы поддерживают не более 10 записей ACL для каждого файла и каталога.
Файловые шлюзы не поддерживают записи аудита и тревог, которые являются записями системного списка управления доступом (SACL). Файловые шлюзы поддерживают записи «Разрешить» и «Запретить», которые являются записями списка управления доступом на уровне пользователей (DACL).
Настройки корневого ACL общих файловых ресурсов SMB находятся только на шлюзе, и эти настройки сохраняются при обновлении и перезапуске шлюза.
Если вы настроите списки ACL в корневом каталоге, а не в родительской папке в корневом каталоге, разрешения ACL не будут сохраняться в Amazon S3.
Учитывая эти условия, обязательно сделайте следующее:
Если вы настраиваете несколько шлюзов для доступа к одной и той же корзине Amazon S3, настройте корневой ACL на каждом из шлюзов, чтобы обеспечить согласованность разрешений.
Если вы удаляете общую папку и создаете ее заново в той же корзине Amazon S3, убедитесь, что вы используете тот же набор корневых ACL.
Главная страница Windows ACL. Возможно, вы захотите добавить некоторые дополнительные уточнения к своему вопросу, иначе люди закроют его, и вам будут даны ссылки на документацию MSDN и Википедию.
3 ответа 3
Я нашел следующее на этой вики-странице.
Список управления доступом (ACL) по отношению к файловой системе компьютера представляет собой список разрешений, прикрепленных к объекту. ACL указывает, каким пользователям или системным процессам предоставляется доступ к объектам, а также какие операции разрешены для данных объектов. Каждая запись в типичном ACL определяет субъект и операцию. Например, если у файла есть ACL, который содержит (Алиса, удалить), это даст Алисе разрешение на удаление файла.
Чтобы ответить на вопрос "Почему они важны?" если вы еще не понимаете, если у вас их нет, разрешений не было бы. Так Windows понимает, у кого есть определенные привилегии.
Список управления доступом (ACL) содержит ноль или более записей управления доступом (ACE). Многие различные объекты в Windows могут иметь списки управления доступом, такие как файлы, устройства, принтеры, записи реестра и другие объекты. (Проверьте WinObj от SysInternal, если хотите получить обзор всех различных типов объектов в «пространстве имен» Windows — многие из них являются внутренними для Windows и не доступны пользователю напрямую)
ACE состоит из
- Директор. Обычно это либо пользователь, либо группа. Это может быть пользователь, группа или компьютер в базе данных Active Directory на контроллере домена или локальный пользователь. Существуют «виртуальные» группы, такие как «Все» и «Прошедшие проверку».
- Одна или несколько возможностей, для каждой из которых можно установить значение Разрешить или Запретить. Некоторыми примерами возможностей являются «Чтение», «Запись», «Список содержимого» и т. д. Запретить имеет приоритет над Разрешить. Большинство объектов, таких как файлы и т. д., не разрешают доступ или изменения, если не доступен определенный ACL «Разрешить»; таким образом, Запретить следует использовать только в особых случаях.
Списки управления доступом могут быть унаследованы, т. е. файлы в каталогах нижнего уровня могут наследовать списки управления доступом из каталогов верхнего уровня.
Они важны, потому что именно так Windows предоставляет и обеспечивает привилегии для процессов. Каждый процесс выполняется от имени пользователя, и если этот пользователь «подпадает» под одну или несколько записей ACE, Windows разрешает их все, чтобы выяснить, разрешено ли конкретное действие или нет.
Вы можете посмотреть на это так.
Каждый объект в NTFS имеет серийный номер (включая учетные записи пользователей, группы пользователей, процессы, устройства и т. д.). Список контроля доступа отслеживает, какой серийный номер может получить доступ к другому серийному номеру и какие разрешения установлены. Просто подумайте обо всем, что имеет серийный номер с прикрепленными к нему разрешениями.
Если вы удаляете пользователя с именем FRED, его серийный номер удаляется и удаляется из ACL. По сути, серийный номер FRED больше не связан с другими устройствами, и разрешения, которые у него были на эти устройства, также удалены.
Если вы повторно создадите имя пользователя FRED, ему будет присвоен новый серийный номер. ACL распознает это как новый номер. Поэтому никакие разрешения, которые были у удаленной учетной записи FRED, не будут восстановлены.
Надеюсь, это поможет понять, что такое ACL, как он работает и почему он важен.
Что означает список контроля доступа (Microsoft) (ACL)?
В контексте Microsoft список управления доступом (ACL) — это список сведений о безопасности системного объекта, который определяет права доступа для таких ресурсов, как пользователи, группы, процессы или устройства. Системный объект может быть файлом, папкой или другим сетевым ресурсом. Информация о безопасности объекта известна как разрешение, которое контролирует доступ к ресурсам для просмотра или изменения содержимого системного объекта.
В ОС Windows используется ACL файловой системы, в котором разрешения пользователя/группы, связанные с объектом, хранятся внутри структуры данных. Этот тип модели безопасности также используется в Open Virtual Memory System (OpenVMS) и операционных системах, подобных Unix или Mac OS X.
ACL содержит список элементов, известных как объекты управления доступом (ACE), которые содержат сведения о безопасности каждого «доверенного лица», имеющего доступ к системе. Доверенным лицом может быть отдельный пользователь, группа пользователей или процесс, выполняющий сеанс. Сведения о безопасности хранятся внутри в структуре данных, которая представляет собой 32-разрядное значение, представляющее набор разрешений, используемый для работы с защищаемым объектом. Сведения о безопасности объекта включают в себя общие права (чтение, запись и выполнение), права для конкретных объектов (удаление и синхронизация и т. д.), права доступа к системному ACL (SACL) и права доступа к службам каталогов (специфические для объектов службы каталогов). Когда процесс запрашивает права доступа к объекту из ACL, ACL извлекает эту информацию из ACE в виде маски доступа, которая сопоставляется с сохраненным 32-битным значением этого объекта.
Techopedia объясняет список управления доступом (Microsoft) (ACL)
ACL — это модель безопасности на основе ресурсов, предназначенная для обеспечения безопасности, которая облегчает авторизацию приложения, которое обращается к отдельно защищенному ресурсу. Он не служит этой цели в приложениях, которым требуются данные для авторизации из нескольких источников с базами данных и/или веб-службами и т. д. Управление доступом на основе ролей — это еще один механизм, который используется для авторизации доступа к операциям на основе членства в роли вызывающей стороны и в основном используется в веб-приложениях, требующих масштабируемости.
Список управления доступом (ACL) содержит правила, которые разрешают или запрещают доступ к определенным цифровым средам. Существует два типа списков ACL:
- Списки управления доступом файловой системы━фильтруют доступ к файлам и/или каталогам. ACL файловой системы сообщают операционным системам, какие пользователи могут получить доступ к системе и какие привилегии им разрешены.
- Сетевые списки управления доступом━фильтруют доступ к сети. Сетевые ACL сообщают маршрутизаторам и коммутаторам, какой тип трафика может иметь доступ к сети и какие действия разрешены.
Изначально ACL были единственным способом обеспечить защиту брандмауэра. Сегодня существует множество типов брандмауэров и альтернатив ACL. Однако организации продолжают использовать ACL в сочетании с такими технологиями, как виртуальные частные сети (VPN), которые определяют, какой трафик следует шифровать и передавать через VPN-туннель.
Причины использования ACL:
- Контроль трафика
- Ограничение сетевого трафика для повышения производительности сети.
- Уровень безопасности доступа к сети, указывающий, к каким областям сервера/сети/службы может получить доступ пользователь, а к каким нет
- Тщательный мониторинг исходящего и входящего трафика в систему
Как работает ACL
ACL файловой системы — это таблица, которая информирует операционную систему компьютера о правах доступа пользователя к системному объекту, включая один файл или каталог файлов. У каждого объекта есть свойство безопасности, которое связывает его со своим списком управления доступом. В списке есть запись для каждого пользователя с правами доступа к системе.
Обычные привилегии включают право на чтение одного файла (или всех файлов) в каталоге, выполнение файла или запись в файл или файлы. К операционным системам, использующим ACL, относятся, например, Microsoft Windows NT/2000, Novell Netware, Digital OpenVMS и системы на базе UNIX.
Когда пользователь запрашивает объект в модели безопасности на основе ACL, операционная система изучает ACL для соответствующей записи и определяет, разрешена ли запрошенная операция.
Сетевые списки ACL устанавливаются на маршрутизаторы или коммутаторы, где они действуют как фильтры трафика. Каждый сетевой ACL содержит предопределенные правила, которые определяют, каким пакетам или обновлениям маршрутизации разрешается или запрещается доступ к сети.
Маршрутизаторы и коммутаторы со списками управления доступом работают как фильтры пакетов, которые пропускают или отклоняют пакеты на основе критериев фильтрации. Как устройство уровня 3, маршрутизатор с фильтрацией пакетов использует правила, чтобы определить, следует ли разрешить или запретить доступ к трафику. Решение принимается на основе IP-адресов источника и получателя, порта назначения и порта источника, а также официальной процедуры пакета.
Ключевые результаты исследования инсайдерских угроз Forrester за 2021 г.
Типы списков контроля доступа
Списки контроля доступа можно разделить на две основные категории:
Расширенный список управления доступом
Список доступа, который широко используется, поскольку он может различать IP-трафик. Он использует IP-адреса источника и получателя, а также номера портов для понимания IP-трафика.Вы также можете указать, какой IP-трафик следует разрешить или запретить. Они используют номера 100–199 и 2000–2699.
Linux ACL и Windows ACL
Linux позволяет вносить изменения в ядро, чего нельзя сделать в Windows. Однако, поскольку вы можете вносить изменения в ядро Linux, вам может потребоваться специальный опыт для обслуживания производственной среды.
Windows предлагает преимущество стабильной платформы, но она не такая гибкая, как Linux. Что касается интеграции приложений, Windows проще, чем Linux.
Пользователь может установить механизмы управления доступом в Windows без добавления программного обеспечения.
Что касается исправлений, Microsoft является единственным источником, выпускающим исправления для Windows. В Linux вы можете подождать, пока коммерческий поставщик Linux не выпустит исправление, или вы можете использовать объект с открытым исходным кодом для исправлений.
Рекомендации по использованию ACL
При настройке списков управления доступом следует придерживаться нескольких рекомендаций, чтобы обеспечить надежную защиту и блокировку подозрительного трафика:
<р>1. ACL вездеACL применяются на каждом интерфейсе, почти во всех механизмах безопасности или маршрутизации. Это уместно, поскольку у вас не может быть одинаковых правил для интерфейсов, обращенных наружу, и интерфейсов, которые формируют вашу кампусную сеть. Однако интерфейсы похожи, и вы не хотите, чтобы некоторые из них были защищены списками управления доступом, а некоторые — открытыми.
Практика ACL на всех интерфейсах важна для входящих ACL, особенно правил, которые определяют, какой адрес может передавать данные в вашу сеть. Эти правила имеют большое значение.
<р>2. ACL по порядкуПочти во всех случаях ядро, реализующее ACL, начинается сверху и перемещается вниз по списку. Это имеет значение для определения того, что ACL будет делать с конкретным потоком данных.
Одна из причин, по которой организации используют ACL, заключается в том, что они требуют меньше вычислительных ресурсов, чем брандмауэры с отслеживанием состояния, и работают на высоких скоростях. Это важно, когда вы пытаетесь реализовать безопасность для быстрых сетевых интерфейсов. Однако чем дольше пакет остается в системе, пока он проверяется на соответствие правилам в ACL, тем ниже производительность.
Хитрость заключается в том, чтобы поместить правила, которые, как вы ожидаете, будут срабатывать, в начало списка управления доступом. Работайте от общего к частному, следя за тем, чтобы правила были логически сгруппированы. Вы должны знать, что на каждый пакет будет воздействовать начальное правило, которое он запускает, вы можете в конечном итоге передать пакет по одному правилу, когда вы намереваетесь заблокировать его по другому. Подумайте, как вы хотите, чтобы цепочка событий происходила, в частности, при добавлении новых правил.
<р>3. Документируйте свою работу.Добавляя правила ACL, документируйте, почему вы их добавляете, для чего они предназначены и когда вы их добавили.
Для каждого правила не обязательно иметь один комментарий. Вы можете сделать один комментарий для блока правил, сложное объяснение для одного правила или комбинацию обоих подходов.
Разработчики должны следить за тем, чтобы текущие правила были задокументированы, чтобы никому не приходилось догадываться, зачем они нужны.
RBAC и ACL
Разработчики могут использовать системы списков доступа на основе ролей (RBAC) для управления безопасностью на детальном уровне. Вместо того, чтобы подчеркивать личность пользователя и определять, разрешено ли ему видеть что-либо в приложении, RBAC управляет безопасностью на основе роли пользователя в организации.
Например, вместо того, чтобы давать разрешение Джону Смиту, архитектору из Нью-Йорка, RBAC дает разрешение на роль для архитекторов из США. Джон Смит может быть одним из многих пользователей с этой ролью. Таким образом, RBAC гарантирует регулирующим органам, что только определенные пользователи имеют доступ к конфиденциальной информации, так как он дает все утверждения на основе ролей.
RBAC обычно считается предпочтительным методом для бизнес-приложений. RBAC более эффективен, чем ACL, в отношении административных издержек и безопасности. ACL лучше всего использовать для обеспечения безопасности на уровне отдельных пользователей. Вы можете использовать RBAC для обслуживания системы безопасности всей компании, за которой следит администратор. Например, ACL может предоставлять доступ для записи к определенному файлу, но не может определять, как пользователь может изменять этот файл.
Пример системы управления доступом на основе ролей (RBAC)
Управление доступом на основе ролей с Imperva
Imperva позволяет контролировать привилегии пользователей с помощью гибкого управления доступом на основе ролей. Пользователям предоставляется доступ только для просмотра, редактирования или ограниченный доступ к функциям и объектам управления. Организации также могут иерархически группировать ИТ-активы и управлять ими по категориям для точного контроля доступа, даже в развертываниях Managed Security Service Provider (MSSP) и крупных предприятиях.
Читайте также: