Los descriptores de seguridad son estructuras de datos de información de seguridad para objetos de Windows asegurables , es decir, objetos que pueden identificarse con un nombre único. Los descriptores de seguridad se pueden asociar con cualquier objeto con nombre, incluidos archivos , carpetas , recursos compartidos, claves de registro , procesos, subprocesos, canalizaciones con nombre, servicios, objetos de trabajo y otros recursos. [1]
Los descriptores de seguridad contienen listas de control de acceso discrecional (DACL) que contienen entradas de control de acceso (ACE) que otorgan y niegan el acceso a fideicomisarios como usuarios o grupos. También contienen una lista de control de acceso al sistema (SACL) que controla la auditoría del acceso a objetos. [2] [3] Las ACE pueden aplicarse explícitamente a un objeto o heredarse de un objeto principal. El orden de las ACE en una ACL es importante, y las ACE de acceso denegado aparecen en un orden más alto que las ACE que otorgan acceso. Los descriptores de seguridad también contienen el propietario del objeto.
El control de integridad obligatorio se implementa a través de un nuevo tipo de ACE en un descriptor de seguridad. [4]
Los permisos de archivos y carpetas se pueden editar mediante varias herramientas, incluido el Explorador de Windows , WMI , herramientas de línea de comandos como Cacls , XCacls, ICacls , SubInACL, [5] la consola Win32 freeware FILEACL, [6] [7] la utilidad de software libre SetACL , y otras utilidades. Para editar un descriptor de seguridad, un usuario necesita permisos WRITE_DAC para el objeto, [8] un permiso que generalmente se delega de manera predeterminada a los administradores y al propietario del objeto.
La siguiente tabla resume los permisos NTFS y sus funciones (en filas individuales). La tabla expone la siguiente información: [9] [10] [11]
Código de permiso | Sentido | Incluido en | Alias | ||||||
---|---|---|---|---|---|---|---|---|---|
Para archivos | Para carpetas | GR [a] | GE [b] | GW [c] | GA [d] | BM [e] | En icacls | En cacls | |
0x01 | Leer datos | Lista de contenidos en la carpeta | sí | sí | sí | sí | RD | FILE_READ_DATA | |
0x80 | Leer atributos | sí | sí | sí | sí | REAL ACADEMIA DE BELLAS ARTES | FILE_READ_ATTRIBUTES | ||
0x08 | Leer atributos extendidos | sí | sí | sí | sí | REA | FILE_READ_EA | ||
0x20 | Ejecutar archivo | carpeta transversal | sí | sí | sí | X | FILE_EXECUTE | ||
0x20000 | Leer permisos | sí | sí | sí | sí | sí | RC | READ_CONTROL | |
0x100000 | Sincronizar | sí | sí | sí | sí | sí | S | SINCRONIZAR | |
0x02 | Escribir datos | Crear archivos | sí | sí | sí | WD | FILE_WRITE_DATA | ||
0x04 | Adjuntar datos | Crear carpetas | sí | sí | sí | ANUNCIO | FILE_APPEND_D | ||
0x100 | Escribir atributos | sí | sí | sí | Washington | FILE_WRITE_ATTRIBUTES | |||
0x10 | Escribir atributos extendidos | sí | sí | sí | WEA | FILE_WRITE_EA | |||
0x10000 | Borrar | sí | sí | Delaware | ELIMINAR | ||||
0x40000 | Cambiar permisos | sí | WDAC | WRITE_DAC | |||||
0x80000 | Tomar posesión | sí | WO | WRITE_OWNER | |||||
0x40 | Eliminar subcarpetas y archivos | sí | corriente continua | FILE_DELETE_CHILD |