Icacls c setintegritylevel medium что это
Обновлено: 18.05.2024
Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.
For examples of how to use this command, see Examples.
Примеры
чтобы сохранить списки dacl для всех файлов в каталоге C:\ Windows и его подкаталогах в файле аклфиле, введите:
чтобы восстановить списки dacl для каждого файла в аклфиле, который существует в каталоге C:\ Windows и его подкаталогах, введите:
Чтобы предоставить пользователю User1 разрешения на удаление и запись DAC в файл с именем Test1, введите:
Чтобы предоставить пользователю, заданному с помощью SID S-1-1-0, разрешения DAC и Write в файл с именем test2, введите:
Syntax
Parameters
Parameter | Description |
---|---|
<filename> | Specifies the file for which to display DACLs. |
<directory> | Specifies the directory for which to display DACLs. |
/t | Performs the operation on all specified files in the current directory and its subdirectories. |
/c | Continues the operation despite any file errors. Error messages will still be displayed. |
/l | Performs the operation on a symbolic link instead of its destination. |
/q | Suppresses success messages. |
[/save <ACLfile> [/t] [/c] [/l] [/q]] | Stores DACLs for all matching files into ACLfile for later use with /restore. |
[/setowner <username> [/t] [/c] [/l] [/q]] | Changes the owner of all matching files to the specified user. |
[/findsid <sid> [/t] [/c] [/l] [/q]] | Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID). |
[/verify [/t] [/c] [/l] [/q]] | Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts. |
[/reset [/t] [/c] [/l] [/q]] | Replaces ACLs with default inherited ACLs for all matching files. |
[/grant[:r] <sid>:<perm>[. ]] | Grants specified user access rights. Permissions replace previously granted explicit permissions. |
Команда iCACLS – управление доступом к файлам и папкам.
Команда iCACLS позволяет отображать или изменять списки управления доступом ( A ccess C ontrol L ists (ACLs) ) к файлам и папкам файловой системы. Утилита iCACLS.EXE является дальнейшим усовершенствованием утилиты управления доступом CACLS.EXE.
Управление доступом к объектам файловой системы NTFS реализуется с использованием специальных записей в таблице MFT (Master File Table). Каждому файлу или папке файловой системы NTFS соответствует запись в таблице MFT, содержащая специальный дескриптор безопасности SD (Security Descriptor). Каждый дескриптор безопасности содержит два списка контроля доступа:
System Access-Control List (SACL) - системный список управления доступом .
Discretionary Access-Control List (DACL) - список управления избирательным доступом.
SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).
DACL - это собственно и есть список управления доступом ACL в обычном понимании. Именно DACL формирует правила, определяющие, кому разрешить доступ к объекту, а кому - запретить.
Каждый список контроля доступа (ACL) представляет собой набор элементов (записей) контроля доступа - Access Control Entries , или ACE ) . Записи ACE бывают двух типов (разрешающий и запрещающий доступ), и содержит три поля:
SID - Security ID – уникальный идентификатор, который присваивается каждому пользователю или группе пользователей в момент их создания. Посмотреть примеры SID можно , например с помощью команды WHOAMI /ALL . Как видим, система управления доступом к объектам NTFS оперирует не именами, а идентификаторами SID. Поэтому, например нельзя восстановить доступ к файлам и папкам, существовавший для удаленного из системы пользователя, создав его заново с тем же самым именем – он получит новый SID и правила записей ACE, применяемые к старому идентификатору SID, выполняться не будут.
При определении результатов запросов на доступ к объектам файловой системы NTFS применимы следующие правила:
Для того чтобы изменить DACL объекта, пользователь (процесс) должен обладать правом записи в DACL (WRITE_DAC - WDAC). Право записи может быть разрешено или запрещено, с помощью утилиты icalc.exe , но даже если установлен запрет, все равно разрешение на запись имеется хотя бы у одного пользователя владельца файла или папки (поле Owner в дескрипторе безопасности), так как владелец всегда имеет право изменять DAC.
Варианты применения команды iCACLS:
/grant[:r] Sid:perm — предоставление указанных прав доступа пользователя. С параметром :r эти разрешения заменяют любые ранее предоставленные явные разрешения. Без параметра :r разрешения добавляются к любым ранее предоставленным явным разрешениям.
/deny Sid:perm — явный отзыв указанных прав доступа пользователя. Добавляется ACE явного отзыва для заявленных разрешений с удалением этих же разрешений в любом явном предоставлении.
/remove[:[g|:d]] Sid — удаление всех вхождений ИД безопасности в ACL. С параметром :g удаляются все вхождения предоставленных прав в этом ИД безопасности. С параметром :d удаляются все вхождения отозванных прав в этом ИД безопасности.
/setintegritylevel [(CI)(OI)]уровень — явное добавление ACE уровня целостности ко всем соответствующим файлам. Уровень задается одним из следующих значений:
Уровню могут предшествовать параметры наследования для ACE целостности, применяемые только к каталогам.
Механизм целостности Windows Vista и более поздних версий ОС, расширяет архитектуру безопасности путём определения нового типа элемента списка доступа ACE для представления уровня целостности в дескрипторе безопасности объекта (файла, папки). Новый ACE представляет уровень целостности объекта. Он содержится в системном ACL (SACL), который ранее используемом только для аудита. Уровень целостности также назначается токену безопасности в момент его инициализации. Уровень целостности в токене безопасности представляет уровень целостности (Integrity Level, IL) пользователя (процесса). Уровень целостности в токене сравнивается с уровнем целостности в дескрипторе объекта когда монитор безопасности выполняет проверку доступа. Система ограничивает права доступа в зависимости от того выше или ниже уровень целостности субъекта по отношению к объекту, а также в зависимости от флагов политики целостности в соответствующей ACE объекта. Уровни целостности (IL) представлены идентификаторами безопасности (SID), которые представляют также пользователей и группы, уровень которых закодирован в относительном идентификаторе (RID) идентификатора SID. Наиболее распространенные уровни целостности:
SID = S-1-16-4096 RID=0x1000 - уровень Low (Низкий обязательный уровень)
SID= S-1-16-8192 RID=0x2000 – уровень Medium (Средний обязательный уровень)
SID= S-1-16-12288 RID=0x3000 – уровень High (Высокий обязательный уровень)
SID= S-1-16-16384 RID=0x4000 – уровень системы (Обязательный уровень системы).
e - включение наследования
d - отключение наследования и копирование ACE
r - удаление всех унаследованных ACE
ИД безопасности могут быть в числовой форме (SID), либо в форме понятного имени (username). Если задана числовая форма, добавьте * в начало ИД безопасности, например - *S-1-1-0 . Параметры командной строки iCACLS:
/T - операция выполняется для всех соответствующих файлов и каталогов, расположенных в заданном каталоге.
/L - операция выполняется над самой символьной ссылкой, а не над ее целевым объектом.
Утилита ICACLS сохраняет канонический порядок записей ACE:
разрешение - это маска разрешения, которая может задаваться в одной из двух форм:
N - доступ отсутствует
F - полный доступ
M - доступ на изменение
RX - доступ на чтение и выполнение
R - доступ только на чтение
W - доступ только на запись
D - доступ на удаление
DE - удаление
RC - чтение
WDAC - запись DAC
WO - смена владельца
S - синхронизация
AS - доступ к безопасности системы
MA - максимально возможный
GR - общее чтение
GW - общая запись
GE - общее выполнение
GA - все общие
RD - чтение данных, перечисление содержимого папки
WD - запись данных, добавление файлов
AD - добавление данных и вложенных каталогов
REA - чтение дополнительных атрибутов
WEA - запись дополнительных атрибутов
X - выполнение файлов и обзор папок
DC - удаление вложенных объектов
RA - чтение атрибутов
WA - запись атрибутов
Права наследования могут предшествовать любой форме и применяются только к каталогам:
(OI) - наследование объектами
(CI) - наследование контейнерами
(IO) - только наследование
(NP) - запрет на распространение наследования
(I) - наследование разрешений от родительского контейнера
Примеры использования iCACLS:
icacls - запуск без ключей используется для получения краткой справки по использованию команды.
icacls C:\Users - отобразить список управления доступом для папки C:\Users. Пример отображаемой информации:
C:\Users NT AUTHORITY\система:(OI)(CI)(F)
BUILTIN\Администраторы:(OI)(CI)(F)
BUILTIN\Пользователи:(RX)
BUILTIN\Пользователи:(OI)(CI)(IO)(GR,GE)
Все:(RX)
Все:(OI)(CI)(IO)(GR,GE)
Успешно обработано 1 файлов; не удалось обработать 0 файлов
icacls c:\windows\* /save D:\win7.acl /T - сохранение ACL для всех файлов в каталоге c:\windows и его подкаталогах в ACL-файл D:\win7.acl . Сохраненные списки ACL позволят восстановить управление доступом к файлам и каталогам в исходное состояние, поэтому, прежде чем выполнять какие-либо изменения, желательно иметь файл сохраненных списков ACL.
Пример данных сохраненных списков доступа ACL:
В тех случаях, когда при выполнении команды iCACLS возникает ошибка, вызванная отказом в доступе к обрабатываемому объекту, можно продолжить выполнение команды, если задан параметр /C :
Для восстановления доступа к файлам и папкам используется параметр /restore :
icacls c:\windows\ /restore D:\win7.acl - восстановление списков контроля доступа к файлам и папкам каталога c:\windows из ранее сохраненного ACL-файла D:\win7.acl .
Examples
To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:
To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:
To grant the user User1 Delete and Write DAC permissions to a file named Test1, type:
To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named Test2, type:
Parameters
Specifies the file for which to display DACLs.
Specifies the directory for which to display DACLs.
Performs the operation on all specified files in the current directory and its subdirectories.
Continues the operation despite any file errors. Error messages will still be displayed.
Performs the operation on a symbolic link versus its destination.
Suppresses success messages.
Stores DACLs for all matching files into ACLfile for later use with /restore.
[/setowner <Username> [/t] [/c] [/l] [/q]]
Changes the owner of all matching files to the specified user.
Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
Replaces ACLs with default inherited ACLs for all matching files.
Grants specified user access rights. Permissions replace previously granted explicit permissions.
Without :r, permissions are added to any previously granted explicit permissions.
Explicitly denies specified user access rights. An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
Removes all occurrences of the specified SID from the DACL.
:g removes all occurrences of granted rights to the specified SID.
:d removes all occurrences of denied rights to the specified SID.
Explicitly adds an integrity ACE to all matching files. Level is specified as:
L[ow]
M[edium]
H[igh]
Inheritance options for the integrity ACE may precede the level and are applied only to directories.
Replaces an existing SID (SidOld) with a new SID (SidNew). Requires the Directory parameter.
/restore <ACLfile> [/c] [/l] [/q]
Applies stored DACLs from ACLfile to files in the specified directory. Requires the Directory parameter.
icacls
Отображает или изменяет избирательные списки управления доступом (DACL) для указанных файлов и применяет сохраненные списки DACL к файлам в указанных каталогах.
Эта команда заменяет устаревшую команду cacls.
Remarks
SIDs may be in either numerical or friendly name form. If you use a numerical form, affix the wildcard character * to the beginning of the SID.
icacls preserves the canonical order of ACE entries as:
Perm is a permission mask that can be specified in one of the following forms:
A sequence of simple rights:
F (full access)
M (modify access)
RX (read and execute access)
R (read-only access)
W (write-only access)
A comma-separated list in parenthesis of specific rights:
D (delete)
RC (read control)
WDAC (write DAC)
WO (write owner)
S (synchronize)
AS (access system security)
MA (maximum allowed)
GR (generic read)
GW (generic write)
GE (generic execute)
GA (generic all)
RD (read data/list directory)
WD (write data/add file)
AD (append data/add subdirectory)
REA (read extended attributes)
WEA (write extended attributes)
X (execute/traverse)
DC (delete child)
RA (read attributes)
WA (write attributes)
Inheritance rights may precede either Perm form, and they are applied only to directories:
(OI): object inherit
(CI): container inherit
(IO): inherit only
(NP): do not propagate inherit
Синтаксис
Параметры
Syntax
Examples
To save the DACLs for all files in the C:\Windows directory and its subdirectories to the ACLFile file, type:
To restore the DACLs for every file within ACLFile that exists in the C:\Windows directory and its subdirectories, type:
To grant the user User1 Delete and Write DAC permissions to a file named "Test1", type:
To grant the user defined by SID S-1-1-0 Delete and Write DAC permissions to a file, named "Test2", type:
Remarks
SIDs may be in either numerical or friendly name form. If you use a numerical form, affix the wildcard character * to the beginning of the SID.
This command preserves the canonical order of ACE entries as:
The <perm> option is a permission mask that can be specified in one of the following forms:
A sequence of simple rights:
F - Full access
M- Modify access
RX - Read and execute access
R - Read-only access
W - Write-only access
A comma-separated list in parenthesis of specific rights:
D - Delete
RC - Read control
WDAC - Write DAC
WO - Write owner
S - Synchronize
AS - Access system security
MA - Maximum allowed
GR - Generic read
GW - Generic write
GE - Generic execute
GA - Generic all
RD - Read data/list directory
WD - Write data/add file
AD - Append data/add subdirectory
REA - Read extended attributes
WEA - Write extended attributes
X - Execute/traverse
DC - Delete child
RA - Read attributes
WA - Write attributes
Inheritance rights may precede either <perm> form, and they are applied only to directories:
(OI) - Object inherit
(CI) - Container inherit
(IO) - Inherit only
(NP) - Do not propagate inherit
Комментарии
Идентификаторы SID могут быть в виде числовых или понятных имен. Если используется числовая форма, прикреплять символ-шаблон * к началу идентификатора SID.
Эта команда сохраняет канонический порядок записей ACE следующим образом:
<perm> Параметр — это маска разрешений, которая может быть указана в одной из следующих форм:
Последовательность простых прав:
F — полный доступ
M— изменение доступа
RX — доступ для чтения и выполнения
R — доступ только для чтения
W — доступ только на запись
Список с разделителями-запятыми в скобках для конкретных прав:
D — удаление
RC — контроль чтения
WDAC — запись DAC
WO — владелец записи
S — синхронизация
Безопасность системы как доступа
MA — максимально допустимый
GR — универсальное чтение
GW — универсальная запись
GE — универсальное выполнение
Общедоступная версия-общий
RD -чтение данных или каталога списка
WD : запись данных и добавление файла
AD — Добавление данных и Добавление вложенного каталога
Реа — чтение расширенных атрибутов
ВЕА — запись расширенных атрибутов
X -выполнение и обход
Контроллер домена -Удаление дочернего элемента
RA -чтение атрибутов
Атрибуты записи WA
Права на наследование могут предшествовать любой <perm> форме, и они применяются только к каталогам:
(OI) — наследование объектов
(CI) — наследование контейнера
(IO) — только наследование
(NP) — не распространять наследование
icacls
Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories.
This command replaces the deprecated cacls command.
Читайте также: