ACLs - DACLs/SACLs/ACEs

Tumia Trickest kujenga na kutumia mifumo ya kiotomatiki inayotumia zana za jamii za juu kabisa duniani. Pata Ufikiaji Leo:

Jifunze kuhusu kudukua AWS kutoka mwanzo hadi mtaalamu na htARTE (Mtaalamu wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Orodha ya Kudhibiti Ufikiaji (ACL)

Orodha ya Kudhibiti Ufikiaji (ACL) inajumuisha seti iliyopangwa ya Vitambulisho vya Kudhibiti Ufikiaji (ACEs) ambavyo vinadhibiti ulinzi wa kitu na mali zake. Kimsingi, ACL inaamua ni vitendo vipi vinavyoruhusiwa au kupigwa marufuku kwa kitu kilichopo.

Kuna aina mbili za ACLs:

  • Orodha ya Kudhibiti Ufikiaji wa Hiari (DACL): Inabainisha ni watumiaji na vikundi vipi vinavyo au havina ufikiaji wa kitu.

  • Orodha ya Kudhibiti Ufikiaji wa Mfumo (SACL): Inasimamia ukaguzi wa jaribio la ufikiaji wa kitu.

Mchakato wa kupata faili unahusisha mfumo kuangalia maelezo ya usalama ya kitu dhidi ya tokeni ya ufikiaji wa mtumiaji ili kubaini ikiwa ufikiaji unapaswa kuruhusiwa na kiwango cha ufikiaji huo, kulingana na ACEs.

Vipengele Muhimu

  • DACL: Ina ACEs ambazo hutoa au kukataa ruhusa za ufikiaji kwa watumiaji na vikundi kwa kitu. Kimsingi ni ACL kuu inayodhibiti haki za ufikiaji.

  • SACL: Hutumika kwa ukaguzi wa ufikiaji wa vitu, ambapo ACEs hufafanua aina za ufikiaji zinazopaswa kurekodiwa kwenye Kumbukumbu ya Tukio la Usalama. Hii inaweza kuwa muhimu kwa kugundua jaribio la ufikiaji usioruhusiwa au kutatua matatizo ya ufikiaji.

Mwingiliano wa Mfumo na ACLs

Kila kikao cha mtumiaji kinaambatishwa na tokeni ya ufikiaji ambayo ina habari ya usalama inayohusiana na kikao hicho, ikiwa ni pamoja na mtumiaji, vitambulisho vya vikundi, na mamlaka. Tokeni hii pia inajumuisha SID ya kuingia ambayo inatambulisha kikao hicho kwa kipekee.

Mamlaka ya Usalama ya Ndani (LSASS) huprocess maombi ya ufikiaji wa vitu kwa kuchunguza DACL kwa ACEs ambazo zinafaa kwa mamlaka ya usalama inayojaribu ufikiaji. Ufikiaji unaruhusiwa mara moja ikiwa hakuna ACEs zinazofaa zinapatikana. Vinginevyo, LSASS inalinganisha ACEs dhidi ya SID ya mamlaka ya usalama katika tokeni ya ufikiaji ili kubaini uhalali wa ufikiaji.

Mchakato Uliohusishwa

  • ACLs: Hufafanua ruhusa za ufikiaji kupitia DACLs na sheria za ukaguzi kupitia SACLs.

  • Tokeni ya Ufikiaji: Ina habari za mtumiaji, kikundi, na mamlaka kwa kikao.

  • Uamuzi wa Ufikiaji: Hufanywa kwa kulinganisha ACEs za DACL na tokeni ya ufikiaji; SACLs hutumika kwa ukaguzi.

ACEs

Kuna aina tatu kuu za Vitambulisho vya Kudhibiti Ufikiaji (ACEs):

  • ACE ya Kukataa Ufikiaji: ACE hii inakataza wazi ufikiaji wa kitu kwa watumiaji au vikundi vilivyoorodheshwa (katika DACL).

  • ACE ya Kuruhusu Ufikiaji: ACE hii inaruhusu wazi ufikiaji wa kitu kwa watumiaji au vikundi vilivyoorodheshwa (katika DACL).

  • ACE ya Ukaguzi wa Mfumo: Iliyowekwa ndani ya Orodha ya Kudhibiti Ufikiaji wa Mfumo (SACL), ACE hii inahusika na kuzalisha magogo ya ukaguzi wakati wa jaribio la ufikiaji wa kitu na watumiaji au vikundi. Inaandika ikiwa ufikiaji uliruhusiwa au kukataliwa na asili ya ufikiaji.

Kila ACE ina vipengele vinne muhimu:

  1. Kitambulisho cha Usalama (SID) cha mtumiaji au kikundi (au jina lao la msingi katika uwakilishi wa kielelezo).

  2. Mwongozo unaotambua aina ya ACE (kukataa ufikiaji, kuruhusu, au ukaguzi wa mfumo).

  3. Vielelezo vya urithi vinavyoamua ikiwa vitu vya watoto vinaweza kurithi ACE kutoka kwa mzazi wao.

  4. Mwambaa wa ufikiaji, thamani ya biti 32 inayobainisha haki zilizopewa kitu.

Uamuzi wa ufikiaji unafanywa kwa kuchunguza kila ACE kwa mpangilio hadi:

  • ACE ya Kukataa Ufikiaji inakataza wazi haki zilizoombwa kwa mdhamini aliyeorodheshwa katika tokeni ya ufikiaji.

  • ACE za Kuruhusu Ufikiaji zinaruhusu wazi haki zote zilizoombwa kwa mdhamini katika tokeni ya ufikiaji.

  • Baada ya kuangalia ACE zote, ikiwa haki yoyote iliyotakiwa haijatolewa wazi, ufikiaji unakataliwa kwa upande wa msingi.

Mpangilio wa ACEs

Namna ACEs (sheria zinazosema ni nani anaweza au hawezi kupata kitu) zinavyowekwa kwenye orodha inayoitwa DACL ni muhimu sana. Hii ni kwa sababu mara mfumo unapotoa au kukataa ufikiaji kulingana na sheria hizi, hauendelei kutazama zaidi.

Kuna njia bora ya kuandaa ACEs hizi, na inaitwa "mpangilio wa kanoni." Mbinu hii husaidia kuhakikisha kila kitu kinatendeka kwa urahisi na kwa haki. Hapa kuna jinsi inavyofanya kazi kwa mifumo kama Windows 2000 na Windows Server 2003:

  • Kwanza, weka sheria zote zilizofanywa mahsusi kwa kipengee hiki kabla ya zile zinazotoka mahali pengine, kama folda ya mzazi.

  • Katika sheria hizo maalum, weka zile zinazosema "hapana" (kukataa) kabla ya zile zinazosema "ndiyo" (kuruhusu).

  • Kwa sheria zinazotoka mahali pengine, anza na zile kutoka kwa chanzo kilicho karibu, kama mzazi, na kisha endelea kutoka hapo. Tena, weka "hapana" kabla ya "ndiyo."

Hii inasaidia kwa njia mbili kuu:

  • Inahakikisha kwamba ikiwa kuna "hapana" maalum, inaheshimiwa, bila kujali sheria zingine za "ndiyo" zilizopo.

  • Inamruhusu mmiliki wa kitu kuwa na maamuzi ya mwisho kuhusu ni nani anaweza kuingia, kabla ya sheria kutoka kwa folda za wazazi au nyuma yake kuanza kufanya kazi.

Kwa kufanya mambo kwa njia hii, mmiliki wa faili au folda anaweza kuwa makini sana kuhusu ni nani anapata ufikiaji, kuhakikisha watu sahihi wanaweza kuingia na wale wasio sahihi hawawezi.

Kwa hivyo, hii "mpangilio wa kanoni" ni kuhusu kuhakikisha sheria za ufikiaji zinaeleweka na kufanya kazi vizuri, kuweka sheria maalum kwanza na kuandaa kila kitu kwa njia yenye akili.

Tumia Trickest kujenga na kutumia mifumo ya kiotomatiki inayotumia zana za jamii za juu kabisa duniani. Pata Ufikiaji Leo:

Mfano wa GUI

Mfano kutoka hapa

Hii ni kichupo cha usalama cha kawaida cha folda kinachoonyesha ACL, DACL na ACEs:

Tukibonyeza kitufe cha Kitaalam tutapata chaguo zaidi kama urithi:

Na ukiongeza au kuhariri Mkuu wa Usalama:

Na mwisho tuna SACL katika kichupo cha Ukaguzi:

Kuelezea Kudhibiti Upatikanaji kwa Njia Rahisi

Tunapodhibiti upatikanaji wa rasilimali, kama folda, tunatumia orodha na sheria inayoitwa Orodha za Kudhibiti Upatikanaji (ACLs) na Vitambulisho vya Kudhibiti Upatikanaji (ACEs). Hizi hufafanua ni nani anaweza au hawezi kupata data fulani.

Kukataa Upatikanaji kwa Kikundi Maalum

Fikiria una folda inayoitwa Gharama, na unataka kila mtu kuipata isipokuwa timu ya masoko. Kwa kuweka sheria sawa, tunaweza kuhakikisha kuwa timu ya masoko inakataliwa wazi kabla ya kuruhusu wengine wote. Hii hufanywa kwa kuweka sheria ya kukataa upatikanaji kwa timu ya masoko kabla ya sheria inayoruhusu upatikanaji kwa kila mtu mwingine.

Kuruhusu Upatikanaji kwa Mwanachama Maalum wa Kikundi Kilichokataliwa

Sema Bob, mkurugenzi wa masoko, anahitaji kupata folda ya Gharama, ingawa kwa ujumla timu ya masoko haipaswi kupata. Tunaweza kuongeza sheria maalum (ACE) kwa Bob ambayo inamruhusu kupata, na kuweka kabla ya sheria inayokataza upatikanaji kwa timu ya masoko. Kwa njia hii, Bob anapata upatikanaji licha ya kizuizi cha jumla kwa timu yake.

Kuelewa Vitambulisho vya Kudhibiti Upatikanaji

ACEs ni sheria binafsi katika ACL. Hizi hufafanua watumiaji au vikundi, hufafanua ni upatikanaji upi unaruhusiwa au kukataliwa, na kubainisha jinsi sheria hizi zinavyotumika kwa vitu vya chini (urithi). Kuna aina mbili kuu za ACEs:

  • ACEs Jenariki: Hizi zinafaa kwa ujumla, zikiathiri vitu vyote au kutofautisha tu kati ya vyombo (kama folda) na visivyo vyombo (kama faili). Kwa mfano, sheria inayoruhusu watumiaji kuona yaliyomo kwenye folda lakini sio kufikia faili zilizomo.

  • ACEs Maalum kwa Vitu: Hizi hutoa udhibiti sahihi zaidi, kuruhusu sheria kuwekwa kwa aina maalum za vitu au hata mali binafsi ndani ya kipengele. Kwa mfano, katika saraka ya watumiaji, sheria inaweza kuruhusu mtumiaji kusasisha nambari yake ya simu lakini sio masaa ya kuingia.

Kila ACE ina habari muhimu kama sheria inatumika kwa nani (kwa kutumia Kitambulisho cha Usalama au SID), ni upatikanaji upi unaruhusiwa au kukataliwa (kwa kutumia kifuniko cha upatikanaji), na jinsi inavyorithiwa na vitu vingine.

Tofauti Kuu Kati ya Aina za ACE

  • ACEs Jenariki zinafaa kwa hali rahisi za kudhibiti upatikanaji, ambapo sheria sawa inatumika kwa vipengele vyote vya kipengele au kwa vitu vyote ndani ya chombo.

  • ACEs Maalum kwa Vitu hutumiwa kwa hali zenye utata zaidi, hasa katika mazingira kama Active Directory, ambapo unaweza kuhitaji kudhibiti upatikanaji kwa mali maalum za kipengele tofauti.

Kwa muhtasari, ACLs na ACEs husaidia kufafanua udhibiti sahihi wa upatikanaji, kuhakikisha kuwa watu au vikundi sahihi tu wanapata habari au rasilimali nyeti, na uwezo wa kubadilisha haki za upatikanaji hadi kwenye kiwango cha mali binafsi au aina za vitu.

Mpangilio wa Kuingiza Kipengele cha Kudhibiti Upatikanaji

Uga wa ACEMaelezo

Aina

Bendera inayoonyesha aina ya ACE. Windows 2000 na Windows Server 2003 hutoa msaada kwa aina sita za ACE: Aina tatu za ACE jenariki ambazo zimeambatanishwa na vitu vyote vinavyoweza kufanyiwa usalama. Aina tatu za ACE maalum kwa vitu vinavyoweza kutokea kwa vitu vya Active Directory.

Bendera

Seti ya bendera za biti zinazodhibiti urithi na ukaguzi.

Ukubwa

Idadi ya baiti za kumbukumbu zilizotengwa kwa ACE.

Kifuniko cha upatikanaji

Thamani ya biti 32 ambazo zinahusiana na haki za upatikanaji kwa kipengele. Biti zinaweza kuwekwa au kuzimwa, lakini maana ya kuweka inategemea aina ya ACE. Kwa mfano, ikiwa biti inayohusiana na haki ya kusoma ruhusu imewashwa, na aina ya ACE ni Kukataa, ACE inakataa haki ya kusoma ruhusu ya kipengele. Ikiwa biti sawa imezimwa lakini aina ya ACE ni Ruhusu, ACE inaruhusu haki ya kusoma ruhusu ya kipengele. Maelezo zaidi ya Kifuniko cha Upatikanaji yanaonekana kwenye jedwali lifuatalo.

SID

Inatambulisha mtumiaji au kikundi ambao upatikanaji wao unadhibitiwa au kufuatiliwa na ACE hii.

Mpangilio wa Kifuniko cha Upatikanaji

Biti (Mbalimbali)MaanaMaelezo/Mfano

0 - 15

Haki za Upatikanaji Maalum kwa Kipengele

Soma data, Tekeleza, Ongeza data

16 - 22

Haki za Upatikanaji za Kawaida

Futa, Andika ACL, Andika Mmiliki

23

Inaweza kufikia ACL ya usalama

24 - 27

Imehifadhiwa

28

Jenariki Zote (Soma, Andika, Tekeleza)

Kila kitu chini

29

Tekeleza Jenariki

Vitu vyote vinavyohitajika kutekeleza programu

30

Andika Jenariki

Vitu vyote vinavyohitajika kuandika kwenye faili

31

Soma Jenariki

Vitu vyote vinavyohitajika kusoma faili

Marejeo

Jifunze kuhusu kuvamia AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Tumia Trickest kujenga na kutumia taratibu za kiotomatiki zilizowezeshwa na zana za jamii za juu zaidi ulimwenguni. Pata Upatikanaji Leo:

Last updated