北原です。 今回は、Windows OSを守るセキュリティ機能の中でも重要な役割を担う、アクセス制御に関する話題を解説します。 UnixやLinuxでは「Everything is a file」と言われていますが、Windows OSではファイルやプロセスをはじめとする全てのものがオブジェクトとして管理されており、それぞれが ACL(Access Control List:アクセス制御リスト) によりアクセス制御されています。 ACLは、アカウントに与えているアクセス権限を個別に定義した ACE(Access Control Entry:アクセス制御エントリ) と呼ばれる情報のリストです。 例えば、Windows OSでファイルのプロパティを開くと、以下の図のようにACLが視覚的に確認できます。 DACLの確認例 ファイルやディレクトリなどでは、Windows OS標準の機能でこのように
はじめにWindows のアクセス権をコマンドラインで付与できる icacls コマンドというのがあります。このコマンドを使ってアクセス権を SDDL 形式(Security Descriptor Definition Language)のテキストファイルにダンプできるのですが、そのダンプを使って、リストアもできます。 大量のアクセス権を処理するときは、SDDL 形式のファイルをプログラムで作って、リストアすれば良いのでは?ということで、やってみました。 本記事に SDDL 形式の網羅的な説明は有りません。(別途お調べください。) 複雑なアクセス権の組み合わせを Read,Write,Admin と単純に3分割して、大量にアクセス権を付与したときの一連の作業記録です。 【検証環境】 Windows Server 2019 Datacenter Desktop ドメインコントローラーに昇格し
A brief summary of the various versions of the Security Descriptor Definition Language (SDDL) - The Old New Thing
A brief summary of the various versions of the Security Descriptor Definition Language (SDDL) The Security Descriptor Definition Language (SDDL) was introduced in Windows 2000 to provide a textual representation for security descriptors. Prior to its introduction, security descriptors were typically represented as hex bytes, which was not particularly readable or editable. Although the only define
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SDDLで学ぶWindowsのアクセス制御 - ラック・セキュリティごった煮ブログ
icaclsとSDDLファイルを使って大量のアクセス権を高速で付与