Que sont les listes de contrôle d'accès Windows?

Que sont les listes de contrôle d'accès Windows et pourquoi sont-elles importantes?

J'ai trouvé ce qui suit sur cette page wiki .

Une liste de contrôle d'accès (ACL), en ce qui concerne un système de fichiers informatique, est une liste d'autorisations attachées à un objet. Une ACL spécifie quels utilisateurs ou processus système ont accès aux objets, ainsi que les opérations autorisées sur des objets donnés. Chaque entrée dans une ACL typique spécifie un sujet et une opération. Par exemple, si un fichier a une ACL qui contient (Alice, supprimer), cela donnerait à Alice l'autorisation de supprimer le fichier.

Pour répondre à votre question sur "pourquoi sont-ils importants?" si vous ne comprenez pas encore, si vous ne les avez pas, les autorisations n'existeraient pas. C'est ainsi que Windows comprend qui a certains privilèges.

Vous pouvez le regarder comme ça.

Chaque objet sur NTFS a un numéro de série (y compris les comptes d'utilisateurs, les groupes d'utilisateurs, les processus, les périphériques, etc.). La liste de contrôle d'accès conserve la trace du numéro de série pouvant accéder à un autre numéro de série et des autorisations définies. Pensez à tout ce qui a un numéro de série, avec des autorisations qui leur sont attachées.

Si vous supprimez un utilisateur nommé FRED, son numéro de série est supprimé et il est supprimé de l'ACL. En effet, le numéro de série de FRED n'est plus associé à d'autres appareils et les autorisations qu'il avait avec ces appareils sont également supprimées.

Si vous recréez un nom d'utilisateur FRED, un nouveau numéro de série lui sera attribué. L'ACL reconnaîtra cela comme un nouveau numéro. Par conséquent, il ne rétablira aucune autorisation dont disposait le compte FRED supprimé.

J'espère que cela aide à conceptualiser ce qu'est l'ACL, comment il fonctionne et pourquoi il est important.

Une liste de contrôle d'accès (ACL) a zéro ou plusieurs entrées de contrôle d'accès (ACE). De nombreux objets différents dans Windows peuvent avoir des ACL, tels que des fichiers, des périphériques, des imprimantes, des entrées de registre et d'autres choses. (Consultez WinObj de SysInternal si vous souhaitez obtenir un aperçu de tous les différents types d'objets dans "l'espace de noms" Windows - beaucoup sont internes à Windows et ne sont pas directement exposés à l'utilisateur)

Un ACE se compose de

• Un principal . Il s'agit généralement d'un utilisateur ou d'un groupe. Il peut s'agir d'un utilisateur, d'un groupe ou d'un ordinateur dans une base de données Active Directory sur un contrôleur de domaine ou d'un utilisateur local. Il existe des groupes «virtuels» tels que «Tout le monde» et «Utilisateurs authentifiés».

et

• Une ou plusieurs capacités, chaque capacité peut être définie sur Autoriser ou Refuser. Quelques exemples de capacités sont "Lecture", "Écriture", "Contenu de la liste", etc. Le refus prend la priorité sur Autoriser. La plupart des objets tels que les fichiers, etc. n'autoriseront pas l'accès ou les modifications à moins qu'une ACL "Autoriser" spécifique ne soit disponible; ainsi Deny ne doit être utilisé que dans des circonstances spéciales.

Les ACL peuvent être héritées, c'est-à-dire que les fichiers dans les répertoires de niveau inférieur peuvent hériter des ACL des répertoires de niveau supérieur.

Ils sont importants car c'est ainsi que Windows accorde et applique des privilèges aux processus. Chaque processus s'exécute en tant qu'utilisateur et si cet utilisateur "tombe sous" un ou plusieurs ACE, Windows les résout tous pour déterminer si une action spécifique est autorisée ou non.