快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

行使SACL考核文件操作思路分享

*

SACL(System Access Control List),以及DACL(Discretionary Access Control List)同样,是走访控制列表(ACL)的一类。行使SACL,我们可以记录体系中对特定安全对象的走访细节,如走访时间、走访类型以及走访进程等信息。本文将以文件为例,阐述该怎么样行使SACL完成对安全对象的走访考核。

DACL以及SACL

SACL(System Access Control List),以及DACL(Discretionary Access Control List)同样,是走访控制列表(ACL)的一类。ACL在Windows的走访控制中起到了无比重要的作用。我在此借用ondrej uzovic的图片来阐述ACL在Windows安全模型中的作用。

WindowsSecurityModel.png

DACL

DACL信赖人人已经很熟识了,它由多个条目组成(Access Control Entry, ACE),每一个ACE代表着某SID(Security Identifier)对于目标安全对象有着若何的权限。我们可以在一个文件上通过右键-属性-安全-高级来直观地查看其对应的DACL,以下所示。

DACL.png

DACL中的ACE可以配置为两种模式,允许模式以及阻止模式。顾名思义,允许模式的ACE就是指若SID的操作匹配了本条ACE,则运行此次走访;而SID的操作若匹配上了阻止模式的ACE,则此次走访就会被拒尽。也因为此,ACE的前后顺序很重要,体系在找到匹配的ACE以后将不会再检查后续的ACE。一般地,阻止模式的ACE将排在前面。

SACL

相比于DACL,SACL受重视的程度似乎要低很多,但实在它对于操作体系也也同样重要。根据MSDN的诠释,‘SACL可以赋予治理员记录对安全对象走访尝试的能力’。SACL以及DACL在团体上是很相似的,它一样是由ACE组成,并且每一条ACE也对应着一个SID。不同的是,SACL中的ACE并不进行权限的控制,而是对应着审计规则。是当一个主体尝试走访该安全对象时,若该主体的操作匹配了SACL中定义的规则,操作体系会生成一个事故,并对这次走访动作做出记录。根据ACE中不同的设置,操作体系可以有选择的去记录那些失败的走访尝试,或者记录成功的走访,当然也能够无论成功与否都进行记录。

可以看到,黑客网,SACL向我们提供了强盛的安全审计功能。本文将仅仅以文件体系的考核作为例子,然则SACL完全可以被用来打造一个终端入侵检测体系。

创建SACL

要使用SACL的审计功能,我们需要创建合适的SACL。我们可以通过Powershell脚本进行大规模的SACL部署,无非为了方便理解,本文照样直接在图形界面上进行相干操作。

选择安全对象

选择你想要进行审计的安全对象。例如,本文直接在桌面上确立了一个名为’TopSecret.txt’的文件。

进入考核选项卡

在’TopSecret.txt’上点击右键,依次选择属性-安全-高级,然后在弹出的界面当选择’考核’选项卡,以下所示:

audit.png添加ACE

在’考核’选项卡当选择’添加’。在弹出的’选择用户或组’中填入Everyone, 依次单击’检查名称’以及’确定’。

SetSID.png

在新出现的窗口中分别选中’成功’以及’失败’两列中的’完全控制’, 剩下的内容会被自动全选,以下。

最后在所有的窗口当选择’确定’以应用修改。如许我们就创建了一个SACL,它将考核体系中任何人对于该文件的任意操作。

关上文件体系审计功能

操作体系的文件体系审计功能是默认关闭的。为了使用SACL进行文件体系方面的审计,我们需要关上此功能。用下列步骤可以关上文件体系审计。

win+r, 运行’secpol.msc’. 

secpol.png

双击底部的’高级考核策略设置’, 然后依次双击’体系考核策略-内陆组策略对象’-'对象走访’, 在右边的窗口中双击’考核文件体系’。并在弹出的窗口中依次勾选’设置下列考核事故’、’成功’、’失败’。

audit policy.png

最后确认所有的窗口以应用更改。

查询审计效果

上述操作实现后有关SACL的设置就结束了。我们接下来可以对TopSecret.txt文件进行一些操作,例如用种种不同的软件关上,或者进行删除。操作体系会自动记录我们的操作,并生成相应的事故记录在Windows中。

我们可以通过Windows事故查看器查询这些事故。起首,我们通过win+r, 运行eventvwr.exe关上事故查看器。然后在左边选择’Windows’日记-’安全’选项卡。然后在右侧的事故列表中随便翻阅一下就能很容易地找到对应事故了。

eventviewer.png

若事故列表过于庞大,你也能够通过事故ID来更方便的查找对应事故。本例的文件体系审查对应着事故ID 4663。

我们可以双击某事故查看细节。从图中可以清晰地看到文件名,文件被走访的时间和走访的进程。

details.png

我们还可以将该事故绑定到体系的计划义务,如许当事故发生时,我们可以自动地进行一些处理,例如杀掉读取文件的进程等等。可以通过最右边的’将义务附加到此事故’按钮实现这个操作。文本用一个弹框作为例子:

prompt.png

总结

SACL向我们提供了强盛的考核功能,可以被用来记录安全对象的走访信息。除了本文举例的文件体系考核之外,行使SACL还可以审查对注册表、内查对象、体系句柄等安全对象的种种走访。希翼本文对SACL的简介可以激发读者对它的兴致,而进行更深入的研究。

*

您可能还会对下面的文章感兴趣: