[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) kullanarak dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin.\
* Şirketinizi HackTricks'te **reklam vermek** veya HackTricks'i **PDF olarak indirmek** için [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* Özel [**NFT'lerden**](https://opensea.io/collection/the-peass-family) oluşan koleksiyonumuz olan [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)'u takip edin.
Bir Erişim Kontrol Listesi (ACL), bir nesne ve özellikleri için korumaları belirleyen sıralı bir Erişim Kontrol Girişleri (ACE'ler) kümesinden oluşur. Temel olarak, bir ACL, hangi eylemlerin hangi güvenlik prensipleri (kullanıcılar veya gruplar) tarafından bir nesne üzerinde izin verildiği veya reddedildiği belirler.
Bir dosyaya erişme süreci, sistem tarafından nesnenin güvenlik tanımının kullanıcının erişim belirteciyle karşılaştırılmasıyla gerçekleştirilir ve erişimin, ACE'ler temelinde hangi erişimlerin verileceği ve bu erişimin kapsamı belirlenir.
- **DACL:** Bir nesne için kullanıcılara ve gruplara erişim izinlerini veren veya reddeden ACE'leri içerir. Temel olarak, erişim haklarını belirleyen ana ACL'dir.
- **SACL:** Nesnelere erişimi denetlemek için kullanılan, ACE'lerin Güvenlik Olay Günlüğü'ne kaydedilecek erişim türlerini tanımladığı bir denetim listesidir. Yetkisiz erişim girişimlerini tespit etmek veya erişim sorunlarını gidermek için son derece değerli olabilir.
Her kullanıcı oturumu, kullanıcı, grup kimlikleri ve ayrıcalıklar dahil olmak üzere oturumla ilgili güvenlik bilgilerini içeren bir erişim belirteciyle ilişkilendirilir. Bu belirteç ayrıca oturumu benzersiz bir şekilde tanımlayan bir oturum SID'sini içerir.
- **Erişim Reddedildi ACE'si**: Bu ACE, belirtilen kullanıcılar veya gruplar için bir nesneye erişimi açıkça reddeder (DACL'de).
- **Erişim İzin Verilen ACE'si**: Bu ACE, belirtilen kullanıcılar veya gruplar için bir nesneye erişimi açıkça verir (DACL'de).
- **Sistem Denetimi ACE'si**: Bir Sistem Erişim Kontrol Listesi (SACL) içinde konumlandırılan bu ACE, kullanıcılar veya gruplar tarafından bir nesneye erişim denemeleri sırasında denetim günlüklerini oluşturur. Erişimin izin verilip verilmediğini ve erişimin niteliğini belgeler.
1. Kullanıcının veya grubun **Güvenlik Tanımlayıcısı (SID)** (veya grafiksel bir temsilindeki prensip adı).
2. ACE türünü (erişim reddedildi, izin verildi veya sistem denetimi) tanımlayan bir **bayrak**.
3. Çocuk nesnelerin ebeveynlerinden ACE'yi devralıp devralamayacağını belirleyen **miras bayrakları**.
4. Nesnenin verilen haklarını belirleyen bir **[erişim maskesi](https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dtyp/7a53f60e-e730-4dfe-bbe9-b21b62eb790b?redirectedfrom=MSDN)**, nesnenin verilen haklarını belirleyen 32 bitlik bir değer.
**ACE'lerin** (bir şeye kimin erişebileceğini veya erişemeyeceğini söyleyen kurallar) **DACL** adı verilen bir listede nasıl yerleştirildiği çok önemlidir. Çünkü sistem bu kurallara dayanarak erişimi verir veya reddederken, geri kalanına bakmayı bırakır.
Bu ACE'leri düzenlemenin en iyi yolu **"kanonik sıra"** olarak adlandırılır. Bu yöntem, her şeyin sorunsuz ve adil bir şekilde çalışmasını sağlamaya yardımcı olur. İşte **Windows 2000** ve **
Bir klasör gibi kaynaklara erişimi yönetirken, Erişim Kontrol Listeleri (ACL'ler) ve Erişim Kontrol Girişleri (ACE'ler) olarak bilinen listeler ve kurallar kullanırız. Bunlar, belirli verilere kimin erişebileceğini veya erişemeyeceğini tanımlar.
Diyelim ki Cost adında bir klasörünüz var ve herkesin erişmesini istiyorsunuz, ancak pazarlama ekibinin erişimini istemiyorsunuz. Kuralları doğru bir şekilde ayarlayarak, pazarlama ekibine erişimi açmadan önce pazarlama ekibine özel olarak erişimi reddedebiliriz. Bunun için pazarlama ekibine erişimi engelleme kuralını, herkese erişimi sağlayan kuralın önüne yerleştiririz.
Diyelim ki pazarlama direktörü Bob, genellikle pazarlama ekibinin erişimi olmamasına rağmen Cost klasörüne erişime ihtiyaç duyuyor. Pazarlama ekibine erişimi engelleyen kuralın önüne, Bob'a erişim sağlayan özel bir kural (ACE) ekleyebiliriz. Böylece, Bob, ekibinin genel kısıtlamasına rağmen erişim elde eder.
ACE'ler, ACL'deki bireysel kurallardır. Kullanıcıları veya grupları tanımlar, hangi erişimin izin verildiğini veya reddedildiğini belirtir ve bu kuralların alt öğelere nasıl uygulandığını (miras) belirler. İki ana ACE türü vardır:
- **Genel ACE'ler**: Bunlar genel olarak uygulanır, ya tüm nesne türlerini etkiler ya da yalnızca konteynerlar (klasörler gibi) ile konteyner olmayanlar (dosyalar gibi) arasında ayrım yapar. Örneğin, bir klasörün içeriğini görmelerine izin veren ancak içindeki dosyalara erişmelerine izin vermeyen bir kural.
- **Nesne Özel ACE'ler**: Bunlar daha kesin kontrol sağlar, belirli nesne türleri veya hatta bir nesnenin içindeki bireysel özellikler için kuralların belirlenmesine izin verir. Örneğin, bir kullanıcı dizininde, bir kullanıcının telefon numarasını güncellemesine izin veren ancak oturum açma saatlerini güncellemesine izin vermeyen bir kural olabilir.
Her ACE, kuralın kimin için geçerli olduğu (Bir Güvenlik Tanımlayıcısı veya SID kullanarak), kuralın neyi izin verdiği veya reddettiği (Erişim Maskesi kullanarak) ve diğer nesnelere nasıl miras alındığı gibi önemli bilgiler içerir.
- **Genel ACE'ler**, tüm nesne yönlerine veya bir konteyner içindeki tüm nesnelere aynı kuralın uygulandığı basit erişim kontrol senaryoları için uygundur.
- **Nesne Özel ACE'ler**, özellikle Active Directory gibi ortamlarda kullanılan daha karmaşık senaryolar için kullanılır, burada belirli bir nesnenin özelliklerine farklı şekillerde erişimi kontrol etmeniz gerekebilir.
Özetlemek gerekirse, ACL'ler ve ACE'ler, hassas bilgilere veya kaynaklara sadece doğru kişilerin veya grupların erişimine izin veren, erişim haklarını bireysel özellikler veya nesne türleri düzeyine kadar özelleştirebilen kesin erişim kontrollerini tanımlamaya yardımcı olur.
| Tür | ACE'nin türünü gösteren bir bayrak. Windows 2000 ve Windows Server 2003, tüm güvenlik sağlanabilir nesnelere eklenen üç genel ACE türünü ve Active Directory nesneleri için ortaya çıkabilen üç nesne özel ACE türünü destekler. |
| Bayraklar | Miras alma ve denetim için kontrol eden bir dizi bit bayrağı. |
| Boyut | ACE için ayrılan bellekteki bayt sayısı. |
| Erişim maskesi | Nesnenin erişim haklarına karşılık gelen bitlere sahip 32 bitlik bir değer. Bitler açık veya kapalı olarak ayarlanabilir, ancak ayarın anlamı ACE türüne bağlıdır. Örneğin, okuma izni hakkına karşılık gelen bit açık durumdaysa ve ACE türü Reddetme ise, ACE nesnenin izinlerini okuma hakkını reddeder. Aynı bit açık durumda olsa bile ACE türü İzin ise, ACE nesnenin izinlerini okuma hakkını verir. Erişim maskesinin daha fazla ayrıntısı bir sonraki tabloda bulunur. |
| SID | Bu ACE tarafından kontrol edilen bir kullanıcıyı veya grubu tanımlar. |
