Użyj [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), aby łatwo tworzyć i **automatyzować zadania** przy użyciu najbardziej zaawansowanych narzędzi społecznościowych na świecie.\
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
Lista kontroli dostępu (ACL) składa się z uporządkowanego zestawu wpisów kontroli dostępu (ACE), które określają zabezpieczenia obiektu i jego właściwości. W skrócie, ACL definiuje, jakie działania przez jakie podmioty bezpieczeństwa (użytkownicy lub grupy) są dozwolone lub zabronione dla danego obiektu.
Proces dostępu do pliku polega na sprawdzeniu deskryptora zabezpieczeń obiektu przez system w stosunku do tokenu dostępu użytkownika, aby określić, czy dostęp powinien zostać udzielony i zakres tego dostępu, na podstawie ACE.
- **DACL:** Zawiera ACE, które przyznają lub odmawiają uprawnienia dostępu użytkownikom i grupom dla obiektu. Jest to główny ACL, który określa prawa dostępu.
- **SACL:** Służy do audytu dostępu do obiektów, gdzie ACE definiują rodzaje dostępu, które mają być rejestrowane w dzienniku zdarzeń zabezpieczeń. Może to być niezwykle przydatne do wykrywania prób nieautoryzowanego dostępu lub rozwiązywania problemów z dostępem.
Każda sesja użytkownika jest powiązana z tokenem dostępu, który zawiera informacje związane z bezpieczeństwem dla tej sesji, w tym tożsamość użytkownika, grupy i uprawnienia. Token ten zawiera również SID logowania, który jednoznacznie identyfikuje sesję.
Lokalna służba zabezpieczeń (LSASS) przetwarza żądania dostępu do obiektów, sprawdzając DACL w poszukiwaniu ACE, które pasują do podmiotu bezpieczeństwa próbującego uzyskać dostęp. Jeśli nie zostaną znalezione odpowiednie ACE, dostęp jest natychmiast udzielany. W przeciwnym razie LSASS porównuje ACE z SID podmiotu bezpieczeństwa w tokenie dostępu, aby określić uprawnienia dostępu.
- **ACE odrzucający dostęp**: Ten ACE wyraźnie odmawia dostępu do obiektu określonym użytkownikom lub grupom (w DACL).
- **ACE zezwalający na dostęp**: Ten ACE wyraźnie przyznaje dostęp do obiektu określonym użytkownikom lub grupom (w DACL).
- **ACE audytu systemowego**: Umieszczony w Systemowej liście kontroli dostępu (SACL), ten ACE jest odpowiedzialny za generowanie dzienników audytu po próbach dostępu do obiektu przez użytkowników lub grupy. Dokumentuje, czy dostęp został zezwolony lub odmówiony oraz charakter dostępu.
1.**Identyfikator zabezpieczeń (SID)** użytkownika lub grupy (lub ich nazwa główna w reprezentacji graficznej).
2.**Flaga**, która identyfikuje typ ACE (odmowa dostępu, zezwolenie na dostęp lub audyt systemowy).
3.**Flagi dziedziczenia**, które określają, czy obiekty podrzędne mogą dziedziczyć ACE od swojego rodzica.
4.**[Maska dostępu](https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dtyp/7a53f60e-e730-4dfe-bbe9-b21b62eb790b?redirectedfrom=MSDN)**, 32-bitowa wartość określająca przyznane prawa obiektu.
Sposób, w jaki **ACE** (zasady określające, kto może mieć dostęp do czegoś) są umieszczane na liście zwanej **DACL**, jest bardzo ważny. Wynika to z faktu, że po tym, jak system udzieli lub odmówi dostępu na podstawie tych zasad, przestaje przeglądać resztę.
Istnieje najlepszy sposób organizacji tych ACE, nazywany **"kolejnością kanoniczną"**. Ta metoda pomaga upewnić się, że wszystko działa sprawnie i sprawiedliwie. Oto jak to wygląda w przypadku systemów takich jak **Windows 2000** i **Windows Server 2003**:
Podczas zarządzania dostępem do zasobów, takich jak folder, używamy list i reguł znanych jako listy kontroli dostępu (ACL) i wpisy kontroli dostępu (ACE). Określają one, kto może lub nie może uzyskać dostęp do określonych danych.
Wyobraź sobie, że masz folder o nazwie "Koszt" i chcesz, aby wszyscy mieli do niego dostęp, z wyjątkiem zespołu marketingowego. Poprzez odpowiednie skonfigurowanie reguł, możemy zapewnić, że zespół marketingowy jest wyraźnie pozbawiony dostępu przed udzieleniem dostępu wszystkim innym. Dokonuje się tego poprzez umieszczenie reguły odmowy dostępu dla zespołu marketingowego przed regułą, która zezwala na dostęp dla wszystkich.
Powiedzmy, że Bob, dyrektor marketingu, potrzebuje dostępu do folderu "Koszt", chociaż zespół marketingowy generalnie nie powinien mieć dostępu. Możemy dodać konkretną regułę (ACE) dla Boba, która przyznaje mu dostęp i umieścić ją przed regułą, która odmawia dostępu zespołowi marketingowemu. W ten sposób Bob uzyskuje dostęp pomimo ogólnego ograniczenia dla jego zespołu.
ACE to indywidualne reguły w ACL. Określają one użytkowników lub grupy, określają, jakie uprawnienia są dozwolone lub zabronione, i określają, jak te reguły są dziedziczone przez inne obiekty. Istnieją dwa główne typy ACE:
- **ACE ogólne**: Dotyczą one szeroko pojętej kontroli dostępu, mającej wpływ albo na wszystkie typy obiektów, albo tylko na kontenery (takie jak foldery) i niekontenery (takie jak pliki). Na przykład reguła, która pozwala użytkownikom zobaczyć zawartość folderu, ale nie uzyskać dostępu do plików wewnątrz niego.
- **ACE specyficzne dla obiektów**: Zapewniają one bardziej precyzyjną kontrolę, umożliwiając ustawienie reguł dla konkretnych typów obiektów lub nawet poszczególnych właściwości w obrębie obiektu. Na przykład w katalogu użytkowników reguła może pozwalać użytkownikowi na aktualizację numeru telefonu, ale nie na godziny logowania.
Każdy ACE zawiera ważne informacje, takie jak do kogo odnosi się reguła (za pomocą identyfikatora zabezpieczeń lub SID), co reguła zezwala lub odmawia (za pomocą maski dostępu) i jak jest dziedziczona przez inne obiekty.
- **ACE ogólne** są odpowiednie dla prostych scenariuszy kontroli dostępu, w których ta sama reguła dotyczy wszystkich aspektów obiektu lub wszystkich obiektów w kontenerze.
- **ACE specyficzne dla obiektów** są używane w bardziej złożonych scenariuszach, zwłaszcza w środowiskach takich jak Active Directory, gdzie może być konieczne kontrolowanie dostępu do konkretnych właściwości obiektu w inny sposób.
Podsumowując, ACL i ACE pomagają określić precyzyjne kontrole dostępu, zapewniając, że tylko odpowiednie osoby lub grupy mają dostęp do poufnych informacji lub zasobów, z możliwością dostosowania praw dostępu do poziomu poszczególnych właściwości lub typów obiektów.
| Typ | Flaga wskazująca typ wpisu kontroli dostępu. Systemy Windows 2000 i Windows Server 2003 obsługują sześć typów wpisów kontroli dostępu: trzy ogólne typy wpisów kontroli dostępu, które są dołączone do wszystkich obiektów zabezpieczalnych, oraz trzy specyficzne typy wpisów kontroli dostępu, które mogą występować dla obiektów Active Directory. |
| Flagi | Zbiór bitowych flag kontrolujących dziedziczenie i audytowanie. |
| Rozmiar | Liczba bajtów pamięci, które są przydzielane dla wpisu kontroli dostępu. |
| Maska dostępu | 32-bitowa wartość, której bity odpowiadają prawom dostępu do obiektu. Bity mogą być ustawione na wartość 1 lub 0, ale znaczenie ustawienia zależy od typu wpisu kontroli dostępu. Na przykład, jeśli bit odpowiadający prawu do odczytu uprawnień jest ustawiony na wartość 1, a typ wpisu kontroli dostępu to Odmowa, wpis kontroli dostępu odmawia prawo do odczytu uprawnień obiektu. Jeśli ten sam bit jest ustawiony na wartość 1, ale typ wpisu kontroli dostępu to Zezwolenie, wpis kontroli dostępu przyznaje prawo do odczytu uprawnień obiektu. Szczegółowe informacje na temat maski dostępu znajdują się w następnej tabeli. |
| SID | Identyfikuje użytkownika lub grupę, której dostęp jest kontrolowany lub monitorowany przez ten wpis kontroli dostępu. |
