نوشته شده توسط یکی از ویژگی های نامرئی دیگه در ویندوز ویستا wic که نام کاملش در عنوان پست هست، قبلا برای تعیین این موضوع که آیا یک شخص میتواند آبجکتی را ویرایش کند یا خیر، از ACL ها یا اسم کاملش Access Control Lists استفاده میشد.
http://msdn.microsoft.com/en-us/library/aa374872.aspx
مثلا: اگه برای دسترسی به یک فایل تلاش میکردی و تنظیمات مجوز فایل بصورتی پیکربندی شده بود که دسترسی شما را رد میکرد، هیچ امکانی برای دسترسی به آن فایل شما نداشتید. فایلها ، فولدرها، پردازشها یا همان processes ،رشته ها یا threads ، کلیدهای رجیستری و تمام موارد مشابه دارای ACL های مخصوصی بخود بودند.
حالا آبجکتها رده بندی سلامت دارند. چهارسطح برای این رده بندی در نظر گرفته شده : یک low دو medium سه high و system . کاربرها استاندارد در سطح medium و کاربران evelated نیز در سطح high قرار میگیرند.پردازشهایی که شما اجرا میکنید رده بندی خود شما را دریافت میکنند ولی اگر فایل رده low گرفته باشه هیچ اتفاقی نخواهد افتاد. سرویسهای ویندوز بالاترین رده یعنی system رو دریافت میکنند .
آبجکتهایی که کد integrity اختصاص نیافته بعنوان موارد medium رفتار میشه تا پردازشهای پائین تر به اونها آسیب نزنند.
در مورد تغیر سطوح سلامت کاربرانی که مجوز دارند میتونند این رده بندی ها رو به سطح بالاتری ببرند. نکته اصلی در wic این هست که یک آبجکت نمیتونه توسط ماهیتی با سطح سلامتی پائینتر از خود ویرایش بشه.
طرح اولیه این بود که برای کنترل windows resource protection یا مختصر wrp (که در پست بعدی کاملا توضیحش میدم) از wic استفاده شود. این قضیه بعدا عوض شد و لیبلهای تمام فایلهای سیستم عامل حذف شدند و به همون ترتیب که قبلا گفتم رده بندی آن بصورت medium در نظر گرفته شد.
acl های پیش فرض برای این فایلها بصورتی تنظیم شده اند که فقط installer trusted به آنها دسترسی write خواهد داشت. تمام ماهیتهای دیگر از جمله admin به فایلها صرفا برای read و execute دسترسی دارند.
اگر میخواهید با سطح سلامت کار کنید و آنها رو تغییر بدید باید از فرمان جدید icacls استفاده نمائید. برای اجرای این فرمان باید مجوز تغییر لیبلهای آبجکت را در اختیار account خود قرار بدید. شما این مجوز رو میتونید در بخش user right از group policy برروی ویندوز ویستا پیدا کنید.
فرمان icacls را در استارت منو در search تایپ کنید ویندوز به شما نشان میده. برای اینکه لیبل مجوز را به اکونت خود تغییر بدید میتونید از ابزار sysinternls استفاده کنید. مثل accesschk یا process explorer.
http://www.microsoft.com/technet/sys…AccessChk.mspx
http://www.microsoft.com/technet/sys…sExplorer.mspx
این دو لینک بالا به شما اجازه دانلود این دوبرنامه را میده.
لینک زیر بقیه برنامه ها را در این زمینه معرفی کرده
http://www.microsoft.com/technet/sys…t.svl=featured
فکر کردین امنیت ویستا که گفتم شوخی هست نه لینک زیر شمارو با integrity های ویندوز ویستا آشنا میکنه.
http://msdn.microsoft.com/en-us/library/bb625964.aspx
