O que são ACLs do Windows?

Encontrei o seguinte nesta página wiki .

An access control list (ACL), with respect to a computer file system, is a list of permissions attached to an object. An ACL specifies which users or system processes are granted access to objects, as well as what operations are allowed on given objects. Each entry in a typical ACL specifies a subject and an operation. For instance, if a file has an ACL that contains (Alice, delete), this would give Alice permission to delete the file.

Para responder à sua pergunta sobre "por que eles são importantes?" Se você ainda não entende, se você não tiver, as permissões não existiriam. É assim que o Windows entende quem tem certos privilégios.

Você pode ver isso assim.

Todo objeto no NTFS tem um número serializado (incluindo contas de usuário, grupos de usuários, processos, dispositivos, etc.). A lista de controle de acesso controla qual número serializado pode acessar outro número serializado e quais permissões são definidas. Basta pensar em tudo que tem um número serializado, com permissões anexadas a eles.

Se você excluir um usuário chamado FRED, seu número serializado será excluído e removido da ACL. Efetivamente, o número serializado do FRED não está mais associado a outros dispositivos e as permissões que ele tinha com esses dispositivos também são removidas.

Se você recriar um nome de usuário FRED, ele receberá um novo número serializado. A ACL reconhecerá isso como um novo número. Portanto, ele não restabelecerá quaisquer permissões que a conta FRED excluída tinha.

Espero que isso ajude a conceituar o que é a ACL, como ela funciona e por que é importante.

Uma lista de controle de acesso (ACL) tem zero ou mais entradas de controle de acesso (ACEs). Muitos objetos diferentes no Windows podem ter ACLs, como arquivos, dispositivos, impressoras, entradas de registro e outras coisas. (Consulte WinObj da SysInternal se quiser obter uma visão geral sobre todos os diferentes tipos de objetos no Windows "namespace" - muitos são internos ao Windows e não são diretamente expostos ao usuário.

Uma ACE consiste em

• Um principal . Geralmente, isso é um usuário ou um grupo. Pode ser um usuário, grupo ou computador em um banco de dados do Active Directory em um controlador de domínio ou um usuário local. Existem grupos "virtuais", como "Todos" e "Usuários autenticados".

e

• Um ou mais recursos, cada recurso pode ser definido como Permitir ou Negar. Alguns exemplos de recursos são "Read", "Write", "List Contents", etc. Deny toma precedência sobre Allow. A maioria dos objetos, como arquivos, etc., não permitirá acesso ou alterações, a menos que haja uma ACL "Permitir" específica disponível; assim, Deny só deve ser usado em circunstâncias especiais.

As ACLs podem ser herdadas, ou seja, arquivos em diretórios de nível inferior podem herdar ACLs de diretórios de nível superior.

Eles são importantes porque é assim que o Windows fornece e impõe privilégios aos processos. Cada processo é executado como um usuário e, se esse usuário "cair" em uma ou mais ACEs, o Windows resolve todos eles para descobrir se uma ação específica é permitida ou não.