Compartir a través de


Lenguaje de definición de descriptor de seguridad para ACE condicionales

Una entrada de control de acceso (ACE) condicional permite evaluar una condición de acceso cuando se realiza una comprobación de acceso. El lenguaje de definición de descriptores de seguridad (SDDL) proporciona sintaxis para definir ACE condicionales en un formato de cadena.

El SDDL para una ACE condicional es el mismo que para cualquier ACE, con la sintaxis de la instrucción condicional anexada al final de la cadena de la ACE. Para más información, vea Lenguaje de definición de descriptores de seguridad.

El signo "#" es sinónimo de "0" en los atributos de recursos. Por ejemplo, D:AI(XA;OICI;FA;;;WD;(OctetStringType==#1#2#3##)) es equivalente y se interpreta como D:AI(XA;OICI;FA;;;WD;(OctetStringType==#01020300)).

Formato de cadena de ACE condicional

Cada ACE de una cadena de descriptor de seguridad se incluye entre paréntesis. Los campos de la ACE están en el orden siguiente y se separan mediante punto y coma (;).

TipoDeACE**;MarcasDeACE;Derechos;GUIDDeObjeto;GUIDDeObjetoHeredado;SIDDeCuenta;(ExpresiónCondicional)**

Los campos son como se describe en Cadenas de ACE, con las siguientes excepciones.

  • El campo TipoDeACE puede ser una de las cadenas siguientes.

    Tipo de cadena de ACE Constante en Sddl.h Valor de TipoDeACE
    "XA"
    SDDL_CALLBACK_ACCESS_ALLOWED
    ACCESS_ALLOWED_CALLBACK_ACE_TYPE
    "XD"
    SDDL_CALLBACK_ACCESS_DENIED
    ACCESS_DENIED_CALLBACK_ACE_TYPE
  • La cadena ACE incluye una o varias expresiones condicionales entre paréntesis al final de la cadena.

Expresiones condicionales

Una expresión condicional puede incluir cualquiera de los elementos siguientes.

Elemento de expresión Descripción
AttributeName
Comprueba si el atributo especificado tiene un valor distinto de cero.
exists AttributeName
Comprueba si el atributo especificado existe en el contexto del cliente.
AttributeName Operator Value
Devuelve el estado de la operación especificada.
ExpresiónCondicional**||**ExpresiónCondicional
Comprueba si cualquiera de las expresiones condicionales especificadas es true.
ConditionalExpression && ConditionalExpression
Comprueba si las dos expresiones condicionales especificadas son true.
!(ExpresiónCondicional)
Lo contrario de una expresión condicional.
Member_of{MatrizDeSID}
Comprueba si la matrizSID_AND_ATTRIBUTES del contexto de cliente contiene todos los identificadores de seguridad (SID) de la lista separada por comas especificada por SidArray.
Para las ACE Permitir, un SID de contexto de cliente debe tener establecido el atributo SE_GROUP_ENABLED para que se considere una coincidencia.
El caso de las ACE de denegación, un SID de contexto de cliente debe tener el atributo SE_GROUP_ENABLED o SE_GROUP_USE_FOR_DENY_ONLY establecido para que se considere una coincidencia.
La matriz matrizDeSID puede contener cadenas de SID (por ejemplo, "S-1-5-6") o alias de SID (por ejemplo, "BA"

Atributos

Un atributo representa un elemento de la matriz AUTHZ_SECURITY_ATTRIBUTES_INFORMATION en el contexto del cliente. Un nombre de atributo puede contener cualquier carácter alfanumérico y cualquiera de los caracteres ":", "/", "." y "_".

Un valor de atributo puede ser cualquiera de los tipos siguientes.

Tipo de valor Descripción
Entero
Entero de 64 bits en notación decimal o hexadecimal.
Cadena
Valor de cadena delimitado por comillas.
SID
SID(S-1-1-0) o SID(BA). Tiene que estar en el RHS de Member_of o Device_Member_of.
BLOB
# seguido de números hexadecimales. Si la longitud de los números es impar, el número se traduce a 0 para que sea par. También se traduce a 0 cualquier # que aparezca en otro lugar del valor.

Operadores

Los operadores siguientes se definen para su uso en expresiones condicionales a fin de probar los valores de los atributos. Todos son operadores binarios y se usan con el formato AttributeName Operator Value.

Operator Descripción
==
Definición convencional.
!=
Definición convencional.
<
Definición convencional.
<=
Definición convencional.
>
Definición convencional.
>=
Definición convencional.
Contiene
TRUE si el valor del atributo especificado es un superconjunto del valor especificado; de lo contrario, FALSE.
Any_of
TRUE si el valor especificado es un superconjunto del valor del atributo especificado; de lo contrario, FALSE.

Además, los operadores unarios Exists, Member_of y de negación (!) se definen como se describe en la tabla Expresiones condicionales.

El operador "Contains" debe ir precedido y seguido de espacios en blanco, y el operador "Any_of" debe ir precedido por espacios en blanco.

Prioridad de los operadores

Los operadores se evalúan en el siguiente orden de prioridad, y las operaciones de igualdad de prioridad se evalúan de izquierda a derecha.

  1. Exists, Member_of
  2. Contains, Any_of
  3. ==, !=, <, <=, >, >=
  4. !
  5. &&
  6. ||

Además, cualquier parte de una expresión condicional se puede incluir entre paréntesis. Las expresiones entre paréntesis se evalúan primero.

Valores desconocidos

Los resultados de las expresiones condicionales a veces devuelven un valor de Unknown. Por ejemplo, cualquiera de las operaciones relacionales devuelve Unknown cuando el atributo especificado no existe.

En la tabla siguiente se describen los resultados de una operación AND lógica entre dos expresiones condicionales, ExpresiónCondicional1y ExpresiónCondicional2.

ExpresiónCondicional1 ExpresiónCondicional2 ConditionalExpression1 && ConditionalExpression2
VERDADERO
VERDADERO
VERDADERO
VERDADERO
FALSO
FALSE
VERDADERO
UNKNOWN
DESCONOCIDO
FALSO
VERDADERO
FALSO
FALSO
FALSO
FALSO
FALSO
DESCONOCIDO
FALSO
DESCONOCIDO
VERDADERO
UNKNOWN
DESCONOCIDO
FALSE
FALSO
UNKNOWN
DESCONOCIDO
DESCONOCIDO

En la tabla siguiente se describen los resultados de una operación OR lógica entre dos expresiones condicionales, ExpresiónCondicional1y ExpresiónCondicional2.

ExpresiónCondicional1 ExpresiónCondicional2 ConditionalExpression1 || ConditionalExpression2
VERDADERO
VERDADERO
VERDADERO
VERDADERO
FALSE
VERDADERO
VERDADERO
DESCONOCIDO
VERDADERO
FALSE
VERDADERO
VERDADERO
FALSO
FALSO
FALSO
FALSO
UNKNOWN
DESCONOCIDO
UNKNOWN
TRUE
VERDADERO
DESCONOCIDO
FALSO
UNKNOWN
DESCONOCIDO
DESCONOCIDO
DESCONOCIDO

La negación de una expresión condicional con un valor UNKNOWN también es UNKNOWN.

Evaluación de ACE condicionales

En la tabla siguiente se describe el resultado de la comprobación de acceso de una ACE condicional en función de la evaluación final de la expresión condicional.

Tipo de ACE VERDADERO FALSE DESCONOCIDO
Permitir
Permitir
Ignore ACE
Ignore ACE
Denegar
Denegar
Ignore ACE
Denegar

Ejemplos

En los ejemplos siguientes se muestra cómo se representan las directivas de acceso especificadas con una ACE condicional definida mediante SDDL.

Directiva

Permitir ejecutar a todos si se cumplen las dos condiciones siguientes:

  • Puesto = PM
  • División = Finanzas o División = Ventas

SDDL

D:(XA; ;FX;;;S-1-1-0; (@User.Title=="PM" && (@User.Division=="Finanzas" || @User.Division ==" Ventas")))

Directiva

Permitir la ejecución si alguno de los proyectos del usuario forma intersección con los proyectos del archivo.

SDDL

D:(XA; ;FX;;;S-1-1-0; (@User.Project Any_of @Resource.Project))

Directiva

Permitir el acceso de lectura si el usuario ha iniciado sesión con una tarjeta inteligente, es un operador de copia de seguridad y se conecta desde una máquina con Bitlocker habilitado.

SDDL

D:(XA; ;FR;;;S-1-1-0; (Member_of {SID(Smartcard_SID), SID(BO)} && @Device.Bitlocker))

[MS-DTYP]: Lenguaje de descripción de descriptor de seguridad