天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

理解Windows文件和注册表权限

2009-2-5不详佚名

对象的二进制安全描述符将随主体的令牌一起传递给 AccessCheck 例程。随后将准备所请求的访问掩码位向量,该向量代表访问权限检查成功所必须具备的访问权利。该向量将随主体的安全描述符一同传递给 AccessCheck 例程,然后由该例程根据所请求的访问和对象的 DACL 检查用户的安全令牌并考量主体权限(通常基于角色或成员关系,例如管理员)。

  如果主体的权限满意所请求的访问,则授予访问权限。否则将按顺序检查 DACL 访问控制条目 (ACE)。一旦安全系统能够证明允许所有请求的访问组件或拒绝其中任何请求,它将相应返回成功或失败。

  因此,ACE 的 DACL 列表应该按照适当的顺序排序。标准(规范)的排序应当是首先安排显式拒绝,然后是显式允许、一般(组)拒绝和组允许。如果不使用规范排序可能会导致预想不到的允许或拒绝。    对象安全描述符

  虽然安全描述符是二进制数据结构,但它需要依赖安全描述符字符串格式提供便于用户阅读的文本格式。字符串格式的安全描述符是以 null 结尾的字符串,它包含指明以下四个主要组件的令牌:所有者 (O:)、主要组 (G:)、DACL (D:) 和 SACL (S:),如图4 所示。

 

 

\\msdnmagtst\MTPS\MSDN\issues\en\08\11\Michener - WinPermissions.1108\FIGURES\fig04a.gif

图4 安全描述符

    
    安全描述符 (SID) 通过结构化提供解析信息,并包含 96 位随机信息(并有可能包含 32 位序列计数器)以作为所有者的唯一标识符。string_aces(以字符串格式表示的 ACE)是 DACL 中显式授予或拒绝权限和 SACL 中设置策略的结构。每个 string_ace 都包含在圆括号当中并采用以下结构: 

    (ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid)


  只有那些正常访问相关对象所必需的权限必须存在。通常,安全描述符将省略 owner_sid 和 group_sid。如果在创建时未明确指定,那么安全描述符的所有者字段将设置为调用对象创建的主体的 SID。组字段设置为主体安全令牌的主要组。如果不需要审核对象或设置完整性标签,则不存在 SACL。

  在string_aces 中,只包含那些必要的字段(最小集合为 ace_type、权利和对象,通常为 account_sid)。一般不包含 object_guid 和 inherit_object_guid。系统将按从前到后的顺序解析 ACE,直到授予或拒绝访问权限为止。因此,ACE 的顺序很重要。“拒绝权限”应该放置在“允许权限”之前。

  不包含 ACE 的 ACL 是空 DACL。因为 ACE 授予特定主体对某个对象的访问权限,所以任何主体都无法访问具有空 DACL 的对象。没有 DACL 的对象称为 NULL DACL。具有 NULL DACL 的对象没有安全性,任何人都可以完全控制这种对象。因此,请不要设置空 DACL 或 NULL DACL。

  现在我们有必要看看安全描述符的实际内容。下面是 Windows Server 2008 系统驱动器根目录的安全描述符(请注意 cacls 是用于检查和设置 ACL 的早期命令行例程,现已由 icacls 代替。遗憾的是,icacls 不支持使用命令行开关输出以标准安全描述符定义语言 (SDDL) 表示的结果,在 cacls 中该开关为 /S 标志):

      C:\>cacls c:/ /s
  c:\"D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;CI;LC;;;BU)(A;CIIO;DC;;;BU)(A;OICIIO;GA;;;CO)"


    
    根据我们已经了解的有关安全描述符的知识,您可以从开头的“D:”看出尚未声明所有者关系或组成员关系,而且该描述符是 DACL。该 DACL 是受保护的:已经设置了“P”和 Windows NT 5.0 继承标记。随后是一组需要进行解释的 ace_strings。

  理解安全描述符 string_aces

9 7 3 1 2 3 4 5 6 7 4 8 :

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行