访问控制：理解 Windows 文件和注册表权限

核心提示：本文将介绍以下内容： 访问控制列表 用户权利 文件系统权限 注册表及其权限 本文使用了以下技术：Windows Server 2008 目录 对象安全描述符理解安全描述符 string_aces标准权利和特定权利完整性标签及其用法Object_guid 和 inherit_object_guid解释安全描述符 stri

本文将介绍以下内容：

访问控制列表

用户权利

文件系统权限

注册表及其权限

本文使用了以下技术：

Windows Server 2008

目录

对象安全描述符

理解安全描述符 string_aces

标准权利和特定权利

完整性标签及其用法

Object_guid 和 inherit_object_guid

解释安全描述符 string_aces

Windows 资源保护

设置安全文件系统权限

管理注册表及其权限

总结

只要系统中有所动作，主体（可以是代表用户或服务执行操作的进程或线程）都会在对象上执行一些操作。比较常见的对象有文件、目录和注册表项。Windows 的基本安全机制包括使用可信的系统组件在执行操作之前检查权限和权利 (AccessCheck)。因此，可以通过设置权限和权利管理系统行为。因为在尚未理解权限和权利工作原理的情况下可能无法正确设置权限，所以我将首先介绍对象的安全设置及其处理方式，然后介绍如何为它们设置值。

在深入探讨技术细节之前，让我们先使用 Windows 访问控制列表 (ACL) GUI 看看 Windows Server 2008 中的系统驱动器根目录权限。如果打开 Windows 资源管理器，选择“安全”选项卡、右键单击“本地磁盘 (C:)”，并选择“属性”，我们会看到管理员具备完全控制权限。如果单击“组或用户名”下的 SYSTEM，将会看见 SYSTEM 同样具有完全控制权限。当单击“组或用户名”下的 Users 时，权限情况则比较复杂：图 1 中系统上的用户组具备 Read & Execute、List、Read 等权限。单击“高级”按钮将显示出与该用户组相关联的权限的详细视图（请参阅图 2）。