访问控制：理解 Windows 文件和注册表权限

核心提示： 请注意：Windows 还支持针对对象的系统 ACL (SACL)，并已在许多版本中使用 SACL 设置建立了需要记录到审核日志的事件，访问控制：理解 Windows 文件和注册表权限(3)，在 Windows Server 2008 和 Windows Vista 中，SACL 已扩展至

请注意：Windows 还支持针对对象的系统 ACL (SACL)，并已在许多版本中使用 SACL 设置建立了需要记录到审核日志的事件。在 Windows Server 2008 和 Windows Vista 中，SACL 已扩展至能够携带完整性级别信息。

该完整性标签将用于建立“低级”标签，用它标记 LowRights Internet Explorer 中的 Internet Explorer 进程。“系统”和“高级”标签用于保护重要的系统资源。Windows 消息泵可以根据消息的完整性级别过滤消息。例如，中级进程不会接收低级进程发送的消息，而高级进程不会接收来自低级或中级进程的消息。

此时，完整性级别保护起到的是缓解的作用，而不是真正用于安全保护的安全屏障。在后续版本中，随着它逐渐成为真正的安全屏障，它的作用会大大加强。

与其它现代操作系统一样，Windows 依靠 DACL 进行常规访问控制决策。此处我将重点介绍 DACL。系统要决定是否允许某个主体对某个对象执行操作需要检查以下几项内容：主体的权限、主体的令牌，以及对象的安全描述符。对象的二进制安全描述符将随主体的令牌一起传递给 AccessCheck 例程。随后将准备所请求的访问掩码位向量，该向量代表访问权限检查成功所必须具备的访问权利。该向量将随主体的安全描述符一同传递给 AccessCheck 例程，然后由该例程根据所请求的访问和对象的 DACL 检查用户的安全令牌并考量主体权限（通常基于角色或成员关系，例如管理员）。

如果主体的权限满意所请求的访问，则授予访问权限。否则将按顺序检查 DACL 访问控制条目 (ACE)。一旦安全系统能够证明允许所有请求的访问组件或拒绝其中任何请求，它将相应返回成功或失败。

因此，ACE 的 DACL 列表应该按照适当的顺序排序。标准（规范）的排序应当是首先安排显式拒绝，然后是显式允许、一般（组）拒绝和组允许。如果不使用规范排序可能会导致预想不到的允许或拒绝。