访问控制：理解 Windows 文件和注册表权限

核心提示： 对象安全描述符虽然安全描述符是二进制数据结构，但它需要依赖安全描述符字符串格式提供便于用户阅读的文本格式，访问控制：理解 Windows 文件和注册表权限(4)，字符串格式的安全描述符是以 null 结尾的字符串，它包含指明以下四个主要组件的令牌：所有者 (O:)、主要组 (G:)、DAC

对象安全描述符

虽然安全描述符是二进制数据结构，但它需要依赖安全描述符字符串格式提供便于用户阅读的文本格式。字符串格式的安全描述符是以 null 结尾的字符串，它包含指明以下四个主要组件的令牌：所有者 (O:)、主要组 (G:)、DACL (D:) 和 SACL (S:)，如图 4 所示。

图 4 安全描述符

安全描述符 (SID) 通过结构化提供解析信息，并包含 96 位随机信息（并有可能包含 32 位序列计数器）以作为所有者的唯一标识符。string_aces（以字符串格式表示的 ACE）是 DACL 中显式授予或拒绝权限和 SACL 中设置策略的结构。每个 string_ace 都包含在圆括号当中并采用以下结构：

　 (ace_type;ace_flags;rights;object_guid;inherit_
　 object_guid;account_sid)

只有那些正常访问相关对象所必需的权限必须存在。通常，安全描述符将省略 owner_sid 和 group_sid。如果在创建时未明确指定，那么安全描述符的所有者字段将设置为调用对象创建的主体的 SID。组字段设置为主体安全令牌的主要组。如果不需要审核对象或设置完整性标签，则不存在 SACL。

在 string_aces 中，只包含那些必要的字段（最小集合为 ace_type、权利和对象，通常为 account_sid）。一般不包含 object_guid 和 inherit_object_guid。系统将按从前到后的顺序解析 ACE，直到授予或拒绝访问权限为止。因此，ACE 的顺序很重要。“拒绝权限”应该放置在“允许权限”之前。

不包含 ACE 的 ACL 是空 DACL。因为 ACE 授予特定主体对某个对象的访问权限，所以任何主体都无法访问具有空 DACL 的对象。没有 DACL 的对象称为 NULL DACL。具有 NULL DACL 的对象没有安全性，任何人都可以完全控制这种对象。因此，请不要设置空 DACL 或 NULL DACL。