WEB开发网
开发学院操作系统windows 2008 访问控制:理解 Windows 文件和注册表权限 阅读

访问控制:理解 Windows 文件和注册表权限

 2008-12-01 12:55:53 来源:WEB开发网   
核心提示: 对象安全描述符虽然安全描述符是二进制数据结构,但它需要依赖安全描述符字符串格式提供便于用户阅读的文本格式,访问控制:理解 Windows 文件和注册表权限(4),字符串格式的安全描述符是以 null 结尾的字符串,它包含指明以下四个主要组件的令牌:所有者 (O:)、主要组 (G:)、DAC

对象安全描述符

虽然安全描述符是二进制数据结构,但它需要依赖安全描述符字符串格式提供便于用户阅读的文本格式。字符串格式的安全描述符是以 null 结尾的字符串,它包含指明以下四个主要组件的令牌:所有者 (O:)、主要组 (G:)、DACL (D:) 和 SACL (S:),如图 4 所示。

图 4 安全描述符

访问控制:理解 Windows 文件和注册表权限

安全描述符 (SID) 通过结构化提供解析信息,并包含 96 位随机信息(并有可能包含 32 位序列计数器)以作为所有者的唯一标识符。string_aces(以字符串格式表示的 ACE)是 DACL 中显式授予或拒绝权限和 SACL 中设置策略的结构。每个 string_ace 都包含在圆括号当中并采用以下结构:

  (ace_type;ace_flags;rights;object_guid;inherit_
  object_guid;account_sid)

只有那些正常访问相关对象所必需的权限必须存在。通常,安全描述符将省略 owner_sid 和 group_sid。如果在创建时未明确指定,那么安全描述符的所有者字段将设置为调用对象创建的主体的 SID。组字段设置为主体安全令牌的主要组。如果不需要审核对象或设置完整性标签,则不存在 SACL。

在 string_aces 中,只包含那些必要的字段(最小集合为 ace_type、权利和对象,通常为 account_sid)。一般不包含 object_guid 和 inherit_object_guid。系统将按从前到后的顺序解析 ACE,直到授予或拒绝访问权限为止。因此,ACE 的顺序很重要。“拒绝权限”应该放置在“允许权限”之前。

不包含 ACE 的 ACL 是空 DACL。因为 ACE 授予特定主体对某个对象的访问权限,所以任何主体都无法访问具有空 DACL 的对象。没有 DACL 的对象称为 NULL DACL。具有 NULL DACL 的对象没有安全性,任何人都可以完全控制这种对象。因此,请不要设置空 DACL 或 NULL DACL。

上一页  1 2 3 4 5 6 7 8 9  下一页

Tags:访问 控制 理解

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接