访问控制：理解 Windows 文件和注册表权限

核心提示： 完整性标签及其用法前面提到过，如果存在完整性标签，访问控制：理解 Windows 文件和注册表权限(7)，则它将存储在对象的 SACL 中，对象隐含具有中级完整性，只要有利于增加系统的可读性，就可以使用通用帐户的 SID 字符串标记，因此如果某个对象没有完整性标签，则它将具备中级完整性

完整性标签及其用法

前面提到过，如果存在完整性标签，则它将存储在对象的 SACL 中。对象隐含具有中级完整性，因此如果某个对象没有完整性标签，则它将具备中级完整性。同样地，如果安全令牌没有完整性标签，则它也将具备中级完整性。低级完整性标签用于标记低权利进程，例如低权利 Internet Explorer 及相关的非受信对象。“高级”和“系统”级别用于帮助将这些对象从中级和低级进程和对象中隔离出来。完整性标签如图 11 所示。

图 11 完整性标签

Object_guid 和 inherit_object_guid

Object_guid 和 inherit_object_guid 用于指定 Active Directory 中对象的安全性。不会使用它们来保护文件系统和注册表安全。ACE 字符串内 ace_type 字段中的“OA”和“OD”分别对应于对象允许和对象拒绝 ACE。在本例中，object_guid 持有正在请求权限的对象的 guid，而 inherit_object_guid 持有它所继承权限的那个对象的 guid。

ACE 结构中的 account_sid 字段代表将授予或拒绝 ACE 中所指定访问权利的安全主体。account_sid 字段可能持有某个 SID，它可能是对用户基本无用的长结构标识符，或者是某个通用帐户的简写“SID 字符串”标记。只要有利于增加系统的可读性，就可以使用通用帐户的 SID 字符串标记。通用或公认帐户及其 SID 字符串表如图 J 所示。