访问控制:理解 Windows 文件和注册表权限
2008-12-01 12:55:53 来源:WEB开发网核心提示: 完整性标签及其用法前面提到过,如果存在完整性标签,访问控制:理解 Windows 文件和注册表权限(7),则它将存储在对象的 SACL 中,对象隐含具有中级完整性,只要有利于增加系统的可读性,就可以使用通用帐户的 SID 字符串标记,因此如果某个对象没有完整性标签,则它将具备中级完整性
完整性标签及其用法
前面提到过,如果存在完整性标签,则它将存储在对象的 SACL 中。对象隐含具有中级完整性,因此如果某个对象没有完整性标签,则它将具备中级完整性。同样地,如果安全令牌没有完整性标签,则它也将具备中级完整性。低级完整性标签用于标记低权利进程,例如低权利 Internet Explorer 及相关的非受信对象。“高级”和“系统”级别用于帮助将这些对象从中级和低级进程和对象中隔离出来。完整性标签如图 11 所示。
图 11 完整性标签
Object_guid 和 inherit_object_guid
Object_guid 和 inherit_object_guid 用于指定 Active Directory 中对象的安全性。不会使用它们来保护文件系统和注册表安全。ACE 字符串内 ace_type 字段中的“OA”和“OD”分别对应于对象允许和对象拒绝 ACE。在本例中,object_guid 持有正在请求权限的对象的 guid,而 inherit_object_guid 持有它所继承权限的那个对象的 guid。
ACE 结构中的 account_sid 字段代表将授予或拒绝 ACE 中所指定访问权利的安全主体。account_sid 字段可能持有某个 SID,它可能是对用户基本无用的长结构标识符,或者是某个通用帐户的简写“SID 字符串”标记。只要有利于增加系统的可读性,就可以使用通用帐户的 SID 字符串标记。通用或公认帐户及其 SID 字符串表如图 J 所示。
更多精彩
赞助商链接