访问控制:理解 Windows 文件和注册表权限
2008-12-01 12:55:53 来源:WEB开发网核心提示: “所有者权利”的 OW 声明是 Windows Server 2008 和 Windows Vista 中新增的声明,在以前版本中,访问控制:理解 Windows 文件和注册表权限(8),对象的创建者/所有者 (CO) 具有读控制 (RC) 标准权限和对该对象的 W
“所有者权利”的 OW 声明是 Windows Server 2008 和 Windows Vista 中新增的声明。在以前版本中,对象的创建者/所有者 (CO) 具有读控制 (RC) 标准权限和对该对象的 Write_DAC (WD) 权限,以便所有者能够设置该对象的安全性。如果用户是某个组的成员并创建了大量对象,这种方法会出现问题。如果该用户离开该组,他可能仍然会拥有对这些对象的控制,因为他是这些对象的所有者,所以可以获得这些对象的 RC 和 Write_DAC 权限。对 OW 所有者的 ACE 限制可以防止向所有者隐性授予 RC/WD 权限,除非在 ACL 中向任何其它相关 ACE 的所有者 ACE 显式授予这些权限。这种方法可以抑制以前版本中的安全隐患。
解释安全描述符 string_aces
对系统驱动器根目录运行 cacls 命令的输出如下:
"D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;CI;LC;;;BU)(A;CIIO;DC;;;BU)
(A;OICIIO;GA;;;CO)"
为提高可读性对其进行解析后,结果如下:
"D:PAI
(A;OICI;FA;;;SY)
(A;OICI;FA;;;BA)
(A;OICI;0x1200a9;;;BU)(A;CI;LC;;;BU)(A;CIIO;DC;;;BU)
(A;OICIIO;GA;;;CO)"
这是一个受保护的 DACL,设置了流行文件系统的自动继承标志。受保护标志的含义是不会继承可继承的父权利;该 DACL 受到保护,不能继承父对象的权利。在本例中没有父项,因为它是根目录。
更多精彩
赞助商链接