开发学院操作系统windows 2008 访问控制:理解 Windows 文件和注册表权限 阅读

访问控制:理解 Windows 文件和注册表权限

 2008-12-01 12:55:53 来源:WEB开发网   
核心提示: 内置管理员和系统将得到文件(来自对象继承)和目录(来自容器继承,即 CI)可继承的 File All 权利,访问控制:理解 Windows 文件和注册表权限(9),这意味着此 DACL 将递归授予根目录下所有文件和目录的 File All 权限—必须检查受保护 DACL 中的授

内置管理员和系统将得到文件(来自对象继承)和目录(来自容器继承,即 CI)可继承的 File All 权利。这意味着此 DACL 将递归授予根目录下所有文件和目录的 File All 权限—必须检查受保护 DACL 中的授权是唯一的例外,那会禁止继承。CO 将获得根目录下所有文件和目录的 Generic_All 权限(由于仅继承标记),该权限将映射为 File All。

对内置用户的授权更为有趣。第一个 string_ace 将应用到根目录及其子目录中所有的文件和目录,授予 List、Read、ReadEA、Traverse、Execute、ReadAttr、ReadControl 和 Sync 权限。第二个 string_ace 授予在根目录及其子目录中 AddSubDir 的权限(由于 IO—仅继承标志),而第三个 string_ace 授予子目录的 AddFile 权限。这与您使用 Windows 资源管理器的 ACL 图形化界面查看这些权限时看到的一样。

Windows 资源保护

从 Windows Server 2008 和 Windows Vista 开始,组件将在其清单中声明所需的安全设置,该清单将由 Microsoft 代码签名根项进行签名。该清单指定 ACL 及与文件关联的其他权限。因此,当安装某个组件时,它将自带适当的安全设置。此外,系统管理员还可以使用 Windows 资源保护 (WRP) 防止操作系统文件受到意外损坏。WRP 依赖新的系统级别实体 Trusted Installer 拥有并管理系统文件和文件夹。

在 Windows Vista 中还增加了允许普通用户安装授权组件的便利功能。“超级用户”角色将不再需要,因此将删除包含“超级用户”SID 的 ACE 实例。“超级用户”组仍然存在,但会对组件清单进行扫描并删除所有 PU 权限授予实例。

让我们看看系统目录中有哪些新权限。同时这也是阅读并理解 SDDL 的一个良机:

上一页  4 5 6 7 8 9 10  下一页

Tags:访问 控制 理解

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接