安全描述符(Security Descriptors,SD)
定义
安全描述符是与安全对象的安全信息,它含有这个对象所有者的SID,以及一个访问控制列表(ACL,Access Control List),访问控制列表又包括了DACL(Discretionary Access Control List)和SACL(System Access Control List)以及一组控制位,用于限定安全描述符含义。
安全描述符包含与安全对象关联的安全信息(安全对象是可以具有安全描述符的对象。比如文件、管道、进程、注册表等)。安全描述符由
SECURITY_DESCRIPTOR结构及其关联的安全信息组成。
应用程序不得直接操作安全描述符的内容。 此Windows API 提供用于设置和检索对象安全描述符中安全信息的函数。 此外,还有一些函数用于创建和初始化新对象的安全描述符。
结构体如下:
安全描述符可以包括以下安全信息:
1、对象的所有者和所属组的安全标识符(SID)
2、DACL:它里面包含零个(可以为0,之后会有详细介绍)或多个访问控制项(ACE,Access Control Entry),每个访问控制项的内容描述了允许或拒绝特定账户对这个对象执行特定操作
3、SACL:主要是用于系统审计的,它的内容指定了当特定账户对这个对象执行特定操作时,记录到系统日志中。
4、一组控制位,用于限定安全描述符或其单个成员的含义
2、DACL:它里面包含零个(可以为0,之后会有详细介绍)或多个访问控制项(ACE,Access Control Entry),每个访问控制项的内容描述了允许或拒绝特定账户对这个对象执行特定操作
3、SACL:主要是用于系统审计的,它的内容指定了当特定账户对这个对象执行特定操作时,记录到系统日志中。
4、一组控制位,用于限定安全描述符或其单个成员的含义