安全描述符(Security Descriptors,SD)
定義
安全描述符是與安全對象的安全信息,它含有這個對象所有者的SID,以及一個訪問控制列表(ACL,Access Control List),訪問控制列表又包括了DACL(Discretionary Access Control List)和SACL(System Access Control List)以及一組控制位,用於限定安全描述符含義。
安全描述符包含與安全對象關聯的安全信息(安全對象是可以具有安全描述符的對象。比如文件、管道、進程、注冊表等)。安全描述符由
SECURITY_DESCRIPTOR結構及其關聯的安全信息組成。
應用程序不得直接操作安全描述符的內容。 此Windows API 提供用於設置和檢索對象安全描述符中安全信息的函數。 此外,還有一些函數用於創建和初始化新對象的安全描述符。
結構體如下:
安全描述符可以包括以下安全信息:
1、對象的所有者和所屬組的安全標識符(SID)
2、DACL:它里面包含零個(可以為0,之后會有詳細介紹)或多個訪問控制項(ACE,Access Control Entry),每個訪問控制項的內容描述了允許或拒絕特定賬戶對這個對象執行特定操作
3、SACL:主要是用於系統審計的,它的內容指定了當特定賬戶對這個對象執行特定操作時,記錄到系統日志中。
4、一組控制位,用於限定安全描述符或其單個成員的含義
2、DACL:它里面包含零個(可以為0,之后會有詳細介紹)或多個訪問控制項(ACE,Access Control Entry),每個訪問控制項的內容描述了允許或拒絕特定賬戶對這個對象執行特定操作
3、SACL:主要是用於系統審計的,它的內容指定了當特定賬戶對這個對象執行特定操作時,記錄到系統日志中。
4、一組控制位,用於限定安全描述符或其單個成員的含義