、
理论和术语
在Windows NT/2K?XP下的对象,不一定是文件系统,还有其它的一些对象,如:进程、命名管道、打印机、网络共享、或是注册表等等,都可以设置用户访问权限。在Windows系统中,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD,其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”,这是包括了安全设置信息的结构体。一个安全描述符包含以下信息:
- 一个安全标识符(Security identifiers),其标识了该信息是哪个对象的,也就是用于记录安全对象的ID。简称为:SID。
-
一个DACL(Discretionary Access Control List),其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象,系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL,那么就是说这个对象是任何人都可以拥有完全的访问权限。
- 一个SACL(System Access Control List),其指出了在该对象上的一组存取方式(如,读、写、运行等)的存取控制权限细节的列表。
- 还有其自身的一些控制位。
DACL和SACL构成了整个存取控制列表Access Control List,简称ACL,ACL中的每一项,我们叫做ACE(Access Control Entry),ACL中的每一个ACE。
我们的程序不用直接维护SD这个结构,这个结构由系统维护。我们只用使用Windows 提供的相关的API函数来取得并设置SD中的信息就行了。不过这些API函数只有Windows NT/2K/XP才支持。
安全对象Securable Object是拥有SD的Windows的对象。所有的被命名的Windows的对象都是安全对象。一些没有命名的对象是安全对象,如:进程和线程,也有安全描述符SD。在对大多数的创建安全对象的操作中都需要你传递一个SD的参数,如:CreateFile和CreateProcess函数。另外,Windows还提供了一系列有关安全对象的安全信息的存取函数,以供你取得对象上的安全设置,或修改对象上的安全设置。如:GetNamedSecurityInfo, SetNamedSecurityInfo,GetSecurityInfo, SetSecurityInfo。
下图说明了,安全对象和DACL以及访问者之间的联系(来源于MSDN)。注意,DACL表中的每个ACE的顺序是有意义的,如果前面的Allow(或denied)ACE通过了,那么,系统就不会检查后面的ACE了。
系统会按照顺序依次检查所有的ACE规则,如下面的条件满足,则退出:
1、如果一个Access-Denied的ACE明显地拒绝了请求者。
2、如果某Access-Allowed的ACE明显地同意了请求者。
3、全部的ACE都检查完了,但是没有一条ACE明显地允许或是拒绝请求者,那么系统将使用默认值,拒绝请求者的访问。
更多的理论和描述,请参看MSDN。
二、 实践与例程
1、 例程一:创建一个有权限设置的目录
#include <windows.h>
void main(void)
{
SECURITY_ATTRIBUTES sa; //和文件有关的安全结构
SECURITY_DESCRIPTOR sd; //声明一个SD
BYTE aclBuffer[1024];
PACL pacl=(PACL)&aclBuffer; //声明一个ACL,长度是1024
BYTE sidBuffer[100];
PSID psid=(PSID) &sidBuffer; //声明一个SID,长度是100
DWORD sidBufferSize = 100;
char domainBuffer[80];
DWORD domainBufferSize = 80;
SID_NAME_USE snu;
HANDLE file;
//初始化一个SD
InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION); //初始化一个ACL
InitializeAcl(pacl, 1024, ACL_REVISION); //查找一个用户hchen,并取该用户的SID
LookupAccountName(0, "hchen", psid,
&sidBufferSize, domainBuffer,
&domainBufferSize, &snu); //设置该用户的Access-Allowed的ACE,其权限为“所有权限”
AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);
//把ACL设置到SD中
SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);
//把SD放到文件安全结构SA中
sa.nLength = sizeof(SECURITY_ATTRIBUTES);
sa.bInheritHandle = FALSE;
sa.lpSecurityDescriptor = &sd;
//创建文件
file = CreateFile("c:\\testfile",
0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
CloseHandle(file);
}
|
这个例子我是从网上找来的,改了改。其中使用到的关键的API函数,我都把其加粗了。从程序中我们可以看到,我们先初始化了一个SD和一个ACL,然后调用LookupAccountName取得用户的SID,然后通过这个SID,对ACL中加入一个有允许访问权限的ACE,然后再把整个ACL设置到SD中。最后,组织文件安全描述的SA结构,并调用CreateFile创建文件。如果你的操作系统是NTFS,那么,你可以看到你创建出来的文件的安全属性的样子:
这个程序旨在说明如何生成一个新的SD和ACL的用法,其有四个地方的不足和不清:
1、 对于ACL和SID的声明采用了硬编码的方式指定其长度。
2、 对于API函数,没有出错处理。
3、 没有说明如何修改已有文件或目录的安全设置。
4、 没有说明安全设置的继承性。
对于这些我将在下个例程中讲述。
2、 例程二、为目录增加一个安全设置项
在我把这个例程序例出来以前,请允许我多说一下。
1、 对于文件、目录、命令管道,我们不一定要使用GetNamedSecurityInfo和SetNamedSecurityInfo函数,我们可以使用其专用函数GetFileSecurity和SetFileSecurity函数来取得或设置文件对象的SD,以设置其访问权限。需要使用这两个函数并不容易,正如前面我们所说的,我们还需要处理SD参数,要处理SD,就需要处理DACL和ACE,以及用户的相关SID,于是,一系统列的函数就被这两个函数带出来了。
2、 对于上一个例子中的使用硬编码指定SID的处理方法是。调用LookupAccountName函数时,先把SID,Domain名的参数传为空NULL,于是LookupAccountName会返回用户的SID的长度和Domain名的长度,于是你可以根据这个长度分配内存,然后再次调用LookupAccountName函数。于是就可以达到到态分配内存的效果。对于ACL也一样。
3、 对于给文件的ACL中增加一个ACE条目,一般的做法是先取出文件上的ACL,逐条取出ACE,和现需要增加的ACE比较,如果有冲突,则删除已有的ACE,把新加的ACE添置到最后。这里的最后,应该是非继承而来的ACE的最后。关于ACL继承,NTFS中,你可以设置文件和目录是否继承于其父目录的设置。在程序中同样可以设置。
分享到:
相关推荐
以程序的方式操纵NTFS的文件权限
软件功能:通过设置NTFS文件权限达到禁止或恢复使用某文件(夹)的目的。可以用来防止文件误删误改等操作,同时也可用来防止一些未经自己允许的后台程序悄悄运行。 XP系统测试的,其他系统不知道。 做这个软件主要...
介绍作者为了探索NTFS文件系统的存储特点编写的21个WIN32工具程序;使用作者编写的WIN32工具程序,探秘NTFS文件系统的扇区存储规律。 全书分3篇,共计17章。第1章至第3章是“基础篇”,重点介绍了NTFS文件系统的...
在NTFS文件系统中,每一个文件或目录都拥有一个MFT记录,MFT记录中记录了文件或目录的基本信息,对于普通文件来说,一般拥有文件序号,文件名,创建时间,文件大小,文件属性,文件数据地址索引等基本文件信息,而一...
如何不丢失文件NTFS权限地拷贝文件 scopy 在使用scopy拷贝文件时一定需要注意目的目录是否存在同名文件,否则scopy的结果不会是你预期的结果。
文件权限及其应用 NTFS权限应用原则 NTFS文件系统 详解
第一章 NTFS介绍 7 1.1现状 7 1.2 NTFS特点 9 1.2.1优点 9 1.2.2 NTFS的不足 11 1.3 NTFS未来 12 第二章 NTFS相关概念理论 14 2.1 RAID 简介 14 2.2 NTFS文件系统分区 14 2.2.1 基本分区 14 2.2.2 动态...
NTFS文件系统可以针对不同用户和组设置各种访问权限 只有被授予权限的用户或组才能访问 文件或文件夹的属性中有【安全】选项卡 访问控制列表(ACL) 访问控制项(ACE) 设置NTFS权限 3、NTFS权限的含义 完全控制:可执行...
本程序可以锁定NTFS分区的文件或文件夹 ,使其具有防删,禁读,禁改名,隐藏等属性,当锁定禁读时还可以防止别人复制;锁定过程只是修改了NTFS文件的访问权限,因此它不会改写注册表,不创建隐藏文件夹,不改变文件...
NTFS文件系统研究NTFS文件系统研究
一片关于NTFS文件系统的论文,帮助理解NTFS文件系统~
NTFS文件系统的结构详解,这个文档里详细介绍了NTFS文件系统的各个组成结构
本程序可以锁定NTFS分区的文件或文件夹 ,使其具有防删,禁读,禁改名,隐藏等属性,当锁定禁读时还可以防止别人复制;锁定过程只是修改了NTFS文件的访问权限,因此它不会改写注册表,不创建隐藏文件夹,不改变文件...
NTFS文件系统底层挖掘 NTFS文件系统底层挖掘 NTFS文件系统底层挖掘 NTFS文件系统底层挖掘
本文档将教你如何在Linux下挂载使用NTFS文件系统。
用NTFS文件权限打造安全U盘.docx
实验七 NTFS文件系统权限实验.doc
特殊权限:“遍历文件夹”权限,“运行文件”权限,“列出文件夹”权限,“读取数据”权限,“读取属性”,“读取扩展属性”,“创建文件”权限,“写入数据”权限,“创建文件夹”权限,“附加数据”权限,“写入...
如何用NTFS文件权限打造安全U盘.docx
详细的解释了NTFS文件系统。(纯英文原版)