Windows安全性-访问控制模型(待更新
一、访问控制模型是什么?
(1)基础概念
每个对象都有个安全描述符,当创建出一个对象时,其中就包含对象的安全属性 SECURITY_DESCRIPTOR可以指定,包含GENERIC_READ |GENERIC_WRITE |GENERIC_EXECUTE(读取、写入和执行)三种权限,默认是GENERIC_ALL,即完全访问权限。同时,用来描述SECURITY_DESCRIPTOR有特定的专业术语叫做安全描述符定义语言(SDLL),在创建设备安全指定安全属性(IoCreateDeviceSecure)时可在驱动的INF文件中进行传递。
(2)用法应用
设备对象的 SDDL 字符串的格式为"D:P",后跟窗体"(A;”的一个或多个表达式;Access;;;SID) " SID 值指定一个安全标识符,用于确定 Access 值应用于谁 (,例如用户或组) 。 Access 值指定 SID 允许的访问权限。 Access 和 SID 值如下所示:
以下代码可用于指定通用访问权限
GA GENERIC_ALL //包含以下的所用权限
GR GENERIC_READ
GW GENERIC_WRITE
Gx GENERIC_EXECUTE
以下代码可用于指定特定的访问权限
RC READ_CONTROL
SD DELETE
Wd WRITE_DAC
WO WRITE_OWNER