陈皓
- 一个安全标识符(Security identifiers),其标识了该信息是哪个对象的,也就是用于记录安全对象的ID。简称为:SID。
- 一个DACL(Discretionary Access Control List),其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象,系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL,那么就是说这个对象是任何人都可以拥有完全的访问权限。
- 一个SACL(System Access Control List),其指出了在该对象上的一组存取方式(如,读、写、运行等)的存取控制权限细节的列表。
- 还有其自身的一些控制位。
#include <windows.h>
void main(void)
{
SECURITY_ATTRIBUTES sa; //
和文件有关的安全结构
SECURITY_DESCRIPTOR sd; //
声明一个
SD
BYTE aclBuffer[1024];
PACL pacl=(PACL)&aclBuffer; //
声明一个
ACL
,长度是
1024
BYTE sidBuffer[100];
PSID psid=(PSID) &sidBuffer; //
声明一个
SID
,长度是
100
DWORD sidBufferSize = 100;
char domainBuffer[80];
DWORD domainBufferSize = 80;
SID_NAME_USE snu;
HANDLE file;
//
初始化一个
SD
InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
// 初始化一个 ACL
InitializeAcl(pacl, 1024, ACL_REVISION);
// 查找一个用户 hchen ,并取该用户的 SID
LookupAccountName(0, "hchen", psid,
&sidBufferSize, domainBuffer,
&domainBufferSize, &snu);
// 设置该用户的 Access-Allowed 的 ACE ,其权限为“所有权限”
AddAccessAllowedAce
(pacl, ACL_REVISION, GENERIC_ALL, psid);
//
把
ACL
设置到
SD
中
SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);
//
把
SD
放到文件安全结构
SA
中
sa.nLength = sizeof(SECURITY_ATTRIBUTES);
sa.bInheritHandle = FALSE;
sa.lpSecurityDescriptor = &sd;
//
创建文件
file = CreateFile("c://testfile",
0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
CloseHandle(file);
}
|
还是请看例程,这个程序比较长,来源于MSDN,我做了一点点修改,并把自己的理解加在注释中,所以,请注意代码中的注释:
#include <windows.h> //使用Windows的HeapAlloc函数进行动态内存分配 typedef BOOL (WINAPI *SetSecurityDescriptorControlFnPtr)( typedef BOOL (WINAPI *AddAccessAllowedAceExFnPtr)( BOOL AddAccessRights(TCHAR *lpszFileName, TCHAR *lpszAccountName, // 声明SID变量 // 声明和LookupAccountName相关的变量(注意,全为0,要在程序中动态分配) // 和文件相关的安全描述符 SD 的变量 // 一个新的SD的变量,用于构造新的ACL(把已有的ACL和需要新加的ACL整合起来) // 和ACL 相关的变量 // 一个新的 ACL 变量 // 一个临时使用的 ACE 变量 UINT newAceIndex = 0; //新添的ACE在ACL中的位置 //API函数的返回值,假设所有的函数都返回失败。 SECURITY_INFORMATION secInfo = DACL_SECURITY_INFORMATION; // 下面的两个函数是新的API函数,仅在Windows 2000以上版本的操作系统支持。 __try { // fAPISuccess = LookupAccountName(NULL, lpszAccountName, // 以上调用API会失败,失败原因是内存不足。并把所需要的内存大小传出。 if (fAPISuccess) pUserSID = myheapalloc(cbUserSID); szDomain = (TCHAR *) myheapalloc(cbDomain * sizeof(TCHAR)); fAPISuccess = LookupAccountName(NULL, lpszAccountName, // fAPISuccess = GetFileSecurity(lpszFileName, // 以上调用API会失败,失败原因是内存不足。并把所需要的内存大小传出。 pFileSD = myheapalloc(cbFileSD); fAPISuccess = GetFileSecurity(lpszFileName, // // // if (pACL == NULL) // 如果DACL不为空,则取其信息。(大多数情况下“自关联”的DACL为空) // // // // newAceIndex = 0; if (fDaclPresent && AclInfo.AceCount) { for (CurrentAceIndex = 0; // // // // newAceIndex++; |
// if (_AddAccessAllowedAceEx) { // for (; // // // // SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0; if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits, if (oldControlBits & SE_DACL_AUTO_INHERITED) { if (controlBitsOfInterest) { // fResult = TRUE; } __finally { // return fResult;
int _tmain(int argc, TCHAR *argv[]) { if (argc < 3) { // argv[1] – 文件(目录)名
|
三、 一些相关的API函数
通过以上的示例,相信你已知道如何操作NTFS文件安全属性了,还有一些API函数需要介绍一下。
1、 如果你要加入一个Access-Denied 的ACE,你可以使用AddAccessDeniedAce函数
2、 如果你要删除一个ACE,你可以使用DeleteAce函数
3、 如果你要检查你所设置的ACL是否合法,你可以使用IsValidAcl函数,同样,对于SD的合法也有一个叫IsValidSecurityDescriptor的函数
4、 MakeAbsoluteSD和MakeSelfRelativeSD两个函数可以在两种SD的格式中进行转换。
5、 使用SetSecurityDescriptorDacl 和 SetSecurityDescriptorSacl可以方便地把ACL设置到SD中。
6、 使用GetSecurityDescriptorDacl or GetSecurityDescriptorSacl可以方便地取得SD中的ACL结构。
我们把一干和SD/ACL/ACE相关的API函数叫作Low-Level Security Descriptor Functions,其详细信息还请参看MSDN。
我的MSN是haoel@hotmail.com,专栏在http://www.csdn.net/develop/author/netauthor/haoel/欢迎大家和我交流。