1. 首页
  2. 知识分享

SECURITY_ATTRIBUTES,实现最低权限总结

hmg-china 236 阅读 0 评论

SECURITY_ATTRIBUTES 实现最低权限总结

SECURITY_ATTRIBUTES 是一个 Windows API 结构,用于在创建对象时设置安全描述符并定义访问控制。它可以帮助程序员实现最小化权限原则,即以最小权限执行操作。

首先,了解安全描述符和访问控制列表(ACL)是实现最小化权限的重要基础。安全描述符是一种包含有关对象的安全信息的数据结构。 它包括一个所有者 SID、一个主要组 SID、一个控制权限(DACL)以及一个系统访问控制列表(SACL)。访问控制列表(ACL)是一组定义了一个对象所支持操作的安全描述符条目的列表。每个安全描述符条目都包含了一个 SID,定义了该 SID 的主体和它对对象所支持的操作的访问权限。

为了实现最小权限,我们可以使用 SECURITY_ATTRIBUTES 结构的 lpSecurityDescriptor 字段来设置访问控制列表。lpSecurityDescriptor 指向一个 SECURITY_DESCRIPTOR 结构,它包含一个 DACL,指定了哪些用户和组可以具有对对象的哪些操作的访问权限。

下面是 SECURITY_ATTRIBUTES 结构体的定义:

```C++

typedef struct _SECURITY_ATTRIBUTES {

DWORD nLength;

LPVOID lpSecurityDescriptor;

BOOL bInheritHandle;

} SECURITY_ATTRIBUTES, *PSECURITY_ATTRIBUTES, *LPSECURITY_ATTRIBUTES;

```

- nLength:结构体的长度,必须设置为 sizeof(SECURITY_ATTRIBUTES)。

- lpSecurityDescriptor:指向一个 SECURITY_DESCRIPTOR 的指针。可以由以下函数之一创建:InitializeSecurityDescriptor、SetSecurityDescriptorDacl、SetSecurityDescriptorGroup 或 SetSecurityDescriptorOwner。如果为 NULL,则对象的安全描述符被设置为默认的安全描述符。

- bInheritHandle:指定句柄是否可被继承。如果为 TRUE,则新对象的句柄可以被子进程继承;否则,不能被继承。

下面是一个使用 SECURITY_ATTRIBUTES 实现最小权限的示例:

```C++

#include

void main()

{

HANDLE hFile = CreateFileA("test.txt", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

if (hFile != INVALID_HANDLE_VALUE)

{

SECURITY_DESCRIPTOR sd;

InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);

SetSecurityDescriptorDacl(&sd, TRUE, NULL, FALSE);

SECURITY_ATTRIBUTES sa;

sa.nLength = sizeof(sa);

sa.lpSecurityDescriptor = &sd;

sa.bInheritHandle = FALSE;

HANDLE hFileNew = CreateFileA("test.txt", GENERIC_READ, FILE_SHARE_READ, &sa, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

if (hFileNew != INVALID_HANDLE_VALUE)

{

// 成功打开文件

CloseHandle(hFileNew);

}

CloseHandle(hFile);

}

}

```

上面代码中,我们首先创建了一个具有读取权限的文件句柄 hFile。接着,我们创建了一个 SECURITY_DESCRIPTOR,并将其作为参数传递给 SECURITY_ATTRIBUTES,这样就能保证创建的新文件句柄 hFileNew 拥有最小化的读取权限。

最后,我们需要注意,SECURITY_ATTRIBUTES 在创建对象时只能设置 DACL,而不能设置 SACL。如果需要设置 SACL,需要使用其他 API,例如 SetNamedSecurityInfo 或 SetSecurityInfo。 如果你喜欢我们三七知识分享网站的文章, 欢迎您分享或收藏知识分享网站文章 欢迎您到我们的网站逛逛喔!https://www.37seo.cn/

点赞(14) 打赏
分卷压缩教程
分卷压缩教程
常用解压教程
常用解压教程
JinriCP pandaTv 韩国主播视频学习网站
JinriCP pandaTv 韩国主播视频学习网站
最新版TikTok 抖音国际版解锁版 v33.8.4 去广告 免拔卡[免费网盘]
最新版TikTok 抖音国际版解锁版 v33.8.4 去广告 免拔卡[免费网盘]

评论列表 共有 0 条评论

暂无评论
立即
投稿
发表
评论 返回
顶部