【windows 访问控制】二、安全描述符(Security Descriptors,SD)
安全描述符(Security Descriptors,SD)
定义
安全描述符是与安全对象的安全信息,它含有这个对象所有者的SID,以及一个访问控制列表(ACL,Access Control List),访问控制列表又包括了DACL(Discretionary Access Control List)和SACL(System Access Control List)以及一组控制位,用于限定安全描述符含义。
安全描述符包含与安全对象关联的安全信息(安全对象是可以具有安全描述符的对象。比如文件、管道、进程、注册表等)。安全描述符由SECURITY_DESCRIPTOR结构及其关联的安全信息组成。
结构体如下:
安全描述符可以包括以下安全信息:
-
-
对象的所有者和所属组的安全标识符(SID)
-
DACL:它里面包含零个(可以为0,之后会有详细介绍)或多个访问控制项(ACE,Access Control Entry),每个访问控制项的内容描述了允许或拒绝特定账户对这个对象执行特定操作。
-
SACL:主要是用于系统审计的,它的内容指定了当特定账户对这个对象执行特定操作时,记录到系统日志中。
一组控制位,用于限定安全描述符或其单个成员的含义