让知识连接你我
投稿赚钱
当前位置: 首页 > 平台运维 > 以程序的方式操纵NTFS的文件权限
  • 101
  • 微信分享

    扫一扫,在手机上查看

以程序的方式操纵NTFS的文件权限

2019.07.15 10:00 261 浏览 举报

  以程序的形式控制NTFS的文档管理权限

  Windows NT/2K/XP版本的操作系统都支持NTFS格式的文件系统,这是一个有安全性概念的文件系统,你能够根据Windows的资源管理器来设为对每种目录和文档的用户访问限制。这里我就要不对NTFS的安全性实现讲述了,我默认你对NTFS的文件目录的安全设置拥有了一定的了解。在这里,我将向你讲解使用Windows的API函数来控制NTFS的文档管理权限。

  一、理论和用语

  在Windows NT/2K?XP下的目标,并不一定是文件系统,都有其它的有些目标,如:线程、命名管道、打印机、网络共享、或是注册表等等,都能够设为用户访问限制。在Windows系统中,其是用一个安全性描述符(Security Descriptors)的结构来保存其管理权限的设为内容,简称为SD,其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”,这是涉及了安全设置内容的结构体。一个安全性描述符包含下面内容:

  一个安全性标识符(Security identifiers),其标识了该内容是哪个对象的,也就是适用于记录安全性目标的ID。简称为:SID。

  一个DACL(Discretionary Access Control List),其指出了准许和拒绝某用户或用户组的存取控制列表。 当一个线程还要访问安全性目标,系统就会检查DACL来决定线程的访问权。如果一个目标没有DACL,那么可能是这个目标是任何人都能够拥有完全的访问限制。

  一个SACL(System Access Control List),其指出了在该目标上的一组存取形式(如,读、写、运行等)的存取控制管理权限细节的列表。

  都有其自身的有些控制位。

  DACL和SACL构成了整个存取控制列表Access Control List,简称ACL,ACL中的每一项,大家叫做ACE(Access Control Entry),ACL中的每一个ACE。

  大家的程序不用同时维护SD这个结构,这个结构由系统异常。大家只用使用Windows 提供的相应的API函数来取得并设为SD中的内容就行了。不过那些API函数仅有Windows NT/2K/XP才支持。

  安全性目标Securable Object是拥有SD的Windows的目标。所有的被命名的Windows的目标都是安全性目标。一一些没有命名的对象是安全对象,如:进程和线程,也有安全描述符SD。在对大多数的创建安全对象的操作中都需要你传递一个SD的参数,如:CreateFile和CreateProcess函数。另外,Windows还提供了一系列有关安全对象的安全信息的存取函数,以供你取得对象上的安全设置,或修改对象上的安全设置。如:GetNamedSecurityInfo, SetNamedSecurityInfo,GetSecurityInfo, SetSecurityInfo。

  下图说明了,安全对象和DACL以及访问者之间的联系(来源于MSDN)。注意,DACL表中的每个ACE的顺序是有意义的,如果前面的Allow(或denied)ACE通过了,那么,系统就不会检查后面的ACE了。

  系统会按照顺序依次检查所有的ACE规则,如下面的条件满足,则退出:

  1、如果一个Access-Denied的ACE明显地拒绝了请求者。

  2、如果某Access-Allowed的ACE明显地同意了请求者。

  3、全部的ACE都检查完了,但是没有一条ACE明显地允许或是拒绝请求者,那么系统将使用默认值,拒绝请求者的访问。

  更多的理论和描述,请参看MSDN。

  二、实践与例程

  1、例程一:创建一个有权限设置的目录

  #include <windows.h>
  void main(void)
  {
      SECURITY_ATTRIBUTES sa;   //和文件有关的安全结构
      SECURITY_DESCRIPTOR sd;   //声明一个SD
      BYTE aclBuffer[1024];
      PACL pacl=(PACL)&aclBuffer;  //声明一个ACL,长度是1024
      BYTE sidBuffer[100];
      PSID psid=(PSID) &sidBuffer;   //声明一个SID,长度是100
      DWORD sidBufferSize = 100;
      char domainBuffer[80];
      DWORD domainBufferSize = 80;
      SID_NAME_USE snu;
      HANDLE file;
  //初始化一个SD
      InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
  //初始化一个ACL
      InitializeAcl(pacl, 1024, ACL_REVISION);
  //查找一个用户hchen,并取该用户的SID
      LookupAccountName(0, "hchen", psid,
      &sidBufferSize, domainBuffer,
      &domainBufferSize, &snu);
  //设置该用户的Access-Allowed的ACE,其权限为“所有权限”
      AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);
  //把ACL设置到SD中
      SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);
  //把SD放到文件安全结构SA中
      sa.nLength = sizeof(SECURITY_ATTRIBUTES);
      sa.bInheritHandle = FALSE;
      sa.lpSecurityDescriptor = &sd;
  //创建文件
      file = CreateFile("c:\\testfile",
      0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
      CloseHandle(file);
  }

  这个例子我是从网上找来的,改了改。其中使用到的关键的API函数,我都把其加粗了。从程序中我们可以看到,我们先初始化了一个SD和一个ACL,然后调用LookupAccountName取得用户的SID,然后通过这个SID,对ACL中加入一个有允许访问权限的ACE,然后再把整个ACL设置到SD中。最后,组织文件安全描述的SA结构,并调用CreateFile创建文件。如果你的操作系统是NTFS,那么,你可以看到你创建出来的文件的安全属性的样子:

  这个程序旨在说明如何生成一个新的SD和ACL的用法,其有四个地方的不足和不清:

  1、对于ACL和SID的声明采用了硬编码的方式指定其长度。

  2、对于API函数,没有出错处理。

  3、没有说明如何修改已有文件或目录的安全设置。

  4、没有说明安全设置的继承性。

  对于这些我将在下个例程中讲述。

  2、例程二、为目录增加一个安全设置项

  在我把这个例程序例出来以前,请允许我多说一下。

  1、对于文件、目录、命令管道,我们不一定要使用GetNamedSecurityInfo和SetNamedSecurityInfo函数,我们可以使用其专用函数GetFileSecuritySetFileSecurity函数来取得或设置文件对象的SD,以设置其访问权限。需要使用这两个函数并不容易,正如前面我们所说的,我们还需要处理SD参数,要处理SD,就需要处理DACL和ACE,以及用户的相关SID,于是,一系统列的函数就被这两个函数带出来了。

  2、对于上一个例子中的使用硬编码指定SID的处理方法是。调用LookupAccountName函数时,先把SID,Domain名的参数传为空NULL,于是LookupAccountName会返回用户的SID的长度和Domain名的长度,于是你可以根据这个长度分配内存,然后再次调用LookupAccountName函数。于是就可以达到到态分配内存的效果。对于ACL也一样。

  3、对于给文件的ACL中增加一个ACE条目,一般的做法是先取出文件上的ACL,逐条取出ACE,和现需要增加的ACE比较,如果有冲突,则删除已有的ACE,把新加的ACE添置到最后。这里的最后,应该是非继承而来的ACE的最后。关于ACL继承,NTFS中,你可以设置文件和目录是否继承于其父目录的设置。在程序中同样可以设置。


本文首次发布于开创者素材 ,转载请注明出处,谢谢合作!

相关文章推荐