关于SetSecurityDescriptorDacl函数的使用

最新推荐文章于 2021-05-18 11:31:23 发布
原创 最新推荐文章于 2021-05-18 11:31:23 发布 · 8.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#descriptor #access #object #security #winapi #null

本文详细介绍了SetSecurityDescriptorDacl函数的功能及其使用方法。该函数用于设置或替换安全描述符中的DACL信息,通过调整DACL可以实现对对象访问权限的控制,包括完全开放或隐式拒绝访问。
部署运行你感兴趣的模型镜像

参考资料来源:http://msdn.microsoft.com/en-us/library/aa379583(VS.85).aspx

此函数用来设置DACL中的信息。如果一个DACL已经在security descriptor中存在,那么此DACL将被替换。

函数原型如下:

要想使用第三、四两个参数,那么参数二需要设置为TRUE;如果参数二设置为FALSE,那么参数三、四被忽略。

值得注意的是MSDN中的Remarks中有这样的描述:

There is an important difference between an empty and a nonexistent DACL.

  • When a DACL is empty, it contains no access control entries (ACEs); therefore, no access rights are explicitly granted. As a result, access to the object is implicitly denied.
  • When an object has no DACL (when the pDacl parameter is NULL), no protection is assigned to the object, and all access requests are granted. To help maintain security, restrict access by using a DACL.把参数三设置为NULL,其实相当于将object的安全级别降到了最低,所有的访问请求都将成功。

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

windows API函数库总结
Crazw365的专栏
10-30 2632
文件相关的API函数Api函数名 函数说明 适用范围 W16 W95 WNT mmioWrite 写文件 否 是 是 WriteFile 写文件 否 是 是 ExtractAssociatedIcon 从文件或相关EXE中获取图标句柄 否 是 是 ExtractIcon 从可执行文件中返回图标句柄 否 是 是 LZRead 从压缩文件中读入数据 是 是 是 GetPrivatePr
Windows的API函数参考
shen_wei的专栏
02-02 1635
Api函数函数说明 WIN16可用 WIN95可用 WINNT可用——————————————————————————————————————————————————————AbortDoc 终止一项打印作
Access Control List and Process(如何设置DACL)- -
guyun_shine的专栏
06-04 958
ACL即访问控制表,由一个ACL头和零到多个ACE(Access_control entry 访问控制实例)构成。ACL的应用平台是WindowsNT/2000/XP/2003,实际上WindowsNT3.1之后的使用NT内核的操作系统都支持这个结构。ACL标志了第三方对某一个对象的访问权限,这个对象可以是任何类的实例,当然也包括了进程(Process)对象。 1 概述每一个ACE
c语言 参数配置文件,C语言中为文件设置安全属性(WIN)
weixin_39614754的博客
05-18 440
#include#include#include//使用Windows的HeapAlloc函数进行动态内存分配#definemyheapalloc(x)(HeapAlloc(GetProcessHeap(),HEAP_ZERO_MEMORY,x))#definemyheapfree(x)(HeapFree(GetProcessHeap(),0,x))typedefBOOL...
win平台多用户访问共享内存、互斥锁
落羽的专栏
12-07 2526
文章目录概述解决方案 概述 在win平台下,如果要多进程共享访问同一把互斥,则使用有名CreateMutex或者有名CreateFileMapping。 例如: HANDLE mutex = CreateMutexA(NULL, false, "MyMutexName"); 使用上面的代码在同一个用户、同一个session下是没有问题的,但是以不同用户或者同一用户不同session时(比如在w...
Access Control List and Process(如何设置DACL)
花差花差
08-19 3961
ACL即访问控制表,由一个ACL头和零到多个ACE(Access_control entry 访问控制实例)构成。  ACL的应用平台是WindowsNT/2000/XP/2003,实际上WindowsNT3.1之后的使用NT内核的操作系统都支持这个结构。ACL标志了第三方对某一个对象的访问权限,这个对象可以是任何类的实例,当然也包括了进程(Process)对象。1??????? 概述
以程序的方式操纵NTFS的文件权限
Bug 无处不在!
04-04 883
以程序的方式操纵NTFS的文件权限陈皓 Windows NT/2K/XP版本的操作系统都支持NTFS格式的文件系统,这是一个有安全性质的文件系统,你可以通过Windows的资源管理器来设置对每个目录和文件的用户访问权限。这里我就不对NTFS的安全性进行讲述了,我默认你对NTFS的文件目录的安全设置有了一定的了解。在这里,我将向你介绍使用Windows的API函数来操纵NTFS的文件权限
C++函数安全解析与使用指南
### C++ 函数安全解析与使用指南 #### 1. 函数概述 在 C++ 编程中,有许多重要的函数用于不同的操作,如路径组合、安全令牌查询、客户端模拟、安全描述符设置等。这些函数在 Windows 环境下有着广泛的应用,但同时...
【设备访问控制秘籍】:使用SetUpDi系列函数实现安全与权限管理
SetUpDi系列函数是Windows设备安装和管理的核心API,本文首先概述了这些函数的应用场景和理论基础,随后深入探讨了它们在权限控制中的具体应用,包括安全访问模型和访问控制策略的实现。文章还提供了实践操作指南,...
D:\QtProject\FaceLogin\main.cpp:85: error: C2660: “QSharedMemory::setNativeKey”: 函数不接受 2 个参数 D:\QtProject\FaceLogin\main.cpp(85): error C2660: “QSharedMemory::setNativeKey”: 函数不接受 2 个参数 D:\Qt\5.15.2\msvc2019_64\include\QtCore\qsharedmemory.h(103): note: 参见“QSharedMemory::setNativeKey”的声明
最新发布
06-24
我们遇到了一个编译错误,提示`QSharedMemory::setNativeKey`函数不接受2个参数。在Qt的文档中,`setNativeKey`函数有两个重载版本:1.`voidsetNativeKey(constQString&key)`2.`voidsetNativeKey(constchar*key)`...
为文件添加everyone权限
yu_sn0w的博客
04-05 2120
SECURITY_DESCRIPTOR sd = {0}; if (InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION)) { if (SetSecurityDescriptorDacl(&sd, TRUE, NULL, FALSE)) { SetFileSecurityW(File, DACL_SECURITY_
Windows 设置注册表权限
攻城狮的物联网基地
08-26 1438
方法一: bool SetRegSecurity(HKEY hKey, DWORD AccessMask) {  //AccessMask: KEY_ALL_ACCESS|KEY_READ  SID_IDENTIFIER_AUTHORITY sia = SECURITY_NT_AUTHORITY;  PSID pAdministratorsSid = NULL;  SECURITY_DESCR...
以程序的方式操纵NTFS的文件权限(一)
Lee的专栏
09-08 1061
、             理论和术语 在Windows NT/2K?XP下的对象,不一定是文件系统,还有其它的一些对象,如:进程、命名管道、打印机、网络共享、或是注册表等等,都可以设置用户访问权限。在Windows系统中,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD,其在Windows SDK中的结构名是“SECURITY_DE
第四章 命名管道
zhaofuguang的专栏
10-18 1879
“命名管道”(Named Pipes)是一种简单的进程间通信(IPC)机制,Windows NT,Windows 2000、Windows 95以及Windows 98(但不包括Windows CE)均支持。命名管道可在同一台计算机的不同进程之间,或在跨越一个网络的不同计算机的不同进程之间,支持可靠的、单向或双向的数据通信。用命名管道来设计应用程序实际非常简单,并不需要事先深入掌握基层网络传送协议
PHP服务器端通过命名管道与C/C++程序通信
码农成长日记
02-09 7703
在这几天的工作过程中,需要实现PHP在服务器端能与其他程序通信。和老何俩人研究了半天,终于大致弄出了一个用WINDOWS的命名管道通信的方法。 有几点需要注意的: PHP服务器端我们每次都是重新挂接命名管道。(这样写,PHP端代码量极其少,而且也很方便。) 那么我们用C/C++写的命名管道服务器则需要每次通信都创建一次管道(方法很恶心,但是暂时能实现,而且对效率要求不是那么
error LNK2001: 无法解析的外部符号 __imp__RegEnumKeyExA@32
weixin_33795833的博客
12-23 497
错误: error LNK2001: 无法解析的外部符号 __imp__OpenProcessToken@12 error LNK2001: 无法解析的外部符号 __imp__LookupPrivilegeValueA@12 error LNK2001: 无法解析的外部符号 __imp__AdjustTokenPrivileges@24 error LNK2001: 无法解析的外部...
spring security 登录、权限管理配置
热门推荐
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
c++修改文件(夹)的用户访问权限程序代码
大方的专栏
04-23 8028
http://www.cppblog.com/wrhwww/archive/2011/08/23/154117.html c++修改文件(夹)的用户访问权限程序代码 一般Windows下的系统文件(夹)只让受限帐户读取而不让写入和修改。如果要开启写操作权限就需要手动修改文件(夹)的用户帐户安全权限(这操作当然要在管理员帐户下执行).以下用程序封装了一下该操作:   先来个API版本:
如果我想用UAC使用的桌面完成呢
05-02
<think>嗯,用户的问题是关于如何在C++中使用UAC的安全桌面来运行进程并隔离其他进程,实现结束后切换回主桌面。我需要结合之前的回答和用户提供的引用来给出详细的步骤。首先,我需要确认用户的需求,他们想要类似UAC的体验,即在安全桌面上运行一个进程,其他进程不能同时运行在该桌面上,且用户不能切换回来直到进程结束。 用户提供的引用中提到了进程终止的几种方式,特别是主线程返回时正确清理资源的重要性,这提示我在实现时需要确保进程正确退出,避免资源泄漏。另外,引用2和4提到了管理员权限和UAC虚拟化的问题,说明程序可能需要以管理员权限运行,并且需要在清单文件中声明requireAdministrator。引用3和4提到了如何绕过UAC或以管理员身份启动程序,这可能与权限提升有关,但用户的需求是使用UAC的安全桌面,所以重点应放在桌面切换和进程隔离上。 接下来,我需要回顾之前的回答,确保步骤正确。之前的回答提到了创建安全桌面、启动进程、锁定交互、监控进程和恢复桌面。现在用户可能希望更详细的步骤,或者针对引用中的内容进行补充。 需要注意的是,用户特别提到要隔离其他进程,确保只有目标进程在安全桌面上运行。这可能涉及到桌面访问权限的设置,比如使用CreateDesktop时的安全属性,限制其他进程的访问。此外,如何防止其他进程在安全桌面上创建窗口,可能需要设置桌面的安全性,比如DACL(自主访问控制列表)。 引用1中提到,进程终止最好通过主线程返回,因此在启动目标进程时,应确保其正常退出,而不是强制终止。监控进程时使用WaitForSingleObject是正确的,但需要关闭句柄以避免资源泄漏。 管理员权限的问题,用户之前的回答已经提到需要清单文件声明requireAdministrator,引用2和4也支持这一点,所以需要强调清单文件的配置。 另外,引用3提到绕过UAC的方法,但用户的需求是使用UAC的安全桌面,所以不需要绕过,而是正确请求权限。可能需要解释如何通过清单文件正确获取管理员权限,避免UAC虚拟化带来的问题,如文件系统和注册表重定向。 现在需要整合这些信息,给出详细的实现步骤,包括创建安全桌面的安全描述符,设置进程的桌面,锁定用户输入,监控进程,恢复桌面,并处理可能的错误。同时,需要提到如何配置清单文件,确保程序以管理员权限运行,并处理UAC虚拟化。 可能的问题包括:如何设置安全桌面的DACL,防止其他进程访问;如何确保CreateProcess在指定桌面上正确运行;如何处理用户切换桌面的尝试,比如禁用Alt+Tab等组合键;以及如何正确清理资源,避免句柄泄漏。 需要确保代码示例中包含了错误处理,比如检查CreateDesktop和CreateProcess的返回值,使用GetLastError进行诊断。此外,在恢复桌面时,需要切换回原始桌面,并关闭安全桌面的句柄。 最后,相关问题部分需要根据引用和实现步骤生成,比如如何设置桌面权限,如何处理UAC虚拟化,如何监控进程状态等。</think>根据Windows安全桌面实现原理和UAC机制,以下是使用C++实现进程隔离运行的完整技术方案: ### 一、核心实现原理 1. 使用`CreateDesktop`创建隔离桌面对象 2. 通过`STARTUPINFO`指定新进程的桌面环境 3. 配合`SwitchDesktop`实现桌面切换锁定 4. 使用安全描述符(Security Descriptor)控制桌面访问权限[^1] ### 二、分步实现方案 #### 1. 创建安全桌面(带访问控制) ```cpp SECURITY_ATTRIBUTES sa; SECURITY_DESCRIPTOR sd; InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION); SetSecurityDescriptorDacl(&sd, TRUE, nullptr, FALSE); // 空DACL禁止所有访问 sa.nLength = sizeof(sa); sa.lpSecurityDescriptor = &sd; sa.bInheritHandle = FALSE; HDESK hSecureDesktop = CreateDesktopW( L"UAC_Desktop", nullptr, nullptr, 0, DESKTOP_CREATEMENU | DESKTOP_CREATEWINDOW | DESKTOP_SWITCHDESKTOP, &sa); ``` #### 2. 配置进程启动参数 ```cpp STARTUPINFOW si = { sizeof(si) }; PROCESS_INFORMATION pi; si.lpDesktop = L"UAC_Desktop"; // 关键隔离参数 si.dwFlags = STARTF_USESHOWWINDOW; si.wShowWindow = SW_SHOW; ``` #### 3. 创建隔离进程 ```cpp WCHAR cmdLine[] = L"notepad.exe"; if (!CreateProcessW( nullptr, cmdLine, nullptr, nullptr, FALSE, CREATE_NEW_PROCESS_GROUP | CREATE_UNICODE_ENVIRONMENT, nullptr, nullptr, &si, &pi)) { // 错误处理 CloseDesktop(hSecureDesktop); return GetLastError(); } ``` #### 4. 锁定桌面交互 ```cpp // 切换至安全桌面 SwitchDesktop(hSecureDesktop); // 禁用组合键切换 BOOL bParam = TRUE; SystemParametersInfoW(SPI_SETSCREENSAVERRUNNING, TRUE, &bParam, 0); // 隐藏原始桌面窗口 EnumWindows([](HWND hwnd, LPARAM lParam) -> BOOL { DWORD pid; GetWindowThreadProcessId(hwnd, &pid); if (pid == GetCurrentProcessId()) ShowWindow(hwnd, SW_HIDE); return TRUE; }, 0); ``` #### 5. 进程监控与清理 ```cpp WaitForSingleObject(pi.hProcess, INFINITE); // 恢复原始桌面 SwitchDesktop(GetThreadDesktop(GetCurrentThreadId())); SystemParametersInfoW(SPI_SETSCREENSAVERRUNNING, FALSE, &bParam, 0); // 清理资源 CloseHandle(pi.hProcess); CloseHandle(pi.hThread); CloseDesktop(hSecureDesktop); ``` ### 三、关键安全增强措施 1. **权限声明**:在清单文件中添加: ```xml <requestedExecutionLevel level="requireAdministrator" uiAccess="false"/> ``` 2. **输入隔离**:使用`BlockInput`函数阻止原始桌面操作 ```cpp BlockInput(TRUE); // 启用输入阻断 // ...进程运行期间... BlockInput(FALSE); // 恢复输入 ``` 3. **窗口站隔离**:创建独立窗口站增强隔离 ```cpp HWINSTA hWinSta = CreateWindowStationW(...); SetProcessWindowStation(hWinSta); ``` ### 四、UAC虚拟化处理 1. **文件系统重定向**:禁用虚拟化存储 ```cpp typedef BOOL(WINAPI* Wow64DisableWow64FsRedirectionFunc)(PVOID* OldValue); auto pfnDisable = reinterpret_cast<Wow64DisableWow64FsRedirectionFunc>( GetProcAddress(GetModuleHandleW(L"kernel32"), "Wow64DisableWow64FsRedirection")); PVOID oldValue; if (pfnDisable) pfnDisable(&oldValue); ``` 2. **注册表虚拟化**:声明`requestedExecutionLevel`后自动禁用 ### 五、完整工作流程 ```mermaid graph TD A[创建安全桌面] --> B[配置进程参数] B --> C[创建隔离进程] C --> D[锁定桌面输入] D --> E[监控进程状态] E --> F{进程退出?} F -->|是| G[恢复原始桌面] F -->|否| E G --> H[清理资源] ``` ### 六、错误处理建议 1. 检查所有API返回值 2. 使用`GetLastError()`获取错误代码 3. 实现桌面恢复fallback机制: ```cpp HDESK hOriginal = OpenInputDesktop(0, FALSE, GENERIC_ALL); if (!SwitchDesktop(hSecureDesktop)) { SwitchDesktop(hOriginal); // 恢复保证 } ``` --相关问题--: 1. 如何防止安全桌面被恶意进程注入? 2. Windows桌面对象DACL如何配置实现访问控制? 3. 如何处理安全桌面与主桌面之间的剪贴板隔离? 4. 如何检测当前进程是否运行在安全桌面环境? 5. Windows窗口站(Window Station)与桌面(Desktop)的安全关系是什么? [^1]: Windows安全桌面访问控制机制 [^2]: UAC虚拟化与权限管理规范 [^3]: Windows进程隔离最佳实践
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值