Create a DACL

最新推荐文章于 2020-06-23 12:03:45 发布
原创 最新推荐文章于 2020-06-23 12:03:45 发布 · 844 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#attributes #security #descriptor #structure #function #access

本文介绍如何使用SDDL创建适当的应用程序DACL,通过示例代码展示了如何为不同用户组设置访问权限,包括拒绝访客和匿名登录用户的访问,允许认证用户读写执行权限,并赋予管理员完全控制权。
Creating a DACL

Creating a proper discretionary access control list (DACL) is a necessary and important part of application development. Because a NULL DACL permits all types of access to all users, do not use NULL DACLs.

 

The following example shows how to properly create a DACL. The example contains a function, CreateMyDACL, that uses the security descriptor definition language (SDDL) to define the granted and denied access control in a DACL. To provide different access for your application's objects, modify the CreateMyDACL function as needed.

 

In the example:

  1. The main function passes an address of a SECURITY_ATTRIBUTES structure to the CreateMyDACL function.
  2. The CreateMyDACL function uses SDDL strings to:

     

    • Deny access to guest and anonymous logon users.
    • Allow read/write/execute access to authenticated users.
    • Allow full control to administrators.
    For more information about the SDDL string formats, see Security Descriptor String Format.
  3. The CreateMyDACL function calls the ConvertStringSecurityDescriptorToSecurityDescriptor function to convert the SDDL strings to a security descriptor. The security descriptor is pointed to by the lpSecurityDescriptor member of the SECURITY_ATTRIBUTES structure. CreateMyDACL sends the return value from ConvertStringSecurityDescriptorToSecurityDescriptor to the main function.
  4. The main function uses the updated SECURITY_ATTRIBUTES structure to specify the DACL for a new folder that is created by the CreateDirectory function.
  5. When the main function is finished using the SECURITY_ATTRIBUTES structure, the main function frees the memory allocated for the lpSecurityDescriptor member by calling the LocalFree function.

Note  To successfully compile SDDL functions such as ConvertStringSecurityDescriptorToSecurityDescriptor, you must define the _WIN32_WINNT constant as 0x0500 or greater.

 

Windows NT:  SDDL is not supported.
Copy Code 
#define _WIN32_WINNT 0x0500

#include <windows.h>
#include <sddl.h>
#include <stdio.h>

BOOL CreateMyDACL(SECURITY_ATTRIBUTES *);

void main()
{
     SECURITY_ATTRIBUTES  sa;
      
     sa.nLength = sizeof(SECURITY_ATTRIBUTES);
     sa.bInheritHandle = FALSE;  

     // Call function to set the DACL. The DACL
     // is set in the SECURITY_ATTRIBUTES 
     // lpSecurityDescriptor member.
     if (!CreateMyDACL(&sa))
     {
         // Error encountered; generate message and exit.
         printf("Failed CreateMyDACL/n");
         exit(1);
     }

     // Use the updated SECURITY_ATTRIBUTES to specify
     // security attributes for securable objects.
     // This example uses security attributes during
     // creation of a new directory.
     if (0 == CreateDirectory(TEXT("C://MyFolder"), &sa))
     {
         // Error encountered; generate message and exit.
         printf("Failed CreateDirectory/n");
         exit(1);
     }

     // Free the memory allocated for the SECURITY_DESCRIPTOR.
     if (NULL != LocalFree(sa.lpSecurityDescriptor))
     {
         // Error encountered; generate message and exit.
         printf("Failed LocalFree/n");
         exit(1);
     }
}


// CreateMyDACL.
//    Create a security descriptor that contains the DACL 
//    you want.
//    This function uses SDDL to make Deny and Allow ACEs.
//
// Parameter:
//    SECURITY_ATTRIBUTES * pSA
//    Pointer to a SECURITY_ATTRIBUTES structure. It is your
//    responsibility to properly initialize the 
//    structure and to free the structure's 
//    lpSecurityDescriptor member when you have
//    finished using it. To free the structure's 
//    lpSecurityDescriptor member, call the 
//    LocalFree function.
// 
// Return value:
//    FALSE if the address to the structure is NULL. 
//    Otherwise, this function returns the value from the
//    ConvertStringSecurityDescriptorToSecurityDescriptor 
//    function.
BOOL CreateMyDACL(SECURITY_ATTRIBUTES * pSA)
{
     // Define the SDDL for the DACL. This example sets 
     // the following access:
     //     Built-in guests are denied all access.
     //     Anonymous logon is denied all access.
     //     Authenticated users are allowed 
     //     read/write/execute access.
     //     Administrators are allowed full control.
     // Modify these values as needed to generate the proper
     // DACL for your application. 
     TCHAR * szSD = TEXT("D:")       // Discretionary ACL
        TEXT("(D;OICI;GA;;;BG)")     // Deny access to 
                                     // built-in guests
        TEXT("(D;OICI;GA;;;AN)")     // Deny access to 
                                     // anonymous logon
        TEXT("(A;OICI;GRGWGX;;;AU)") // Allow 
                                     // read/write/execute 
                                     // to authenticated 
                                     // users
        TEXT("(A;OICI;GA;;;BA)");    // Allow full control 
                                     // to administrators

    if (NULL == pSA)
        return FALSE;

     return ConvertStringSecurityDescriptorToSecurityDescriptor(
                szSD,
                SDDL_REVISION_1,
                &(pSA->lpSecurityDescriptor),
                NULL);
}
 
cshun2005
关注
Windows多个session下不同用户使用Global命名空间的Mutex
tzxx的专栏
05-09 5428
Windows系统中可以同时登陆多个用户,各个用户在不同的session中。对于windows 7来说,可以通过切换用户的方式,实现多个用户的同时登陆。对于windows 2012等服务器操作系统来说,多个用户还可以使用远程桌面同时对系统进行操作。在多个session上运行的程序可能会使用到同一份资源(文件,注册表等),此时对于资源的访问也会需要同步控制。 笔者在尝试使用Mutex来进行同步控制
低权限IE和高权限进程通过管道通信时的权限问题
demoscene的专栏
04-28 736
BOOL CreatePipeSecurity(PSECURITY_ATTRIBUTES *ppSa) { BOOL bSuccess = TRUE; DWORD dwError = ERROR_SUCCESS; PSECURITY_DESCRIPTOR pSd = NULL; PSECURITY_ATTRIBUTES pSa = NULL; PCWSTR szDDL = L
CreateMyDACL【msdn】
05-28 427
Create blog
The_Wall的博客
06-23 232
blog&logThis is my first blog2020/06/23A good deal This is my first blog and maybe , i can log my whatever there. and no one will find what i am doing perhaps. 2020/06/23 The new option i have , the new challenge i face. this.out.myself(); i feel i
创建(DACL)自由存取控制的相关样例
weixin_30257433的博客
07-21 196
 在例子中: main函数传递 结构的地址给 CreateMyDACL 函数 CreateMyDACL 函数使用 SDDL 字符串设置以下控制: 。拒绝guest和匿名登录用户的访问。 。允许验证用户的读、写、执行访问 。允许administrators执行所有的控制 更多SDDL字符串相关的信息,可以参考安全...
Modifying the DACL for a Service
小发猫
06-07 1410
Modifying the DACL for a ServiceAn application can create or modify the DACL associated with a Service object in order to control access. To retrieve the DACL associated with a service object, use the
error:error C2065: 'ConvertStringSecurityDescriptorToSecurityDescriptor' : undeclared identifier
勿忘初心,安得始终
07-28 1268
1、包含了头文件Sddl.h,也调用了静态库Advapi32.lib,可是还是出问题。
VS与Win7共舞:系统服务的Session 0隔离
highyyy的专栏
01-12 5258
<br /><br /> 隔离,是为了更好的保护。但是,众所周知的,隔离也会给我们的生活带来一些不便。在Windows 7中,操作系统服务的Session 0隔离,阻断了系统服务和用户桌面进程之间进行交互和通信的桥梁。通过Session 0隔离,虽然可以让操作系统更加安全,但是也给系统服务带来了不少兼容性的问题。<br />        系统服务在Windows 7上遇到的问题<br />  操作系统服务是Windows操作系统中一套完整的机制。服务不同于普通用户程序之处在于,你可以配置服务,让它们从系统
Windows安全描述符SECURITY_DESCRIPTOR阅读注释
u012786754的专栏
12-06 7030
安全对象Securable Object是拥有SD的Windows的对象。 所有的被命名的Windows的对象都是安全对象。一些没有命名的对象是安全对象,如:进程和线程,也有安全描述符SD。安全对象Securable Object是拥有SD的Windows的对象。 在 Windows系统中,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD
liyongde113_EduPhysics-Lab-App_30012_1766464654037.zip
12-23
liyongde113_EduPhysics-Lab-App_30012_1766464654037.zip
Android中获取应用程序列表信息
12-23
源码来自:https://pan.quark.cn/s/a3a3fbe70177 AppBrowser(Application属性查看器,不需要越狱! ! ! ) 不需要越狱,调用私有方法 --- 获取完整的已安装应用列表、打开和删除应用操作、应用运行时相关信息的查看。 支持iOS10.X 注意 目前AppBrowser不支持iOS11应用查看, 由于iOS11目前还处在Beta版, 系统API还没有稳定下来。 等到Private Header更新了iOS11版本,我也会进行更新。 功能 [x] 已安装的应用列表 [x] 应用的详情界面 (打开应用,删除应用,应用的相关信息展示) [x] 应用运行时信息展示(LSApplicationProxy) [ ] 定制喜欢的字段,展示在应用详情界面 介绍 所有已安装应用列表(应用icon+应用名) 为了提供思路,这里只用伪代码,具体的私有代码调用请查看: 获取应用实例: 获取应用名和应用的icon: 应用列表界面展示: 应用列表 应用运行时详情 打开应用: 卸载应用: 获取info.plist文件: 应用运行时详情界面展示: 应用运行时详情 右上角,从左往右第一个按钮用来打开应用;第二个按钮用来卸载这个应用 INFO按钮用来解析并显示出对应的LSApplicationProxy类 树形展示LSApplicationProxy类 通过算法,将LSApplicationProxy类,转换成了字典。 转换规则是:属性名为key,属性值为value,如果value是一个可解析的类(除了NSString,NSNumber...等等)或者是个数组或字典,则继续递归解析。 并且会找到superClass的属性并解析,superClass如...
戴尔U2417h校色文件
12-23
已经博主授权,源码转载自 https://pan.quark.cn/s/bf9738e1fcec ICC-vx2478-4k 校色文件 这是一个使用SpyderX校色过的icc文件,根据自己的需要食用。
基于遗传算法辅助异构改进的动态多群粒子群优化算法(GA-HIDMSPSO)的LSTM分类预测研究(Matlab代码实现)
最新发布
12-23
基于遗传算法辅助异构改进的动态多群粒子群优化算法(GA-HIDMSPSO)的LSTM分类预测研究(Matlab代码实现)内容概要:本文研究了一种基于遗传算法辅助异构改进的动态多群粒子群优化算法(GA-HIDMSPSO),并将其应用于LSTM神经网络的分类预测中,通过Matlab代码实现。该方法结合遗传算法的全局搜索能力与改进的多群粒子群算法的局部优化特性,提升LSTM模型在分类任务中的性能表现,尤其适用于复杂非线性系统的预测问题。文中详细阐述了算法的设计思路、优化机制及在LSTM参数优化中的具体应用,并提供了可复现的Matlab代码,属于SCI级别研究成果的复现与拓展。; 适合人群:具备一定机器学习和优化算法基础,熟悉Matlab编程,从事智能算法、时间序列预测或分类模型研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①提升LSTM在分类任务中的准确性与收敛速度;②研究混合智能优化算法(如GA与PSO结合)在神经网络超参数优化中的应用;③实现高精度分类预测模型,适用于电力系统故障诊断、电池健康状态识别等领域; 阅读建议:建议读者结合Matlab代码逐步调试运行,理解GA-HIDMSPSO算法的实现细节,重点关注种群划分、异构策略设计及与LSTM的集成方式,同时可扩展至其他深度学习模型的参数优化任务中进行对比实验。
基于Unet融合SAM模型point提示推理遥感图像分割项目:皮肤病疾病分割
12-23
基于Unet融合SAM模型point提示推理遥感图像分割项目:皮肤病疾病分割 代码将SAM的point提示和Unet融合改进,评估指标采用dice、iou,recall、precision等,以及相应的曲线。 推理的脚本是【infer.py】,运行会生成UI界面,鼠标点击可以选择提示的前景/背景。代码会自动推理,显示掩膜图像 更多unet改进参考https://blog.youkuaiyun.com/qq_44886601/category_12858320.html【持续更新】 创新点介绍:实现了一个基于UNet的交互式图像分割系统,其核心亮点在于:1)创新性地将用户交互点作为第四通道与RGB图像拼接输入网络,实现点引导的精准分割;2)采用完整的训练-评估-应用闭环,支持余弦退火学习率调度和全面的分割指标评估(mIoU/Dice等);3)设计了友好的GUI界面,用户只需点击前景/背景点即可实时获得可视化结果;4) 系统具有高度可扩展性,UNet架构支持自定义通道数和特征图尺寸,数据加载器内置多种增强策略,既能保证训练效果又能适应不同尺寸的输入图像。
开题报告SpringBoot+Vue众筹网.docx
12-23
计算机毕业设计开题报告
开题报告Java+SSM+Vue校医务系统.docx
12-23
计算机毕业设计开题报告
ChaoMixian_vFlow_53932_1766464587160.zip
12-23
ChaoMixian_vFlow_53932_1766464587160.zip
开题报告基于微信小程序的会议发布与预约系统.docx
12-23
计算机毕业设计开题报告
int main(int argc, char *argv[]) { QApplication a(argc, argv); QSharedMemory sharedMemory("FaceLogin"); if (sharedMemory.attach()) { QMessageBox::warning(nullptr, "警告", "程序已在运行中!"); return 1; // 退出新实例 } // 创建新内存块(1字节足够) if (!sharedMemory.create(1)) { QMessageBox::critical(nullptr, "错误", "无法创建共享内存块!"); return 1; } MainWindow w; return a.exec(); }设置这个程序以管理员权限启动
06-24
步骤:a.检查当前进程是否以管理员权限运行(使用前面提到的IsElevated函数)。b.如果不是,则尝试提权重启(使用ShellExecuteEx运行自身,并指定"runas")。c.如果提权重启成功,则退出当前进程。d.如果已经是管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值