以程序的方式操纵NTFS的文件权限(上)-阿里云开发者社区

开发者社区> 余二五> 正文

以程序的方式操纵NTFS的文件权限(上)

简介:
+关注继续查看
以程序的方式操纵NTFS的文件权限

陈皓
 
Windows NT/2K/XP版本的操作系统都支持NTFS格式的文件系统,这是一个有安全性质的文件系统,你可以通过Windows的资源管理器来设置对每个目录和文件的用户访问权限。这里我就不对NTFS的安全性进行讲述了,我默认你对NTFS的文件目录的安全设置有了一定的了解。在这里,我将向你介绍使用WindowsAPI函数来操纵NTFS的文件权限。
 

一、             理论和术语

 
Windows NT/2K?XP下的对象,不一定是文件系统,还有其它的一些对象,如:进程、命名管道、打印机、网络共享、或是注册表等等,都可以设置用户访问权限。在Windows系统中,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD,其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”,这是包括了安全设置信息的结构体。一个安全描述符包含以下信息:
  • 一个安全标识符(Security identifiers),其标识了该信息是哪个对象的,也就是用于记录安全对象的ID。简称为:SID
  • 一个DACLDiscretionary Access Control List),其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象,系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL,那么就是说这个对象是任何人都可以拥有完全的访问权限。
  • 一个SACLSystem Access Control List),其指出了在该对象上的一组存取方式(如,读、写、运行等)的存取控制权限细节的列表。
  • 还有其自身的一些控制位。
DACLSACL构成了整个存取控制列表Access Control List,简称ACLACL中的每一项,我们叫做ACEAccess Control Entry),ACL中的每一个ACE
 
我们的程序不用直接维护SD这个结构,这个结构由系统维护。我们只用使用Windows 提供的相关的API函数来取得并设置SD中的信息就行了。不过这些API函数只有Windows NT/2K/XP才支持。
 
安全对象Securable Object是拥有SDWindows的对象。所有的被命名的Windows的对象都是安全对象。一些没有命名的对象是安全对象,如:进程和线程,也有安全描述符SD。在对大多数的创建安全对象的操作中都需要你传递一个SD的参数,如:CreateFileCreateProcess函数。另外,Windows还提供了一系列有关安全对象的安全信息的存取函数,以供你取得对象上的安全设置,或修改对象上的安全设置。如:GetNamedSecurityInfoSetNamedSecurityInfoGetSecurityInfoSetSecurityInfo
 
下图说明了,安全对象和DACL以及访问者之间的联系(来源于MSDN)。注意,DACL表中的每个ACE的顺序是有意义的,如果前面的Allow(或deniedACE通过了,那么,系统就不会检查后面的ACE了。
 
系统会按照顺序依次检查所有的ACE规则,如下面的条件满足,则退出:
1、  如果一个Access-DeniedACE明显地拒绝了请求者。
2、  如果某Access-AllowedACE明显地同意了请求者。
3、  全部的ACE都检查完了,但是没有一条ACE明显地允许或是拒绝请求者,那么系统将使用默认值,拒绝请求者的访问。
 
更多的理论和描述,请参看MSDN
 
 
 

二、             实践与例程

 

1、   例程一:创建一个有权限设置的目录

 
#include <windows.h>
 
void main(void)
{
    SECURITY_ATTRIBUTES sa;   //和文件有关的安全结构
    SECURITY_DESCRIPTOR sd;   //声明一个SD
 
    BYTE aclBuffer[1024];
    PACL pacl=(PACL)&aclBuffer;  //声明一个ACL,长度是1024
 
    BYTE sidBuffer[100];
    PSID psid=(PSID) &sidBuffer;   //声明一个SID,长度是100
 
    DWORD sidBufferSize = 100;
    char domainBuffer[80];
    DWORD domainBufferSize = 80;
    SID_NAME_USE snu;
    HANDLE file;
 
    //初始化一个SD
    InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
    //
初始化一个ACL
    InitializeAcl(pacl, 1024, ACL_REVISION);
    //
查找一个用户hchen,并取该用户的SID
    LookupAccountName(0, "hchen", psid,
            &sidBufferSize, domainBuffer,
            &domainBufferSize, &snu);
    //
设置该用户的Access-AllowedACE,其权限为“所有权限”
AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);
//ACL设置到SD
    SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);
   
    //SD放到文件安全结构SA
    sa.nLength = sizeof(SECURITY_ATTRIBUTES);
    sa.bInheritHandle = FALSE;
    sa.lpSecurityDescriptor = &sd;
   
    //创建文件
    file = CreateFile("c:\\testfile",
        0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
    CloseHandle(file);
}
 
这个例子我是从网上找来的,改了改。其中使用到的关键的API函数,我都把其加粗了。从程序中我们可以看到,我们先初始化了一个SD和一个ACL,然后调用LookupAccountName取得用户的SID,然后通过这个SID,对ACL中加入一个有允许访问权限的ACE,然后再把整个ACL设置到SD中。最后,组织文件安全描述的SA结构,并调用CreateFile创建文件。如果你的操作系统是NTFS,那么,你可以看到你创建出来的文件的安全属性的样子:
 
这个程序旨在说明如何生成一个新的SDACL的用法,其有四个地方的不足和不清:
 
1、  对于ACLSID的声明采用了硬编码的方式指定其长度。
2、  对于API函数,没有出错处理。
3、  没有说明如何修改已有文件或目录的安全设置。
4、  没有说明安全设置的继承性。
 
对于这些我将在下个例程中讲述。
  

2、   例程二、为目录增加一个安全设置项

 
在我把这个例程序例出来以前,请允许我多说一下。
 
1、   对于文件、目录、命令管道,我们不一定要使用GetNamedSecurityInfoSetNamedSecurityInfo函数,我们可以使用其专用函数GetFileSecuritySetFileSecurity函数来取得或设置文件对象的SD,以设置其访问权限。需要使用这两个函数并不容易,正如前面我们所说的,我们还需要处理SD参数,要处理SD,就需要处理DACLACE,以及用户的相关SID,于是,一系统列的函数就被这两个函数带出来了。

2、   对于上一个例子中的使用硬编码指定SID的处理方法是。调用LookupAccountName函数时,先把SIDDomain名的参数传为空NULL,于是LookupAccountName会返回用户的SID的长度和Domain名的长度,于是你可以根据这个长度分配内存,然后再次调用LookupAccountName函数。于是就可以达到到态分配内存的效果。对于ACL也一样。

3、   对于给文件的ACL中增加一个ACE条目,一般的做法是先取出文件上的ACL,逐条取出ACE,和现需要增加的ACE比较,如果有冲突,则删除已有的ACE,把新加的ACE添置到最后。这里的最后,应该是非继承而来的ACE的最后。关于ACL继承,NTFS中,你可以设置文件和目录是否继承于其父目录的设置。在程序中同样可以设置。









本文转自 haoel 51CTO博客,原文链接:http://blog.51cto.com/haoel/124668,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【问题】vs IIS破除文件上传限制最全版
原文:【问题】vs IIS破除文件上传限制最全版 今天在测试一下上传文件的时候发现iis和配置存在上传文件大小限制(IIS默认大小30M,最大运行为2g:2147483647),百度了一部分资料有些发布到IIS好使,但是在VS调试中不好使。
808 0
Qt .pro文件之defineReplace函数的用法,实现lib文件名自动添加后缀“d“
Qt .pro文件之defineReplace函数的用法,实现lib文件名自动添加后缀“d“
37 0
在silverlight中利用socket发送图片或文件
silverlight中的socket通讯支持,让sl开发基于web的聊天工具成为了可能,后来OpenFileDialog,SaveFileDialog的出现,更使得边聊天边传送图片(文件)得以实现,最新的SL4中又加入了摄像头支持,也许不久真的可以用silverlight开发出功能强大的视频聊天系统,目前唯一还没有解决的是p2p问题,根据sl3的sdk文档所述:    Socket 类为网络通信提供了一组方法和属性。
827 0
你以为的ASP.NET文件上传大小限制是你以为的吗
原文:你以为的ASP.NET文件上传大小限制是你以为的吗 我们以为的文件大小限制 我们大家都知道ASP.NET为我们提供了文件上传服务器控件FileUpload,默认情况下可上传的最大文件为4M,如果要改变可上传文件大小限制,那么我们可以在web.config中的httpRuntime元素中添加maxRequestLength属性设置大小,同时为了支持大文件上传超时可以添加executionTimeout属性设置超时时间。
1075 0
赞!带进度条的 jQuery 文件拖放上传插件
  jQuery File Uploader 是一个 jQuery 文件拖放上传插件,包括 Ajax 上传和进度条效果。作者编写这个插件的想法是要保持它非常简单,不像其他的插件,很多的标记,并提供一些 Hack 的方式使之兼容那些古老的浏览器。
802 0
C#解析json文件的方法
C# 解析 json   JSON(全称为JavaScript Object Notation) 是一种轻量级的数据交换格式。它是基于JavaScript语法标准的一个子集。 JSON采用完全独立于语言的文本格式,可以很容易在各种网络、平台和程序之间传输。
1356 0
asp.net 解决文件上传大小的限制
1、新建一个文本文件 set providerObj=GetObject("winmgmts:/root/MicrosoftIISv2") set vdirObj=providerObj.
659 0
+关注
20382
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载