基于NTFS访问控制列表的应用开发设计.pdfVIP

2010年第 4期 福 建 电 脑 131 基于NTFS访问控制列表的应用开发设计 蔡国平 (福州大学，现代教育技术 中心 福建 福州 350001) 摘【 要】：介绍全国计算机等级考试系统的对象的安全描述符的格式，并以Vc开发工具为例 ，利用API函数实现 Windows中对象的安全信息的 自动设置的基本原理和方法。 【关键词】：考试系统；安全描述符；DACL；ACE 1、引言 问。 随机计算机和网络技术的飞速发展 ．计算机信息的安全 问 3、利用 AH 函数实现 Wind0ws对 象的创建和安全信息设置 的 题变得越来越重要．如何控制系统对象的访 问权限是实现计算 基本方法 机系统信息安全的关键技术之一 。在 WindowsNT现了对象的访 在 Windows中提供 了许多用于对 Windows的对象的安全 问权限的安全控制．可以通过对象的属性手动设置安全信息．也 信息设置的 AH 函数 ．根据 Windows对象的安全描述符 的组 可通过 WindowsNT提供的AH 函数实现对象安全信息的 自动 成 ．要对其对象进行创建和安全信息的 自动设置，具体方法和步 设置 本文主要介绍使用 API函数实现对象安全信息的 自动设 聚如下 ： 置 ．供读者在实际应用 中参考 。 3．1通过 lookupaccountname函数获取帐号指针 。函数原型如下： 2、WindowsNT的安全信息 的基本原理 LookupAccountName (LPCWSTRlpSystemName，LPCWSTR 在 WindOWsNT统中．如果文件系统使用 NTFS格式，则系统 lpAccountName，PSID Sid，LPDWORD cbSid，LPWSTR Refer— 中的每个对象都有一个安全描述符 fSecurityDescriptor简称 encedDomainName。LPDW0RDcbReferencedDomainName，阎 D_ SD)。该描述包括下面四个方面的信息：①所有者的身份；②主组 NAME— USEpeUse)； 所有者：③系统访问控制列表 (SyrstemAccessControlList简称 第一个参数 lDSystemName指针到一个空终止字符 串指定 SACL1：④ 自由访问控制列表(DiscretionaryAccessControlList简 系统 。此字符串可 以是一个远程计算机名称 。如果此字符 串是 称 DACL)。SACL(SystemAccessControlList)，其指 出了在该对象 NULL．帐户名在本地计算机上寻找 。 上的一组存取方式 (如，读 、写、运行等)的存取控制权限细节的 第二个参数 lpAccountName指向用户名的指针 。 列表。还有其 自身的一些控制位 。DACL (DiscretionaryAccess 第三个参数 Sid指向一个缓冲区接收 SID结构对应 的帐户 C0ntrolList)指 出了允许和拒绝某用户或用户组 的存取控制列 名称所指 向的lpAccountName参数 表．当一个进程需要访问安全对象。系统就会检查 DACL来决定 第四个参数 cbSid是第三个参数大小的变量地址。 进程 的访问权。如果一个对象没有 DACL，那么就是说这个对象 第五个参数 ReferericedDomainName是计算机名指针。 是任何人都可以拥有完全的访问权限。DACL和 SACL构成 了整 第六个参数 cbReferencedDomainName是计算机名大小的 个存取控制列表 AccessControlList．简称 ACL．ACL中的每一 变量指针 项 ，我们 叫做 ACE (AccessControlEntry)，A