过程安全和访问权限.docxVIP

过程安全和访问权限 Microsoft Windows 安全模型使您能够控制对过程的对象的访问。有关安全性的详细信息，请参阅 访问控制模型。 当用户登录时，系统就会收集一组唯一地标识用户身份验证过程，并将其存储在一个 访问令牌 中的数据。此访问令 牌描述与用户关联的所有进程的安全上下文。一个过程的安全上下文是凭据的组给进程或创建进程的用户帐户。 指定当前的安全上下文，使用 CreateProcessWithTokenW 函数的过程，可以使用一个标记。调用 CreateProcess 、CreateProcessAsUser 或 CreateProcessWithLogonW 函数时，可以指定进程的安 全描述符。如果您指定 NULL，过程获取默认的安全描述符。一个过程的默认安全描述符中的 Acl来从主或模拟标 记的创建者。 进程的安全描述符中检索调用 GetSecurityInfo 函数。若要更改进程的安全描述符，调用 SetSecurityInfo 函数。 处理对象的有效的访问权限包括 标准访问权限 和一些过程特定的访问权限。 下表列出了所有对象都使用的标准的访 问权限。 值 意义 删除 (0 ) 删除对象的需要。 READ_CONTROL (0) 读取不包括SACL中的信息的对象的安全描述符中的信息所需。要读取或写入 SACL , 您必须申请 ACCESS_SYSTEM_SECURITY 访问权。更多的信息，请参阅 SACL访 问权限。 同步 (0 ) 用于同步的对象的权利。这可以使线程在等待，直到对象处于终止状态。 WRITE_DAC (0) 要修改对象的安全描述符中的 DACL。 WRITE_OWNER (0) 更改对象的安全描述符中的所有者需要。 下表列出了过程特定的访问权限 值 意义 PROCESS_ALL_ACCESS 处理对象的所有可能的访1可权限。 Windows Server 2003 及 Windows XP/2000 年： 增加对 Windows Server 2008 和 Windows Vista 的 PROCESS_ALL_ACCESS 标志的大小。如果在 Windows Server 2003 或 Windows XP/2000 年上运行 Windows Server 2008 和 Windows Vista 编译的应用程序，贝U PROCESS_ALL_ACCESS 标志太大，指定此标志的功能与 ERROR_ACCESS_DENIED 的失败。要避免此指定操作所需的 访问权限的最小集。如果必须用于 PROCESS_ALL_ACCESS 则应将_WIN32_WINNT 设置为最低的操作系统（例如您的 应用程序的目标 # define _WIN32_WINNT _WIN32_WINNT_WINXP ）.更多的信息请参阅使用Windows 头。 PROCESS_CREATE_PROCESS (0X0080) 创建一个过程所需。 PROCESS_CREATE_THREAD (0X0002) 创建一个线程所需。 PROCESS_DUP_HANDLE (0X0040) 所需复制使用 DuplicateHandle 的句柄。 PROCESS_QUERY_INFORMATION (0X0400) 检索进程的某些信息，所需，如其的令牌退出代码和优先级类 （参见相关联、GetExitCodeProcess 、 GetPriorityClass ，和 IsProcessInJob ）。 PROCESS_QUERY_LIMITED_INFORMATION (0X1000) 所需检索进程的某些信息(见 QueryFullProcessImageName )。 PROCESS_QUERY_INFORMATION 访问权限的句柄会自动 授予 PROCESS_QUERY_LIMITED_INFORMATION 。 Windows Server 2003 及 Windows XP/2000 年： 不支持此访问权限。 PROCESS_SET_INFORMATION (0X0200) 要设置其优先级类进程有关的某些信息 （见 SetPriorityClass ）。 PROCESS_SET_QUOTA (0X0100) 所需设置使用 SetProcessWorkingSetSize 的内存限制。 PROCESS_SUSPEND_RESUME (0X0800) 暂停或恢复一个进程所需。 PROCESS_TERMINATE (0X0001) 所需终止使用 TerminateProcess 的进程。 PROCESS_VM_OPERATION