Hozzáférési jogkivonatok
A hozzáférési jogkivonat olyan objektum, amely egy folyamat vagy szálbiztonsági környezetét írja le. A jogkivonat adatai tartalmazzák a folyamathoz vagy szálhoz társított felhasználói fiók identitását és jogosultságait. Amikor egy felhasználó bejelentkezik, a rendszer a biztonsági adatbázisban tárolt adatokkal összehasonlítva ellenőrzi a felhasználó jelszavát. Ha a jelszó hitelesített, a rendszer létrehoz egy hozzáférési jogkivonatot. A felhasználó nevében végrehajtott minden folyamat rendelkezik ennek a hozzáférési jogkivonatnak egy másolatával.
A rendszer hozzáférési jogkivonattal azonosítja a felhasználót, amikor egy szál egy biztonságos objektummal kommunikál, vagy olyan rendszerfeladatot próbál végrehajtani, amely jogosultságokat igényel. A hozzáférési jogkivonatok a következő információkat tartalmazzák:
- A biztonsági azonosító (SID) a felhasználó fiókjához
- SID-k azon csoportokhoz, amelyeknek a felhasználó tagja
- Egy bejelentkezési SID-, amely azonosítja az aktuális bejelentkezési munkamenetet
- A felhasználó vagy a felhasználó csoportjai által jogosultságok listája
- Tulajdonos biztonsági azonosítója
- Az elsődleges csoport biztonsági azonosítója
- Az alapértelmezett DACL-, amelyet a rendszer akkor használ, amikor a felhasználó biztonságos objektumot hoz létre anélkül, hogy megad egy biztonsági leírót
- A hozzáférési jogkivonat forrása
- Függetlenül attól, hogy a jogkivonat egy elsődleges vagy megszemélyesítési token
- A SID-k korlátozásának választható listája
- Jelenlegi megszemélyesítési szintek
- Egyéb statisztikák
Minden folyamat rendelkezik egy elsődleges jogkivonattal, amely a folyamathoz társított felhasználói fiókbiztonsági környezetet ismerteti. Alapértelmezés szerint a rendszer az elsődleges jogkivonatot használja, amikor a folyamat szála egy biztonságos objektummal kommunikál. Emellett egy szál megszemélyesíthet egy ügyfélfiókot. A megszemélyesítés lehetővé teszi, hogy a szál biztonságos objektumokkal kommunikáljon az ügyfél biztonsági környezetével. Az ügyfélnek megszemélyesítő szál elsődleges és megszemélyesítési jogkivonattal is rendelkezik.
A OpenProcessToken függvénnyel lekérheti a leírót egy folyamat elsődleges jogkivonatához. A OpenThreadToken függvénnyel lekérheti a leírót egy szál megszemélyesítési jogkivonatához. További információ: Megszemélyesítés.
A hozzáférési jogkivonatok módosításához az alábbi függvények használhatók.
| Funkció | Leírás |
|---|---|
| AdjustTokenGroups | Módosítja a csoportadatokat egy hozzáférési jogkivonatban. |
| AdjustTokenPrivileges | Engedélyezi vagy letiltja a jogosultságokat egy hozzáférési jogkivonatban. Nem ad új jogosultságokat, és nem vonja vissza a meglévőket. |
| CheckTokenMembership | Meghatározza, hogy egy adott SID engedélyezve van-e egy adott hozzáférési jogkivonatban. |
| CreateRestrictedToken | Létrehoz egy új jogkivonatot, amely egy meglévő jogkivonat korlátozott verziója. A korlátozott jogkivonat letiltott SID-kkel, törölt jogosultságokkal és korlátozott SID-k listájával rendelkezhet. |
| DuplicateToken | Létrehoz egy új megszemélyesítési jogkivonatot, amely egy meglévő jogkivonatot duplikál. |
| DuplicateTokenEx | Létrehoz egy új elsődleges jogkivonatot vagy megszemélyesítési jogkivonatot, amely egy meglévő jogkivonatot duplikál. |
| GetTokenInformation | Lekéri a jogkivonattal kapcsolatos információkat. |
| IsTokenRestricted | Meghatározza, hogy egy jogkivonat rendelkezik-e a korlátozott SID-k listájával. |
| OpenProcessToken | Lekéri a folyamat elsődleges hozzáférési jogkivonatához tartozó leírót. |
| OpenThreadToken | Lekéri a leírót egy szál megszemélyesítési hozzáférési jogkivonatához. |
| SetThreadToken | Egy szál megszemélyesítési jogkivonatát rendeli hozzá vagy távolítja el. |
| SetTokenInformation | Módosítja a jogkivonat tulajdonosát, elsődleges csoportját vagy alapértelmezett DACL-jét. |
A hozzáférési jogkivonat-függvények a következő struktúrákkal írják le a hozzáférési jogkivonat részeit.
| Szerkezet | Leírás |
|---|---|
| TOKEN_CONTROL | Hozzáférési jogkivonatot azonosító információk. |
| TOKEN_DEFAULT_DACL | A rendszer által a szál által létrehozott új objektumok biztonsági leíróiban használt alapértelmezett DACL. |
| TOKEN_GROUPS | Megadja a csoport SID-jeinek SID-jét és attribútumait egy hozzáférési jogkivonatban. |
| TOKEN_OWNER | Az új objektumok biztonsági leíróinak alapértelmezett tulajdonosi SID-azonosítója. |
| TOKEN_PRIMARY_GROUP | Az új objektumok biztonsági leíróinak alapértelmezett elsődleges csoport sid-azonosítója. |
| TOKEN_PRIVILEGES | A hozzáférési jogkivonathoz társított jogosultságok. Azt is meghatározza, hogy a jogosultságok engedélyezve vannak-e. |
| TOKEN_SOURCE | A hozzáférési jogkivonat forrása. |
| TOKEN_STATISTICS | Hozzáférési jogkivonathoz társított statisztikák. |
| TOKEN_USER | A hozzáférési jogkivonathoz társított felhasználó SID-azonosítója. |
A hozzáférési jogkivonat-függvények az alábbi enumerálási típusokat használják.
| Számbavétel típusa | Megadja |
|---|---|
| TOKEN_INFORMATION_CLASS | A hozzáférési jogkivonatból beállított vagy lekért információk típusát azonosítja. |
| TOKEN_TYPE | A hozzáférési jogkivonatot elsődleges vagy megszemélyesítési jogkivonatként azonosítja. |