Megosztás a következőn keresztül:

Korlátozott jogkivonatok

  • Cikk

A korlátozott jogkivonat egy elsődleges vagy megszemélyesítési hozzáférési jogkivonat, amelyet a CreateRestrictedToken függvény módosított. A korlátozott jogkivonatokbiztonsági környezetben futóvagy megszemélyesítő szálfolyamat korlátozott a biztonságos objektumok elérésére vagy a kiemelt műveletek végrehajtására való képességében. A CreateRestrictedToken függvény a következő módokon korlátozhatja a jogkivonatokat:

  • Távolítsa el jogkivonatból jogosultságokat.
  • Alkalmazza a csak megtagadási attribútumot a jogkivonatban lévő SID-kre, hogy ne lehessen őket biztonságos objektumok elérésére használni. A csak megtagadási attribútummal kapcsolatos további információkért tekintse meg hozzáférési jogkivonat biztonsági azonosítóinak attribútumait.
  • Adja meg a biztonságos objektumokhoz való hozzáférést korlátozó SID-k listáját.

A rendszer a korlátozott SID-k listáját használja, amikor ellenőrzi a jogkivonat biztonságos objektumhoz való hozzáférését. Amikor egy korlátozott folyamat vagy szál megpróbál hozzáférni egy biztonságos objektumhoz, a rendszer két hozzáférési ellenőrzést hajt végre: az egyik a jogkivonat által engedélyezett SID-ket használja, a másikat pedig a korlátozott SID-k listájával. A hozzáférés csak akkor adható meg, ha mindkét hozzáférés-ellenőrzés engedélyezi a kért hozzáférési jogosultságokat. További információ a hozzáférés-ellenőrzésekről: A DACL-ek hogyan szabályozzák az objektumhoz való hozzáférést.

Korlátozott elsődleges jogkivonatot használhat a CreateProcessAsUser függvény hívásában. A CreateProcessAsUser hívásához általában SE_ASSIGNPRIMARYTOKEN_NAME jogosultsággal kell rendelkeznie, amelyet általában csak rendszerkód vagy a LocalSystem-fiókban futó szolgáltatások tárolnak. Ha azonban a CreateProcessAsUser hívás a hívó elsődleges jogkivonatának korlátozott verzióját adja meg, ez a jogosultság nem szükséges. Ez lehetővé teszi, hogy a szokásos alkalmazások korlátozott folyamatokat hozzanak létre.

Korlátozott elsődleges vagy megszemélyesítési jogkivonatot is használhat az ImpersonateLoggedOnUser függvényben.

Annak megállapításához, hogy egy jogkivonat rendelkezik-e a korlátozott SID-k listájával, hívja meg az IsTokenRestricted függvényt.

Jegyzet

A korlátozott jogkivonatokat használó alkalmazásoknak az alapértelmezett asztaltól eltérő asztali számítógépeken kell futtatniuk a korlátozott alkalmazást. Erre azért van szükség, hogy megakadályozza egy korlátozott alkalmazás támadását az alapértelmezett asztali SendMessage vagy PostMessagehasználatával. Szükség esetén váltson az asztali gépek között az alkalmazás szempontjából.