Erişim Belirteçleri
erişim belirteci, işlem veya iş parçacığının güvenlik bağlamı açıklayan bir nesnedir. Belirteçteki bilgiler, işlem veya iş parçacığıyla ilişkili kullanıcı hesabının kimliğini ve ayrıcalıklarını içerir. Bir kullanıcı oturum açtığında, sistem kullanıcının parolasını bir güvenlik veritabanında depolanan bilgilerle karşılaştırarak doğrular. Parola kimliği doğrulanmışise, sistem bir erişim belirteci oluşturur. Bu kullanıcı adına yürütülen her işlem bu erişim belirtecinin bir kopyasına sahiptir.
Sistem, bir iş parçacığı güvenli hale getirilebilir nesne veya ayrıcalık gerektiren bir sistem görevi gerçekleştirmeye çalıştığında kullanıcıyı tanımlamak için erişim belirteci kullanır. Erişim belirteçleri aşağıdaki bilgileri içerir:
- Kullanıcının hesabının güvenlik tanımlayıcısı (SID)
- Kullanıcının üye olduğu grupların SID'leri
- Geçerli oturum açma oturumunu tanımlayan oturum açma SID
- Kullanıcı veya kullanıcı grupları tarafından tutulan ayrıcalıklarının listesi
- Sahip SID
- Birincil grup için SID
- Varsayılan DACL kullanıcı bir güvenlik tanımlayıcısı belirtmeden güvenli hale getirilebilir bir nesne oluşturduğunda sistemin kullandığı
- Erişim belirtecinin kaynağı
- Belirtecin birincil mi yoksa kimliğe bürünme belirteci mi olduğu
- İsteğe bağlı kısıtlayan SID'ler listesi
- Geçerli kimliğe bürünme düzeyleri
- Diğer istatistikler
Her işlemin, işlemle ilişkili kullanıcı hesabının güvenlik bağlamı açıklayan birincil belirteç vardır. Varsayılan olarak, işlemin bir iş parçacığı güvenli hale getirilebilir bir nesneyle etkileşime geçtiğinde sistem birincil belirteci kullanır. Ayrıca, bir iş parçacığı istemci hesabının kimliğine bürünebilir. Kimliğe bürünme, iş parçacığının istemcinin güvenlik bağlamını kullanarak güvenli hale getirilebilir nesnelerle etkileşim kurmasına olanak tanır. İstemcinin kimliğine bürünen bir iş parçacığının hem birincil belirteci hem de kimliğe bürünme belirteci.
bir işlemin birincil belirtecine tanıtıcı almak için OpenProcessToken işlevini kullanın. bir iş parçacığının kimliğe bürünme belirtecine tanıtıcı almak için OpenThreadToken işlevini kullanın. Daha fazla bilgi için bkz. Kimliğe Bürünme.
Erişim belirteçlerini işlemek için aşağıdaki işlevleri kullanabilirsiniz.
| Fonksiyon | Açıklama |
|---|---|
| AdjustTokenGroups | Erişim belirtecindeki grup bilgilerini değiştirir. |
| AdjustTokenPrivileges | Erişim belirtecindeki ayrıcalıkları etkinleştirir veya devre dışı bırakır. Yeni ayrıcalıklar vermez veya mevcut ayrıcalıkları iptal etmez. |
| CheckTokenMembership | Belirtilen erişim belirtecinde belirtilen SID'nin etkinleştirilip etkinleştirilmediğini belirler. |
| CreateRestrictedToken | Mevcut belirtecin kısıtlanmış bir sürümü olan yeni bir belirteç oluşturur. Kısıtlanmış belirteçte devre dışı bırakılmış SID'ler, silinen ayrıcalıklar ve kısıtlanmış SID'lerin listesi bulunabilir. |
| DuplicateToken | Mevcut bir belirteci çoğaltan yeni bir kimliğe bürünme belirteci oluşturur. |
| DuplicateTokenEx | Var olan bir belirteci çoğaltan yeni bir birincil belirteç veya kimliğe bürünme belirteci oluşturur. |
| GetTokenInformation | Belirteç hakkındaki bilgileri alır. |
| IsTokenRestricted | Bir belirtecin kısıtlayıcı SID'ler listesine sahip olup olmadığını belirler. |
| OpenProcessToken | Bir işlem için birincil erişim belirtecinin tanıtıcısını alır. |
| OpenThreadToken | bir iş parçacığı için kimliğe bürünme erişim belirtecinin tanıtıcısını alır. |
| SetThreadToken | bir iş parçacığı için kimliğe bürünme belirteci atar veya kaldırır. |
| SetTokenInformation | Belirtecin sahibini, birincil grubunu veya varsayılan DACL'sini değiştirir. |
Erişim belirteci işlevleri, erişim belirtecinin bölümlerini açıklamak için aşağıdaki yapıları kullanır.
| Yapı | Açıklama |
|---|---|
| TOKEN_CONTROL | Erişim belirtecini tanımlayan bilgiler. |
| TOKEN_DEFAULT_DACL | Sistemin bir iş parçacığı tarafından oluşturulan yeni nesnelerin güvenlik tanımlayıcılarında kullandığı varsayılan DACL. |
| TOKEN_GROUPS | Erişim belirtecindeki grup SID'lerinin SID'lerini ve özniteliklerini belirtir. |
| TOKEN_OWNER | Yeni nesnelerin güvenlik tanımlayıcıları için varsayılan sahip SID'i. |
| TOKEN_PRIMARY_GROUP | Yeni nesnelerin güvenlik tanımlayıcıları için varsayılan birincil grup SID'si. |
| TOKEN_PRIVILEGES | Erişim belirteci ile ilişkili ayrıcalıklar. Ayrıca ayrıcalıkların etkinleştirilip etkinleştirilmediğini de belirler. |
| TOKEN_SOURCE | Erişim belirtecinin kaynağı. |
| TOKEN_STATISTICS | Erişim belirteci ile ilişkili istatistikler. |
| TOKEN_USER | Erişim belirteci ile ilişkilendirilmiş kullanıcının SID'i. |
Erişim belirteci işlevleri aşağıdaki numaralandırma türlerini kullanır.
| Numaralandırma türü | Belirtir |
|---|---|
| TOKEN_INFORMATION_CLASS | Erişim belirtecinden ayarlanan veya alınan bilgi türünü tanımlar. |
| TOKEN_TYPE | Erişim belirtecini birincil veya kimliğe bürünme belirteci olarak tanımlar. |