Sicherheit und Zugriffsrechte für Window Station
Mit Sicherheit können Sie den Zugriff auf Objekte von Fensterstationen steuern. Weitere Informationen zur Sicherheit finden Sie unter Access-Control Model.
Sie können einen Sicherheitsdeskriptor für ein Fensterstationsobjekt angeben, wenn Sie die CreateWindowStation-Funktion aufrufen. Wenn Sie NULL angeben, erhält die Fensterstation einen Standardsicherheitsdeskriptor. Die ACLs im Standardsicherheitsdeskriptor für eine Fensterstation stammen aus dem primären Token oder dem Identitätswechseltoken des Erstellers.
Um den Sicherheitsdeskriptor eines Fensterstationsobjekts abzurufen oder festzulegen, rufen Sie die Funktionen GetSecurityInfo und SetSecurityInfo auf.
Wenn Sie die OpenWindowStation-Funktion aufrufen, überprüft das System die angeforderten Zugriffsrechte mit dem Sicherheitsdeskriptor des Objekts.
Die gültigen Zugriffsrechte für Fensterstationsobjekte umfassen die Standardzugriffsrechte und einige objektspezifische Zugriffsrechte. In der folgenden Tabelle sind die Standardzugriffsrechte aufgeführt, die von allen Objekten verwendet werden.
Wert | Bedeutung |
---|---|
DELETE (0x00010000L) | Erforderlich, um das Objekt zu löschen. |
READ_CONTROL (0x00020000L) | Erforderlich, um Informationen im Sicherheitsdeskriptor für das Objekt zu lesen, ohne dass die Informationen in der SACL enthalten sind. Zum Lesen oder Schreiben der SACL müssen Sie das zugriffsrecht ACCESS_SYSTEM_SECURITY anfordern. Weitere Informationen finden Sie unter SACL-Zugriffsrecht. |
SYNCHRONIZE (0x00100000L) | Wird für Fensterstationsobjekte nicht unterstützt. |
WRITE_DAC (0x00040000L) | Erforderlich, um die DACL im Sicherheitsdeskriptor für das -Objekt zu ändern. |
WRITE_OWNER (0x00080000L) | Erforderlich, um den Besitzer im Sicherheitsdeskriptor für das Objekt zu ändern. |
In der folgenden Tabelle sind die objektspezifischen Zugriffsrechte aufgeführt.
Zugriffsrecht | BESCHREIBUNG |
---|---|
WINSTA_ALL_ACCESS (0x37F) | Alle möglichen Zugriffsrechte für die Fensterstation. |
WINSTA_ACCESSCLIPBOARD (0x0004L) | Erforderlich, um die Zwischenablage zu verwenden. |
WINSTA_ACCESSGLOBALATOMS (0x0020L) | Erforderlich, um globale Atome zu bearbeiten. |
WINSTA_CREATEDESKTOP (0x0008L) | Erforderlich, um neue Desktopobjekte auf der Fensterstation zu erstellen. |
WINSTA_ENUMDESKTOPS (0x0001L) | Erforderlich, um vorhandene Desktopobjekte aufzulisten. |
WINSTA_ENUMERATE (0x0100L) | Erforderlich, damit die Fensterstation aufgezählt wird. |
WINSTA_EXITWINDOWS (0x0040L) | Erforderlich, um die Funktion ExitWindows oder ExitWindowsEx erfolgreich aufzurufen. Fensterstationen können von Benutzern gemeinsam genutzt werden, und dieser Zugriffstyp kann verhindern, dass sich andere Benutzer einer Fensterstation vom Besitzer der Fensterstation abmelden. |
WINSTA_READATTRIBUTES (0x0002L) | Erforderlich, um die Attribute eines Fensterstationsobjekts zu lesen. Dieses Attribut umfasst Farbeinstellungen und andere globale Eigenschaften von Fensterstationen. |
WINSTA_READSCREEN (0x0200L) | Erforderlich für den Zugriff auf Bildschirminhalte. |
WINSTA_WRITEATTRIBUTES (0x0010L) | Erforderlich, um die Attribute eines Fensterstationsobjekts zu ändern. Zu den Attributen gehören Farbeinstellungen und andere globale Eigenschaften von Fensterstationen. |
Im Folgenden werden die allgemeinen Zugriffsrechte für das interaktive Fensterstationsobjekt aufgeführt, bei dem es sich um die Fensterstation handelt, die der Anmeldesitzung des interaktiven Benutzers zugewiesen ist.
Zugriffsrecht | BESCHREIBUNG |
---|---|
GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES WINSTA_READSCREEN |
GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP WINSTA_WRITEATTRIBUTES |
GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES WINSTA_READSCREEN WINSTA_WRITEATTRIBUTES |
Im Folgenden sind die generischen Zugriffsrechte für ein nicht interaktives Fensterstationsobjekt aufgeführt. Das System weist allen Anmeldesitzungen außer der des interaktiven Benutzers nicht interaktive Fensterstationen zu.
Zugriffsrecht | BESCHREIBUNG |
---|---|
GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES |
GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP |
GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES |
Sie können das ACCESS_SYSTEM_SECURITY Zugriffsrecht auf ein Fensterstationsobjekt anfordern, wenn Sie die SACL des Objekts lesen oder schreiben möchten. Weitere Informationen finden Sie unter Zugriffssteuerungslisten (Access-Control Lists, ACLs) und SACL-Zugriffsberechtigung.