Fungsi SeAssignSecurity (wdm.h)
Rutinitas SeAssignSecurity membangun deskriptor keamanan relatif mandiri untuk objek baru, mengingat pendeskripsi keamanan direktori induknya dan keamanan yang awalnya diminta untuk objek tersebut.
Sintaks
NTSTATUS SeAssignSecurity(
[in, optional] PSECURITY_DESCRIPTOR ParentDescriptor,
[in, optional] PSECURITY_DESCRIPTOR ExplicitDescriptor,
[out] PSECURITY_DESCRIPTOR *NewDescriptor,
[in] BOOLEAN IsDirectoryObject,
[in] PSECURITY_SUBJECT_CONTEXT SubjectContext,
[in] PGENERIC_MAPPING GenericMapping,
[in] POOL_TYPE PoolType
);
Parameter
[in, optional] ParentDescriptor
Penunjuk ke buffer yang berisi SECURITY_DESCRIPTOR untuk direktori induk, jika ada, yang berisi objek baru yang sedang dibuat. ParentDescriptor bisa NULL, atau memiliki daftar kontrol akses sistem NULL (SACL) atau daftar kontrol akses diskresi NULL (DACL).
[in, optional] ExplicitDescriptor
Penunjuk ke buffer yang berisi SECURITY_DESCRIPTOR yang ditentukan oleh pengguna yang diterapkan ke objek baru. ExplicitDescriptor dapat berupa NULL, atau memiliki NULL SACL atau NULL DACL.
[out] NewDescriptor
Menerima penunjuk ke SECURITY_DESCRIPTOR yang dikembalikan. SeAssignSecurity mengalokasikan buffer dari kumpulan memori halaman.
[in] IsDirectoryObject
Menentukan apakah objek baru adalah objek direktori. TRUE menunjukkan objek berisi objek lain.
[in] SubjectContext
Penunjuk ke buffer yang berisi konteks keamanan subjek yang membuat objek. Ini digunakan untuk mengambil informasi keamanan default untuk objek baru, seperti pemilik default, grup utama, dan kontrol akses diskresi.
[in] GenericMapping
Arahkan ke struktur GENERIC_MAPPING yang menjelaskan pemetaan dari setiap hak generik ke hak nongenerik tersirat.
[in] PoolType
Parameter ini tidak digunakan. Buffer untuk menahan deskriptor keamanan baru selalu dialokasikan dari kumpulan halaman.
Nilai kembali
SeAssignSecurity dapat mengembalikan salah satu hal berikut ini:
| Menampilkan kode | Deskripsi |
|---|---|
|
Penugasan berhasil. |
|
SID yang disediakan untuk pemilik deskriptor keamanan target bukan salah satu pemanggil yang berwenang untuk ditetapkan sebagai pemilik objek. |
|
Pemanggil tidak memiliki hak istimewa (SeSecurityPrivilege) yang diperlukan untuk secara eksplisit menetapkan ACL sistem yang ditentukan. |
Keterangan
Deskriptor keamanan akhir yang dikembalikan ke pemanggil mungkin berisi campuran informasi, beberapa secara eksplisit disediakan dari induk objek baru.
SeAssignSecurity mengasumsikan pemeriksaan hak istimewa belum dilakukan. Rutinitas ini melakukan pemeriksaan hak istimewa.
Penugasan ACL sistem dan diskresi diatur oleh logika yang diilustrasikan dalam tabel berikut:
| ACL eksplisit (nondefault) ditentukan | ACL default eksplisit ditentukan | Tidak ada ACL yang ditentukan | |
|---|---|---|---|
| ACL yang dapat diwariskan dari induk | Menetapkan ACL yang ditentukan | Menetapkan ACL yang diwariskan | Menetapkan ACL yang diwariskan |
| Tidak ada ACL yang dapat diwariskan dari induk | Menetapkan ACL yang ditentukan | Menetapkan ACL default | Tidak menetapkan ACL |
ACL yang ditentukan secara eksplisit, baik ACL default atau tidak, dapat kosong atau null. Pemanggil harus merupakan klien mode kernel atau memiliki hak istimewa yang tepat untuk secara eksplisit menetapkan ACL sistem default atau nondefault.
Penetapan pemilik dan grup objek baru diatur oleh logika berikut:
- Jika deskriptor keamanan yang diteruskan menyertakan pemilik, deskriptor tersebut ditetapkan sebagai pemilik objek baru. Jika tidak, token penelepon dianggap menentukan pemiliknya. Dalam token, pemilik default, jika ada, ditetapkan. Jika tidak, ID pengguna penelepon ditetapkan.
- Jika deskriptor keamanan yang diteruskan menyertakan grup, pendeskripsi tersebut ditetapkan sebagai grup objek baru. Jika tidak, token penelepon dianggap menentukan grup. Dalam token, grup default, jika ada, ditetapkan. Jika tidak, ID grup utama penelepon ditetapkan.
Persyaratan
| Persyaratan | Nilai |
|---|---|
| Klien minimum yang didukung | Tersedia di Windows 2000 dan versi Windows yang lebih baru. |
| Target Platform | Universal |
| Header | wdm.h (termasuk Wdm.h, Ntddk.h, Ntifs.h) |
| Pustaka | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
| Aturan kepatuhan DDI | HwStorPortProhibitedDDIs(storport), PowerIrpDDis(wdm) |
Lihat juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk