액세스 토큰의 SID 특성
액세스 토큰의 각 사용자 및 그룹 SID(보안 식별자)에는 시스템이 액세스 검사 SID를 사용하는 방법을 제어하는 특성 집합이 있습니다. 다음 표에서는 액세스 검사를 제어하는 특성을 나열합니다.
| attribute | Description |
|---|---|
| SE_GROUP_ENABLED | 이 특성이 있는 SID는 액세스 검사를 위해 사용하도록 설정됩니다. 시스템에서 액세스 검사 수행하는 경우 액세스 토큰에서 활성화된 SID 중 하나에 적용되는 액세스 허용 및 액세스 거부 AES(액세스 거부 액세스 제어 항목)를 확인합니다. 이 특성이 없는 SID는 SE_GROUP_USE_FOR_DENY_ONLY 특성이 설정되지 않는 한 액세스 검사 동안 무시됩니다. |
| SE_GROUP_USE_FOR_DENY_ONLY | 이 특성이 있는 SID는 거부 전용 SID입니다. 시스템에서 액세스 검사 수행하는 경우 SID에 적용되는 액세스 거부 ACL을 확인하지만 SID에 대해 액세스 허용 ACE는 무시합니다. 이 특성을 설정하면 SE_GROUP_ENABLED 특성이 설정되지 않고 SID를 다시 사용할 수 없습니다. |
그룹 SID의 SE_GROUP_ENABLED 특성을 설정하거나 지우려면 AdjustTokenGroups 함수를 사용합니다. SE_GROUP_MANDATORY 특성이 있는 그룹 SID는 사용하지 않도록 설정할 수 없습니다. AdjustTokenGroups를 사용하여 액세스 토큰의 사용자 SID를 사용하지 않도록 설정할 수 없습니다.
토큰에서 SID를 사용할 수 있는지, 즉 SE_GROUP_ENABLED 특성이 있는지 여부를 확인하려면 CheckTokenMembership 함수를 호출합니다.
SID의 SE_GROUP_USE_FOR_DENY_ONLY 특성을 설정하려면 CreateRestrictedToken 함수를 호출할 때 지정하는 거부 전용 SID 목록에 SID를 포함합니다. CreateRestrictedToken 은 사용자 SID 및 SE_GROUP_MANDATORY 특성이 있는 그룹 SID를 포함하여 모든 SID에 SE_GROUP_USE_FOR_DENY_ONLY 특성을 적용할 수 있습니다. 그러나 SID에서 거부 전용 특성을 제거할 수 없으며 AdjustTokenGroups 를 사용하여 거부 전용 SID에서 SE_GROUP_ENABLED 특성을 설정할 수도 없습니다.
SID의 특성을 얻으려면 TokenGroups 값을 사용하여 GetTokenInformation 함수를 호출합니다. 함수는 그룹 SID 및 해당 특성을 식별하는 SID_AND_ATTRIBUTES 구조의 배열을 반환합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기