Dateizuordnungssicherheit und Zugriffsrechte
Mit dem Windows-Sicherheitsmodell können Sie den Zugriff auf Dateizuordnungsobjekte steuern. Weitere Informationen finden Sie unter Zugriffssteuerungsmodell.
Sie können einen Sicherheitsdeskriptor für ein Dateizuordnungsobjekt angeben, wenn Sie die CreateFileMapping-Funktion aufrufen. Wenn Sie NULL angeben, ruft das Objekt einen Standardsicherheitsdeskriptor ab. Die ACLs in der Standardsicherheitsbeschreibung für ein Dateizuordnungsobjekt stammen aus dem primären Token oder Identitätswechseltoken des Erstellers.
Um die Sicherheitsbeschreibung eines Dateizuordnungsobjekts abzurufen, rufen Sie die Funktion GetNamedSecurityInfo oder GetSecurityInfo auf. Um den Sicherheitsdeskriptor eines Dateizuordnungsobjekts zu ändern, rufen Sie die Funktion SetNamedSecurityInfo oder SetSecurityInfo auf.
Die gültigen Zugriffsrechte für Dateizuordnungsobjekte umfassen die DELETE-, READ_CONTROL-, WRITE_DAC- und WRITE_OWNER -Standardzugriffsrechte. Dateizuordnungsobjekte unterstützen nicht das SYNCHRONIZE-Standardzugriffsrecht. In der folgenden Tabelle sind die Zugriffsrechte aufgelistet, die für Dateizuordnungsobjekte spezifisch sind.
| Zugriffsrecht | Bedeutung |
|---|---|
| FILE_MAP_ALL_ACCESS | Schließt alle Zugriffsrechte für ein Dateizuordnungsobjekt mit Ausnahme von FILE_MAP_EXECUTE ein. Die MapViewOfFile- und MapViewOfFileEx-Funktionen behandeln dies genauso wie die Angabe von FILE_MAP_WRITE. |
| FILE_MAP_EXECUTE | Ermöglicht die Zuordnung ausführbarer Ansichten des Dateizuordnungsobjekts. Das Objekt muss mit Seitenschutz erstellt worden sein, der den Ausführungszugriff ermöglicht, z. B. den Schutz PAGE_EXECUTE_READ, PAGE_EXECUTE_WRITECOPY oder PAGE_EXECUTE_READWRITE. |
| FILE_MAP_READ | Ermöglicht die Zuordnung von schreibgeschützten oder beim Schreiben zu kopierenden Ansichten des Dateizuordnungsobjekts. |
| FILE_MAP_WRITE | Ermöglicht die Zuordnung der Ansichten Schreibgeschützt, Kopie beim Schreibvorgang oder Lesen/Schreiben eines Dateizuordnungsobjekts. Das Objekt muss mit Seitenschutz erstellt worden sein, der einen Schreibzugriff wie den PAGE_READWRITE- oder den PAGE_EXECUTE_READWRITE-Schutz zulässt. |
Das Zuordnen der Ansicht „Kopie bei Schreibvorgang“ eines Dateizuordnungsobjekts erfordert denselben Zugriff wie die Zuordnung einer schreibgeschützten Ansicht. Das FILE_MAP_COPY-Flag ist kein Zugriffsrecht, und es sollte nicht als Teil einer DACL in einer Sicherheitsbeschreibung angegeben werden. Dieser Wert kann nur mit Funktionen verwendet werden, die eine Ansicht eines Dateizuordnungsobjekts zuordnen, z. B. die MapViewOfFile- und MapViewOfFileEx-Funktionen oder mit der OpenFileMapping-Funktion, die FILE_MAP_COPY genau wie FILE_MAP_READ behandelt.
Sie können das ACCESS_SYSTEM_SECURITY-Zugriffsrecht auf ein Dateizuordnungsobjekt anfordern, wenn Sie die SACL des Objekts lesen oder schreiben möchten. Weitere Informationen finden Sie unter Zugriffssteuerungslisten (ACLs) und SACL-Zugriffsrecht.