Modifica della sicurezza di accesso in oggetti a protezione diretta
Le stampanti, i servizi, le chiavi del Registro di sistema, le applicazioni DCOM e gli spazi dei nomi WMI sono oggetti a protezione diretta. L'accesso agli oggetti a protezione diretta è protetto dai descrittori di sicurezza, che specificano gli utenti che hanno accesso. A partire da Windows Vista, molti oggetti a protezione diretta dispongono di metodi per ottenere o impostare il descrittore di sicurezza. Con le autorizzazioni appropriate, è possibile leggere o modificare i descrittori di sicurezza in oggetti a protezione diretta. Usando questi metodi, è possibile controllare quali account utente o gruppi hanno accesso a una stampante, un servizio, uno spazio dei nomi WMI o un altro oggetto. Per altre informazioni sui descrittori di sicurezza e sull'uso in WMI, vedere Accesso agli oggetti a protezione diretta WMI.
Le sezioni seguenti sono illustrate in questo argomento:
- Metodi di descrittore oggetti e sicurezza
- Conversione tra formati di descrittore di sicurezza
- Problemi di sicurezza
- Argomenti correlati
Metodi di descrittore oggetti e sicurezza
L'elenco seguente contiene i metodi che gli oggetti a protezione diretta devono consentire di leggere o modificare il descrittore di sicurezza:
Spazi dei nomi WMI
Un provider può stabilire la sicurezza che consente a determinati gruppi di avere accesso ai dati in uno spazio dei nomi WMI. La sicurezza dello spazio dei nomi è controllata dai metodi della classe __SystemSecurity . A partire da Windows Vista, i metodi GetSecurityDescriptor e SetSecurityDescriptor restituiscono e scrivono oggetti __SecurityDescriptor. Per altre informazioni, vedere Impostazione dei descrittori di sicurezza dello spazio dei nomi.
Chiavi del Registro di sistema
A partire da Windows Vista, è possibile proteggere le chiavi del Registro di sistema in modo che non possano essere modificate dagli utenti non autorizzati. La classe StdRegProv include i metodi GetSecurityDescriptor e SetSecurityDescriptor. Questi metodi restituiscono e scrivono oggetti Win32_SecurityDescriptor .
Stampanti
A partire da Windows Vista, è possibile proteggere l'accesso alle istanze della classe Win32_Printer usando i metodi GetSecurityDescriptor e SetSecurityDescriptor. Questi metodi restituiscono e scrivono oggetti Win32_SecurityDescriptor .
Servizi
A partire da Windows Vista, è possibile proteggere l'accesso alle istanze della classe Win32_Service usando i metodi GetSecurityDescriptor e SetSecurityDescriptor. Questi metodi restituiscono e scrivono oggetti Win32_SecurityDescriptor .
Applicazioni DCOM
Le istanze dell'applicazione DCOM hanno diversi descrittori di sicurezza. A partire da Windows Vista, usare i metodi della classe Win32_DCOMApplicationSetting per ottenere o modificare i vari descrittori di sicurezza. I descrittori di sicurezza vengono restituiti come istanze della classe Win32_SecurityDescriptor .
Per ottenere o modificare le autorizzazioni di configurazione, chiamare i metodi GetConfigurationSecurityDescriptor o SetConfigurationSecurityDescriptor.
Per ottenere o modificare le autorizzazioni di accesso, chiamare i metodi GetAccessSecurityDescriptor o SetAccessSecurityDescriptor .
Per ottenere o modificare le autorizzazioni di avvio e attivazione, chiamare i metodi GetLaunchSecurityDescriptor o SetLaunchSecurityDescriptor ,
File
I metodi GetSecurityDescriptor e SetSecurityDescriptor si trovano nella classe Win32_LogicalFileSecuritySetting anziché nella classe CIM_DataFile.
Condivisioni
I metodi GetSecurityDescriptor e SetSecurityDescriptor si trovano nella classe Win32_LogicalShareSecuritySetting anziché nella classe Win32_Share.
Nota
Quando un nuovo elenco di sicurezza Controllo di accesso (SACL) non viene specificato in una chiamata a un metodo SetSecurityDescriptor, il descrittore di sicurezza SACL nell'oggetto a protezione diretta di destinazione è impostato su NULL in modo che l'impostazione SACL precedente non persiste.
Conversione tra formati di descrittore di sicurezza
I descrittori di sicurezza sono matrici di byte binarie complesse che normalmente devono essere create e modificate in C++. Dopo aver usato uno dei metodi Get per ottenere il descrittore di sicurezza, la classe Win32_SecurityDescriptorHelper fornisce metodi che converte i descrittori di sicurezza in Linguaggio di definizione del descrittore di sicurezza (SDDL) o in Win32_SecurityDescriptor istanze.
È possibile modificare le Controllo di accesso Liste (ACL) più facilmente nelle istanze di Win32_SecurityDescriptor o in SDDL. Per altre informazioni sulla struttura e sull'uso dei descrittori di sicurezza in WMI, vedere Oggetti descrittori di sicurezza WMI.
In C++ o C# usare le funzioni di conversione per convertire i descrittori di sicurezza binari in Linguaggio di definizione del descrittore di sicurezza (SDDL). Per modificare i valori del descrittore di sicurezza nelle applicazioni C++, usare ConvertSecurityDescriptorToStringSecurityDescriptor e ConvertStringSecurityDescriptorToSecurityDescriptor.
Problemi di sicurezza
È consigliabile che le modifiche ai descrittori di sicurezza vengano eseguite con grande cautela in modo che la sicurezza dell'oggetto non venga compromessa. Tenere presente che l'ordine delle voci di controllo di accesso (ACL) in un elenco di controllo degli accessi discrezionale può influire sulla sicurezza degli accessi. Per altre informazioni, vedere Order of ACEs in a DACL.For more information, see Order of ACEs in a DACL.
Argomenti correlati