Работа с ACL
В этом разделе показано, как работать со списками ACL, связывать ACL с дескриптором безопасности и добавлять ACL. Взаимосвязь между этими объектами и соответствующими функциями представлена на рис. 15.1.
Сначала необходимо инициализировать структуру ACL. Поскольку непосредственный доступ к ACL осуществляться не должен, его внутреннее строение для нас безразлично. Однако программа должна предоставить буфер, выступающий в роли ACL; обработка содержимого выполняется соответствующими функциями.
BOOL InitializeAcl(PACL pAcl, DWORD cbAcl, DWORD dwAclRevision)
pAcl — адрес предоставляемого программистом буфера размером cbAcl байт. В ходе последующего обсуждения и в программе 15.4 будет показано, как определить размер ACL, но для большинства целей размера 1 Кбайт будет вполне достаточно. Значение параметра dwAclRevision следует устанавливать равным ACL_REVISION.
Далее мы должны добавить АСЕ в желаемом порядке, используя функции AddAccessAllowedAce и AddAccessDeniedAce.
BOOL AddAccessAllowedAce(PACL pAcl, DWORD dwAclRevision DWORD dwAccessMask, PSID pSid)
BOOL AddAccessDeniedAce(PACL pAcl, DWORD dwAclRevision, DWORD dwAccessMask, PSID pSid)
Параметр pAcl указывает на ту же структуру ACL, которая была инициализирована функцией InitializeACL, а параметр dwAclRevision также следует устанавливать равным ACL_REVISION. Параметр pSid указывает на SID, например на тот, который был получен с помощью функции LookupAccountName.
Права, которые предоставляются или в которых отказывается пользователю или группе, идентифицируемым данным SID, определяются маской доступа (dwAccessMask).
Последнее, что потребуется сделать — это связать ACL с дескриптором безопасности. В случае разграничительного ACL для этого используется функция SetSecurityDescriptorDacl.
BOOL SetSecurityDescriptorDacl(PSECURITY_DESCRIPTOR pSecurityDescriptor, BOOL bDaclPresent, PACL pAcl, BOOL fDaclDefaulted)
Значение параметра bDaclPresent, равное TRUE, указывает на то, что в структуре pAcl имеется ACL. Если этот параметр равен FALSE, то следующие два параметра, pAcl и fDaclDefaulted, игнорируются. Флаг SE_DACL_PRESENT структуры SECURITY_DESCRIPTOR_CONTROL также устанавливается равным значению этого параметра.
Значение FALSE параметра fDaclDefaulted указывает на то, что ACL был сгенерирован программистом. В противном случае ACL был получен с использованием механизма, принятого по умолчанию, например, путем наследования; вместе с тем, для указания того, что имеется ACL, значение параметра должно быть равным TRUE. Флаг SE_DACL_PRESENT структуры SECURITY_DESCRIPTOR_CONTROL также устанавливается равным значению этого параметра.
Доступны и другие функции, предназначенные для удаления и считывания АСЕ из ACL; они обсуждаются далее в этой главе. А теперь настало время обратиться к примеру.
Пример: использование разрешений на доступ в стиле UNIX к файлам NTFS
Система разрешений на доступ к файлам, принятая в UNIX, предоставляет удобную возможность проиллюстрировать работу системы безопасности Windows, хотя последняя по своему характеру является гораздо более общей, чем стандартные средства защиты UNIX. В приведенной ниже реализации создается девять АСЕ, предоставляющих или запрещающих доступ по чтению, записи или запуску файлов на выполнение владельцу (owner), группе (group) и прочим пользователям (everyone). Предусмотрены две команды.
1. chmodW — имитирует UNIX-команду chmod. В данной реализации возможности команды расширены за счет того, что в случае отсутствия указанного файла он будет создан, а также за счет того, что пользователю предоставляется возможность указывать имя группы.
2. lsFP — расширенный вариант команды lsW (программа 3.2). Если запрошен вывод подробной информации, то отображается имя пользователя-владельца файла, а также результат интерпретации существующих ACL, которые могли быть установлены командой chmodW.
Указанные две команды представлены программами 15.1 и 15.2. В программах 15.3, 15.4 и 15.5 реализованы три вспомогательные функции.
1. InitializeUnixSA, которая создает действительную структуру атрибутов безопасности, соответствующих набору разрешений доступа UNIX. Эта функция обладает достаточной общностью, чтобы ее можно было применять по отношению к таким объектам, отличным от файлов, как процессы (глава 6), именованные каналы (глава 11) и объекты синхронизации (глава 8).
2. ReadFilePermissions.
3. ChangeFilePermissions.
Примечание
Приведенные ниже программы являются упрощенными вариантами программ, представленных на Web-сайте книги. В полных вариантах программ используются отдельные массивы AllowedAceMasks и DeniedAceMasks, в то время как в листингах ниже задействован только один массив.
Использование отдельного массива DeniedAceMasks обеспечивает невозможность запрета прав доступа SYNCHRONIZE, поскольку флаг SYNCHRONIZE устанавливается во всех трех макросах FILE_GENERIC_READ, FILE_GENERIC_WRITE и FILE_GENERIC_EXECUTE, которые являются комбинациями нескольких флагов (см. заголовочный файл WINNT.H). Дополнительные разъяснения предоставляются в полном варианте программы, доступном на Web-сайте. Кроме того, в полном варианте программы проверяется, не указано ли в командной строке групповое имя; ниже мы будем везде предполагать, что указывается имя пользователя.
Программа 15.1. chmodW: изменение разрешений на доступ к файлу
/* Глава 15. Команда chmodW. */
/* chmodW [опции] режим файл [ИмяГруппы].
Изменение режима доступа к именованному файлу.
Опции:
-f Принудительный режим — не выводить предупреждающие сообщения в случае невозможности изменения режима.
–с Создать файл, если он не существует. Необязательное имя группы указывается после имени файла. */
/* Требуются NTFS и Windows NT (под управлением Windows 9x программа работать не будет). */
#include "EvryThng.h"
int _tmain(int argc, LPTSTR argv[]) {
HANDLE hFile, hSecHeap;
BOOL Force, CreateNew, Change, Exists;
DWORD Mode, DecMode, UsrCnt = ACCT_NAME_SIZE;
TCHAR UsrNam[ACCT_NAME_SIZE];
int FileIndex, GrpIndex, ModeIndex;
/* Массив прав доступа к файлу, следующих в том порядке, который принят в UNIX. */
/* Эти права будут различными для объектов различного типа. */
/*ПРИМЕЧАНИЕ: в полном варианте программы, находящемся на Web-сайте, */
/*используются отдельные массивы масок разрешения и запрещения доступа.*/
DWORD AceMasks[] = {
FILE_GENERIC_READ, FILE_GENERIC_WRITE, FILE_GENERIC_EXECUTE
};
LPSECURITY_ATTRIBUTES pSa = NULL;
ModeIndex = Options(argc, argv, _T("fc"), &Force, &CreateNew, NULL);
GrpIndex = ModeIndex + 2;
FileIndex = ModeIndex + 1;
DecMode = _ttoi(argv[ModeIndex]);
/* Режим защиты представляет собой восьмеричное число. */
Mode = ((DecMode / 100) % 10) * 64 /*Преобразовать в десятичное число.*/
+ ((DecMode / 10) % 10) * 8 + (DecMode % 10);
Exists = (_taccess(argv[FileIndex], 0) == 0);
if (!Exists && CreateNew) {
/* Файл не существует; создать новый файл. */
GetUserName(UsrNam, &UsrCnt);
pSa = InitializeUnixSA(Mode, UsrNam, argv[GrpIndex], AceMasks, &hSecHeap);
hFile = CreateFile(argv[FileIndex], 0, 0, pSa, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
CloseHandle(hFile);
HeapDestroy(hSecHeap); /* Освободить память, занимаемую структурами безопасности. */
}
else if (Exists) { /* Файл существует; изменить разрешения доступа. */
Change = ChangeFilePermissions(Mode, argv[FileIndex], AceMasks);
}
return 0;
}
В программе 15.2 представлена соответствующая часть команды lsFP, а именно, функция Process Item.
Программа 15.2. lsFP: перечисление разрешений на доступ к файлу
static BOOL ProcessItem(LPWIN32_FIND_DATA pFileData, DWORD NumFlags, LPBOOL Flags)
/* Вывести список атрибутов с указанием разрешений доступа и владельца. */
/* Требуются NTFS и Windows NT (под управлением Windows 9x программа работать не будет). */
{
DWORD FType = FileType(pFileData), Mode, i;
BOOL Long = Flags[1];
TCHAR GrpNam[ACCT_NAME_SIZE], UsrNam[ACCT_NAME_SIZE];
SYSTEMTIME LastWrite;
TCHAR PermString[] = _T("---------");
const TCHAR RWX[] = {'r','w','x'}, FileTypeChar[] = {' ', 'd'};
if (FType != TYPE_FILE && FType != TYPE_DIR) return FALSE;
_tprintf(_T("\n"));
if (Long) {
Mode = ReadFilePermissions(pFileData->cFileName, UsrNam, GrpNam);
if (Mode == 0xFFFFFFFF) Mode = 0;
for (i = 0; i < 9; i++) {
if (Mode >> (8 – i) & 0x1) PermString[i] = RWX[i % 3];
}
_tprintf(_T("%c%s 18.7s %8.7s%10d"), FileTypeChar[FType – 1], PermString, UsrNam, GrpNam, pFileData->nFileSizeLow);
FileTimeToSystemTime(&(pFileData->ftLastWriteTime), &LastWrite);
_tprintf(_T(" %02d/%02d/%04d %02d:%02d:%02d"), LastWrite.wMonth, LastWrite.wDay, LastWrite.wYear, LastWrite.wHour, LastWrite.wMinute, LastWrite.wSecond);
}
_tprintf(_T(" %s"), pFileData->cFileName);
return TRUE;
}
Далее мы рассмотрим реализацию вспомогательных функций.
Пример: инициализация атрибутов защиты
Программа 15.3 представляет вспомогательную функцию InitializeUnixSA. Эта функция создает структуру атрибутов безопасности, которая содержит ACL с элементами АСЕ, эмулирующими разрешения на доступ к файлам в UNIX. Существует девять АСЕ, предоставляющих или запрещающих доступ по чтению, записи или запуску файлов на выполнение владельцу (owner), группе (group) и прочим пользователям (everyone). Эта структура не является локальной переменной функции и должна распределяться и инициализироваться, а затем возвращаться вызывающей программе; обратите внимание на массив AceMasks в программе 15.1.
Программа 15.3. InitUnFp: инициализация атрибутов защиты
/* Задание режима доступа в стиле UNIX посредством элементов АСЕ, хранящихся в структуре SECURITY_ATTRIBUTES. */
#include "EvryThng.h"
#define ACL_SIZE 1024
#define INIT_EXCEPTION 0x3
#define CHANGE_EXCEPTION 0x4
#define SID_SIZE LUSIZE
#define DOM_SIZE LUSIZE
LPSECURITY_ATTRIBUTES InitializeUnixSA(DWORD UnixPerms, LPCTSTR UsrNam, LPCTSTR GrpNam, LPDWORD AceMasks, LPHANDLE pHeap) {
HANDLE SAHeap = HeapCreate(HEAP_GENERATE_EXCEPTIONS, 0, 0);
LPSECURITY_ATTRIBUTES pSA = NULL;
PSECURITY_DESCRIPTOR pSD = NULL;
PACL pAcl = NULL;
BOOL Success;
DWORD iBit, iSid, UsrCnt = ACCT_NAME_SIZE;
/* Таблицы имен пользователя (User), группы (Group) и прочих пользователей (Everyone), идентификаторов SID и так далее для LookupAccountName и создания SID. */
LPCTSTR pGrpNms[3] = {EMPTY, EMPTY, _T("Everyone")};
PSID pSidTable[3] = {NULL, NULL, NULL};
SID_NAME_USE sNamUse[3] = {SidTypeUser, SidTypeGroup, SidTypeWellKnownGroup};
TCHAR RefDomain[3][DOM_SIZE];
DWORD RefDomCnt[3] = {DOM_SIZE, DOM_SIZE, DOM_SIZE};
DWORD SidCnt[3] = {SID_SIZE, SID_SIZE, SID_SIZE};
__try { /* Блок try-except для исключений при распределении памяти. */
*рНеар = SAHeap;
pSA = HeapAlloc(SAHeap, 0, sizeof (SECURITY_ATTRIBUTES));
pSA->nLength = sizeof(SECURITY_ATTRIBUTES);
pSA->bInheritHandle = FALSE;
/* Программист может выполнить эти установки позже. */
pSD = HeapAlloc(SAHeap, 0, sizeof(SECURITY_DESCRIPTOR));
pSA->lpSecurityDescriptor = pSD;
InitializeSecurityDescriptor(pSD, SECURITY DESCRIPTOR REVISION);
/* Получить SID пользователя, группы и прочих пользователей.
* Другие важные подробности можно найти на Web-сайте. */
pGrpNms[0] = UsrNam;
pGrpNms[1] = GrpNam;
for (iSid = 0; iSid < 3; iSid++) {
pSidTable[iSid] = HeapAlloc(SAHeap, 0, SID_SIZE);
LookupAccountName(NULL, pGrpNms[iSid], pSidTable[iSid], &SidCnt[iSid], RefDomain[iSid], &RefDomCnt[iSid], &sNamUse[iSid]);
}
SetSecurityDescriptorOwner(pSD, pSidTable[0], FALSE);
SetSecurityDescriptorGroup(pSD, pSidTable[1], FALSE);
pAcl = HeapAlloc(ProcHeap, HEAP_GENERATE_EXCEPTIONS, ACL_SIZE);
InitializeAcl(pAcl, ACL_SIZE, ACL_REVISION);
/* Добавить все элементы АСЕ, разрешающие и запрещающие доступ. */
for (iBit = 0; iBit < 9; iBit++) {
if ((UnixPerms >> (8 – iBit) & 0x1) != 0 && AceMasks[iBit%3] != 0) AddAccessAllowedAce(pAcl, ACL_REVISION, AceMasks [iBit%3], pSidTable [iBit/3]);
else if (AceMasks[iBit%3] != 0) AddAccessDeniedAce(pAcl, ACL_REVISION, AceMasks [iBit%3], pSidTable [iBit/3]);
}
/* Добавить запрет доступа для всех АСЕ категории "Прочие". */
Success = Success && AddAccessDeniedAce(pAcl, ACL_REVISION, STANDARD_RIGHTS_ALL | SPECIFIC_RIGHTS_ALL, pSidTable[2]);
/* Связать ACL с атрибутом защиты. */
SetSecurityDescriptorDacl(pSD, TRUE, pAcl, FALSE);
return pSA;
} /* Конец блока try-except. */
__except(EXCEPTION_EXECUTE_HANDLER) { /* Освободить все ресурсы. */
if (SAHeap != NULL) HeapDestroy(SAHeap);
pSA = NULL;
}
return pSA;
}