以程序的方式操纵NTFS的文件权限（上）

以程序的方式操纵NTFS的文件权限

陈皓

Windows NT/2K/XP版本的操作系统都支持NTFS格式的文件系统，这是一个有安全性质的文件系统，你可以通过Windows的资源管理器来设置对每个目录和文件的用户访问权限。这里我就不对NTFS的安全性进行讲述了，我默认你对NTFS的文件目录的安全设置有了一定的了解。在这里，我将向你介绍使用Windows的API函数来操纵NTFS的文件权限。

一、             理论和术语

在Windows NT/2K?XP下的对象，不一定是文件系统，还有其它的一些对象，如：进程、命名管道、打印机、网络共享、或是注册表等等，都可以设置用户访问权限。在Windows系统中，其是用一个安全描述符（Security Descriptors）的结构来保存其权限的设置信息，简称为SD，其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”，这是包括了安全设置信息的结构体。一个安全描述符包含以下信息：

• 一个安全标识符(Security identifiers)，其标识了该信息是哪个对象的，也就是用于记录安全对象的ID。简称为：SID。
• 一个DACL（Discretionary Access Control List），其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象，系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL，那么就是说这个对象是任何人都可以拥有完全的访问权限。
• 一个SACL（System Access Control List），其指出了在该对象上的一组存取方式（如，读、写、运行等）的存取控制权限细节的列表。
• 还有其自身的一些控制位。

DACL和SACL构成了整个存取控制列表Access Control List，简称ACL，ACL中的每一项，我们叫做ACE（Access Control Entry），ACL中的每一个ACE。

我们的程序不用直接维护SD这个结构，这个结构由系统维护。我们只用使用Windows 提供的相关的API函数来取得并设置SD中的信息就行了。不过这些API函数只有Windows NT/2K/XP才支持。

安全对象Securable Object是拥有SD的Windows的对象。所有的被命名的Windows的对象都是安全对象。一些没有命名的对象是安全对象，如：进程和线程，也有安全描述符SD。在对大多数的创建安全对象的操作中都需要你传递一个SD的参数，如：CreateFile和CreateProcess函数。另外，Windows还提供了一系列有关安全对象的安全信息的存取函数，以供你取得对象上的安全设置，或修改对象上的安全设置。如：GetNamedSecurityInfo, SetNamedSecurityInfo，GetSecurityInfo, SetSecurityInfo。

下图说明了，安全对象和DACL以及访问者之间的联系（来源于MSDN）。注意，DACL表中的每个ACE的顺序是有意义的，如果前面的Allow（或denied）ACE通过了，那么，系统就不会检查后面的ACE了。

系统会按照顺序依次检查所有的ACE规则，如下面的条件满足，则退出：

1、  如果一个Access-Denied的ACE明显地拒绝了请求者。

2、  如果某Access-Allowed的ACE明显地同意了请求者。

3、  全部的ACE都检查完了，但是没有一条ACE明显地允许或是拒绝请求者，那么系统将使用默认值，拒绝请求者的访问。

更多的理论和描述，请参看MSDN。

二、             实践与例程

1、   例程一：创建一个有权限设置的目录

这个例子我是从网上找来的，改了改。其中使用到的关键的API函数，我都把其加粗了。从程序中我们可以看到，我们先初始化了一个SD和一个ACL，然后调用LookupAccountName取得用户的SID，然后通过这个SID，对ACL中加入一个有允许访问权限的ACE，然后再把整个ACL设置到SD中。最后，组织文件安全描述的SA结构，并调用CreateFile创建文件。如果你的操作系统是NTFS，那么，你可以看到你创建出来的文件的安全属性的样子：

这个程序旨在说明如何生成一个新的SD和ACL的用法，其有四个地方的不足和不清：

1、  对于ACL和SID的声明采用了硬编码的方式指定其长度。

2、  对于API函数，没有出错处理。

3、  没有说明如何修改已有文件或目录的安全设置。

4、  没有说明安全设置的继承性。

对于这些我将在下个例程中讲述。

2、   例程二、为目录增加一个安全设置项

在我把这个例程序例出来以前，请允许我多说一下。

1、   对于文件、目录、命令管道，我们不一定要使用GetNamedSecurityInfo和SetNamedSecurityInfo函数，我们可以使用其专用函数GetFileSecurity和SetFileSecurity函数来取得或设置文件对象的SD，以设置其访问权限。需要使用这两个函数并不容易，正如前面我们所说的，我们还需要处理SD参数，要处理SD，就需要处理DACL和ACE，以及用户的相关SID，于是，一系统列的函数就被这两个函数带出来了。

2、   对于上一个例子中的使用硬编码指定SID的处理方法是。调用LookupAccountName函数时，先把SID，Domain名的参数传为空NULL，于是LookupAccountName会返回用户的SID的长度和Domain名的长度，于是你可以根据这个长度分配内存，然后再次调用LookupAccountName函数。于是就可以达到到态分配内存的效果。对于ACL也一样。

3、   对于给文件的ACL中增加一个ACE条目，一般的做法是先取出文件上的ACL，逐条取出ACE，和现需要增加的ACE比较，如果有冲突，则删除已有的ACE，把新加的ACE添置到最后。这里的最后，应该是非继承而来的ACE的最后。关于ACL继承，NTFS中，你可以设置文件和目录是否继承于其父目录的设置。在程序中同样可以设置。
 

（版权所有，转载时请注明出处和作者信息）

还是请看例程，这个程序比较长，来源于MSDN，我做了一点点修改，并把自己的理解加在注释中，所以，请注意代码中的注释：

#include <windows.h> #include <tchar.h> #include <stdio.h> //使用Windows的HeapAlloc函数进行动态内存分配 #define myheapalloc(x) (HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, x)) #define myheapfree(x)  (HeapFree(GetProcessHeap(), 0, x)) typedef BOOL (WINAPI *SetSecurityDescriptorControlFnPtr)(    IN PSECURITY_DESCRIPTOR pSecurityDescriptor,    IN SECURITY_DESCRIPTOR_CONTROL ControlBitsOfInterest,    IN SECURITY_DESCRIPTOR_CONTROL ControlBitsToSet); typedef BOOL (WINAPI *AddAccessAllowedAceExFnPtr)(   PACL pAcl,   DWORD dwAceRevision,   DWORD AceFlags,   DWORD AccessMask,   PSID pSid ); BOOL AddAccessRights(TCHAR *lpszFileName, TCHAR *lpszAccountName,        DWORD dwAccessMask) {    // 声明SID变量    SID_NAME_USE   snuType;    // 声明和LookupAccountName相关的变量（注意，全为0，要在程序中动态分配）    TCHAR *        szDomain       = NULL;    DWORD          cbDomain       = 0;    LPVOID         pUserSID       = NULL;    DWORD          cbUserSID      = 0;    // 和文件相关的安全描述符 SD 的变量    PSECURITY_DESCRIPTOR pFileSD  = NULL;     // 结构变量    DWORD          cbFileSD       = 0;        // SD的size    // 一个新的SD的变量，用于构造新的ACL（把已有的ACL和需要新加的ACL整合起来）    SECURITY_DESCRIPTOR  newSD;    // 和ACL 相关的变量    PACL           pACL           = NULL;    BOOL           fDaclPresent;    BOOL           fDaclDefaulted;    ACL_SIZE_INFORMATION AclInfo;    // 一个新的 ACL 变量    PACL           pNewACL        = NULL;  //结构指针变量    DWORD          cbNewACL       = 0;     //ACL的size