Compartir a través de

Implementación de appContainer

  • Artículo

AppContainer se implementa agregando nueva información al token de proceso, cambiando SeAccessCheck() para que todos los objetos heredados y sin modificar la lista de control de acceso (ACL) bloqueen las solicitudes de acceso de los procesos de AppContainer de forma predeterminada y vuelvan a incluir objetos ACL que deben estar disponibles para AppContainers.

El proceso

Comience agregando información nueva para el token de proceso. A continuación, cambie SeAccessCheck() para que todas las ACL heredadas sin modificar bloqueen las solicitudes de acceso de los procesos de AppContainer de forma predeterminada. Por último, vuelva a usar los recursos de ACL que deben estar disponibles para AppContainers.

El SID de AppContainer es un identificador único persistente para appcontainer. Los SID de funcionalidad conceden acceso a grupos de recursos a grupos de AppContainers. AppContainerNumber es un DWORD transitorio que se usa para distinguir entre AppContainers. Sin embargo, no debe usarse como identidad para AppContainer.

Para permitir que un único AppContainer acceda a un recurso, agregue su AppContainerSID a la ACL para ese recurso.

Para permitir que varios AppContainers específicos accedan a un recurso, agregue todos sus AppContainerSID a la ACL de ese recurso.

Para administrar grupos de permisos, cree un SID de funcionalidad (un GUID) y coloque ese SID de funcionalidad en todos los recursos que se van a conceder. A continuación, agregue el SID de funcionalidad al token de proceso.

Para permitir que todos los AppContainers accedan a un recurso, agregue el SID ALL APPLICATION PACKAGES al ACL para ese recurso. Esto actúa como un carácter comodín.

AppContainerSID y CapabilitySID admiten máscaras de acceso en Access Control entradas (ACE). Establezca según corresponda.