Condividi tramite


Modifica della sicurezza di accesso per oggetti a protezione diretta

Stampanti, servizi, chiavi del Registro di sistema, applicazioni DCOM e namespace WMI sono oggetti proteggibili. L'accesso agli oggetti a protezione diretta è protetto da descrittori di sicurezza, che specificano gli utenti che hanno accesso. A partire da Windows Vista, molti oggetti a protezione diretta hanno metodi per ottenere o impostare il descrittore di sicurezza. Con le autorizzazioni appropriate, è possibile leggere o modificare i descrittori di sicurezza in oggetti a protezione diretta. Usando questi metodi, è possibile controllare quali account utente o gruppi hanno accesso a una stampante, un servizio, uno spazio dei nomi WMI o un altro oggetto. Per altre informazioni sui descrittori di sicurezza e sul relativo uso in WMI, vedere Access to WMI Securable Objects.

Le sezioni seguenti sono descritte in questo argomento:

Oggetti e Metodi di descrittore di sicurezza

L'elenco seguente contiene i metodi che gli oggetti protetti devono utilizzare per consentirvi di leggere o modificare il descrittore di sicurezza:

Nota

Quando non viene specificato un nuovo SACL (Security Access Control List) in una chiamata a un metodo SetSecurityDescriptor, il descrittore di sicurezza SACL nell'oggetto a protezione diretta di destinazione viene impostato su NULL in modo che l'impostazione SACL precedente non venga mantenuta.

 

Conversione tra formati descrittori di sicurezza

I descrittori di sicurezza sono matrici di byte binarie complesse che in genere devono essere create e modificate in C++. Dopo aver usato uno dei metodi Get per ottenere il descrittore di sicurezza, la classe Win32_SecurityDescriptorHelper fornisce metodi che converte i descrittori di sicurezza in SDDL (Security Descriptor Definition Language) o in istanze di Win32_SecurityDescriptor.

È possibile modificare più facilmente gli elenchi di controllo di accesso (ACL) nelle istanze di Win32_SecurityDescriptor o in SDDL. Per altre informazioni sulla struttura e sull'uso dei descrittori di sicurezza in WMI, vedere oggetti descrittore di sicurezza WMI.

In C++ o C# usare le funzioni di conversione per convertire i descrittori di sicurezza binari in linguaggio SDDL (Security Descriptor Definition Language). Per modificare i valori del descrittore di sicurezza nelle applicazioni C++, usare ConvertSecurityDescriptorToStringSecurityDescriptor e ConvertStringSecurityDescriptorToSecurityDescriptor.

Problemi di sicurezza

È consigliabile apportare modifiche ai descrittori di sicurezza con molta cautela in modo che la sicurezza dell'oggetto non venga compromessa. Tenere presente che l'ordine delle voci di controllo di accesso (ACL) in un elenco di controllo di accesso discrezionale (DACL) può influire sulla sicurezza degli accessi. Per altre informazioni, vedere Order of ACEs in a DACL.

Descrittori di Sicurezza degli oggetti WMI

Classe Helper del Descrittore di Sicurezza

procedure consigliate per la sicurezza

Mantenimento della Sicurezza WMI

controllo di accesso

l'accesso agli spazi dei nomi WMI