Modifica della sicurezza di accesso per oggetti a protezione diretta
Stampanti, servizi, chiavi del Registro di sistema, applicazioni DCOM e namespace WMI sono oggetti proteggibili. L'accesso agli oggetti a protezione diretta è protetto da descrittori di sicurezza, che specificano gli utenti che hanno accesso. A partire da Windows Vista, molti oggetti a protezione diretta hanno metodi per ottenere o impostare il descrittore di sicurezza. Con le autorizzazioni appropriate, è possibile leggere o modificare i descrittori di sicurezza in oggetti a protezione diretta. Usando questi metodi, è possibile controllare quali account utente o gruppi hanno accesso a una stampante, un servizio, uno spazio dei nomi WMI o un altro oggetto. Per altre informazioni sui descrittori di sicurezza e sul relativo uso in WMI, vedere Access to WMI Securable Objects.
Le sezioni seguenti sono descritte in questo argomento:
- Gli Oggetti e Metodi del Descrittore di Sicurezza
- Conversione tra formati di descrittore di sicurezza
- problemi di sicurezza
- argomenti correlati
Oggetti e Metodi di descrittore di sicurezza
L'elenco seguente contiene i metodi che gli oggetti protetti devono utilizzare per consentirvi di leggere o modificare il descrittore di sicurezza:
Namespace WMI
Un provider può stabilire la sicurezza che consente solo a determinati gruppi di avere accesso ai dati in uno spazio dei nomi WMI. La sicurezza dello spazio dei nomi è controllata dai metodi nella classe __SystemSecurity. A partire da Windows Vista, i metodi getSecurityDescriptor e SetSecurityDescriptor restituiscono e scrivono oggetti __SecurityDescriptor. Per altre informazioni, vedere Impostazione dei descrittori di sicurezza dello spazio dei nomi.
Chiavi del Registro di sistema
A partire da Windows Vista, è possibile proteggere le chiavi del Registro di sistema in modo che non possano essere modificate da utenti non autorizzati. La classeStdRegProvdispone dei metodi diGetSecurityDescriptore SetSecurityDescriptor. Questi metodi restituiscono e scrivono Win32_SecurityDescriptor oggetti.
Stampanti
A partire da Windows Vista, è possibile proteggere l'accesso alle istanze della classe Win32_Printer usando i metodi GetSecurityDescriptor e SetSecurityDescriptor. Questi metodi restituiscono e scrivono Win32_SecurityDescriptor oggetti.
Servizi
A partire da Windows Vista, è possibile proteggere l'accesso alle istanze della classe Win32_Service usando i metodiGetSecurityDescriptore SetSecurityDescriptor. Questi metodi restituiscono e scrivono Win32_SecurityDescriptor oggetti.
Applicazioni DCOM
Le istanze dell'applicazione DCOM hanno diversi descrittori di sicurezza. A partire da Windows Vista, usare i metodi della classe Win32_DCOMApplicationSetting per ottenere o modificare i vari descrittori di sicurezza. I descrittori di sicurezza vengono restituiti come istanze della classe Win32_SecurityDescriptor.
Per ottenere o modificare le autorizzazioni di configurazione, chiamare i metodi GetConfigurationSecurityDescriptor o SetConfigurationSecurityDescriptor.
Per ottenere o modificare le autorizzazioni di accesso, chiamare i metodi GetAccessSecurityDescriptor o SetAccessSecurityDescriptor.
Per ottenere o modificare le autorizzazioni di avvio e attivazione, chiamare i metodi GetLaunchSecurityDescriptor o SetLaunchSecurityDescriptor,
file
I metodi GetSecurityDescriptor e SetSecurityDescriptor si trovano nella classe Win32_LogicalFileSecuritySetting anziché nella classe CIM_DataFile.
Azioni
I metodi GetSecurityDescriptor e setSecurityDescriptor si trovano nella classe Win32_LogicalShareSecuritySetting anziché nella classe Win32_Share.
Nota
Quando non viene specificato un nuovo SACL (Security Access Control List) in una chiamata a un metodo SetSecurityDescriptor, il descrittore di sicurezza SACL nell'oggetto a protezione diretta di destinazione viene impostato su NULL in modo che l'impostazione SACL precedente non venga mantenuta.
Conversione tra formati descrittori di sicurezza
I descrittori di sicurezza sono matrici di byte binarie complesse che in genere devono essere create e modificate in C++. Dopo aver usato uno dei metodi Get per ottenere il descrittore di sicurezza, la classe Win32_SecurityDescriptorHelper fornisce metodi che converte i descrittori di sicurezza in SDDL (Security Descriptor Definition Language) o in istanze di Win32_SecurityDescriptor.
È possibile modificare più facilmente gli elenchi di controllo di accesso (ACL) nelle istanze di Win32_SecurityDescriptor o in SDDL. Per altre informazioni sulla struttura e sull'uso dei descrittori di sicurezza in WMI, vedere oggetti descrittore di sicurezza WMI.
In C++ o C# usare le funzioni di conversione per convertire i descrittori di sicurezza binari in linguaggio SDDL (Security Descriptor Definition Language). Per modificare i valori del descrittore di sicurezza nelle applicazioni C++, usare ConvertSecurityDescriptorToStringSecurityDescriptor e ConvertStringSecurityDescriptorToSecurityDescriptor.
Problemi di sicurezza
È consigliabile apportare modifiche ai descrittori di sicurezza con molta cautela in modo che la sicurezza dell'oggetto non venga compromessa. Tenere presente che l'ordine delle voci di controllo di accesso (ACL) in un elenco di controllo di accesso discrezionale (DACL) può influire sulla sicurezza degli accessi. Per altre informazioni, vedere Order of ACEs in a DACL.
Argomenti correlati