Estabelecer herança da segurança de namespace
Você pode controlar se um namespace filho herda o descritor de segurança do namespace pai.
Os namespaces do WMI têm descritores de segurança que controlam quem pode acessar o namespace e os dados do namespace. Cada descritor de segurança tem uma DACL (lista de controle de acesso discricionário) e uma SACL (lista de controle de acesso de segurança). Essas listas contêm ACEs (entradas de controle de acesso).
Dependendo das constantes de sinalizador de ACE do namespace definidas, as permissões aplicadas a um namespace podem ser herdadas por todos os namespaces filho desse namespace. Um namespace filho herdará o descritor de segurança de seu namespace pai quando o namespace filho for criado e o sinalizador CONTAINER_INHERIT_ACE estiver no descritor de segurança do namespace pai. Se CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE estiver definido, somente o namespace filho herdará o descritor de segurança, não os namespaces neto. Namespaces filho podem substituir as permissões de segurança de seus pais chamando métodos da classe __SystemSecurity para gravar um novo descritor de segurança. As configurações de segurança padrão não podem ser alteradas. Para obter mais informações, veja Configurar descritores de segurança de namepace. Para obter mais informações sobre DACLs, confira ACL (listas de controle de acesso) e Constantes de tipo de ACE de namespace.
Observe que as permissões padrão não podem ser alteradas. Além disso, a configuração do sinalizador SE_DACL_PROTECTED ao definir o SD (descritor de segurança) não é usada para adicionar um SD especializado a um namespace filho. Para substituir um SD herdado, basta definir outro. Para herdar esse SD em um namespace filho, passe o sinalizador CONTAINER_INHERIT_ACE no descritor de segurança do namespace. Para herdar apenas ao filho, e não aos descendentes, passe CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE
.
Tópicos relacionados