Составление дескриптора безопасности

@George Sirin · Регистрация: 24.07.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте, уважаемые форумчане!

Я в winapi пока новичок. Сейчас разбираюсь с security descriptor. Изучал много информации в msdn. И решил составить дескриптор сначала с помощью структур. А в конце потом с помощью функции СonvertSecurityDescriptorToStringSecurit yDescriptor сделать текстовый тип. И вот составил такую функцию, в которой происходит крах.

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
// Init process security.
HRESULT initComSecurity()
{
    // Local vars.
    HRESULT  hr = NOERROR;
    DWORD    dwErr;
    BOOL     fRet;
    SECURITY_DESCRIPTOR SecurityDesc = {0};
    EXPLICIT_ACCESS     ea = {0};
    PACL     pAcl         = NULL;
    PSID     pSidAdmins   = NULL;
    PSID     pSidAuthUser = NULL;
    DWORD    dwSidAdminsSize=SECURITY_MAX_SID_SIZE;
    DWORD    dwSidAuthUserSize=SECURITY_MAX_SID_SIZE;
 
    // Try block.Begin.
    try
    {
        // Initialize the security descriptor.
        fRet = InitializeSecurityDescriptor( &SecurityDesc, SECURITY_DESCRIPTOR_REVISION );
        if ( !fRet )
        {
            dwErr = GetLastError();
            hr = HRESULT_FROM_WIN32( dwErr );
            throw QString("Can't initialize security descriptor. Errcode: %1").arg(dwErr);
        }
 
        // Allocate enough memory for the 'pSidAdmins'.
        if ( ! ( pSidAdmins = LocalAlloc ( LMEM_FIXED, SECURITY_MAX_SID_SIZE ) ) )
            throw QString("Could not allocate memory for 'pSidAdmins'.");
        // Allocate enough memory for the 'pSidAuthUser'.
        if ( ! ( pSidAuthUser = LocalAlloc ( LMEM_FIXED, SECURITY_MAX_SID_SIZE ) ) )
            throw QString("Could not allocate memory for 'pSidAuthUser'.");
 
        // Create SID for Administrators.
        hr = CreateWellKnownSid( WinBuiltinAdministratorsSid, NULL, &pSidAdmins, &dwSidAdminsSize );
        if ( FAILED( hr ) )
        {
            throw QString("Can't create SID for Administrator");
        }
 
        // Create SID for AuthenticatedUsers.
        hr = CreateWellKnownSid( WinAuthenticatedUserSid, NULL, &pSidAuthUser, &dwSidAuthUserSize );
        if ( FAILED( hr ) )
        {
            throw QString("Can't Create SID for AuthenticatedUsers.");
        }
 
        // Set the security descriptor owner to Administrators.
        fRet = SetSecurityDescriptorOwner( &SecurityDesc, pSidAdmins, FALSE);
        if ( !fRet )
        {
            dwErr = GetLastError();
            hr = HRESULT_FROM_WIN32( dwErr );
            throw QString("Can't set the security descriptor owner to Administrators. Errcode: %1").arg(dwErr);
        }
 
        // Set the security descriptor group to Administrators.
        fRet = SetSecurityDescriptorGroup( &SecurityDesc, pSidAdmins, FALSE);
        if ( !fRet )
        {
            dwErr = GetLastError();
            hr = HRESULT_FROM_WIN32( dwErr );
            throw QString("Can't set the security descriptor group to Administrators. Errcode: %1").arg(dwErr);
        }
 
        // **Initialize 'pAcl'.Begin.*************************************
        // First need to allocate space, than init 'pAcl'.
        DWORD cbAcl = sizeof(ACL) + sizeof(ACCESS_ALLOWED_ACE);
        cbAcl += dwSidAdminsSize - sizeof(DWORD);
        cbAcl += dwSidAuthUserSize - sizeof(DWORD);
 
        // Align cbAcl to a DWORD.
        cbAcl = (cbAcl + (sizeof(DWORD) - 1)) & 0xfffffffc;
 
        // Allocate memory.
        pAcl = (ACL*)LocalAlloc(LPTR, cbAcl);
        if(!pAcl)
            throw QString("Can't allocate meory for PACL item");
 
        // Init PACL.
        if( ! InitializeAcl(pAcl, cbAcl, ACL_REVISION) )
            throw QString("Can't init PACL item.");
        // **Initialize 'pAcl'.End.***************************************
 
        // Setup AuthenticatedUsers for COM access.
        ea.grfAccessPermissions = COM_RIGHTS_EXECUTE;
        ea.grfAccessMode = SET_ACCESS;
        ea.grfInheritance = NO_INHERITANCE;
        ea.Trustee.pMultipleTrustee = NULL;
        ea.Trustee.MultipleTrusteeOperation = NO_MULTIPLE_TRUSTEE;
        ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;
        ea.Trustee.TrusteeType = TRUSTEE_IS_GROUP;
        ea.Trustee.ptstrName = (LPWSTR)pSidAuthUser;
 
 
        // Create new ACL with this ACE.
        dwErr = SetEntriesInAcl( 1, &ea, NULL, &pAcl );   // Эта строка вызывает крах!
        if ( dwErr != ERROR_SUCCESS )
        {
            hr = HRESULT_FROM_WIN32( dwErr );
            throw QString("Can't create new ACL with this ACE. Errcode: %1").arg(dwErr);
        }
 
        // Set the ACL to the security descriptor.
        fRet = SetSecurityDescriptorDacl( &SecurityDesc, TRUE, pAcl, FALSE );
        if ( !fRet )
        {
            dwErr = GetLastError();
            hr = HRESULT_FROM_WIN32( dwErr );
            throw QString("Can't set the ACL to the security descriptor. Errcode: %1").arg(dwErr);
        }
 
        // Try to init com security.
        hr = CoInitializeSecurity(
            &SecurityDesc,
            -1,
            NULL,
            NULL,
            RPC_C_AUTHN_LEVEL_PKT_PRIVACY,
            RPC_C_IMP_LEVEL_IMPERSONATE,
            NULL,
            EOAC_DYNAMIC_CLOAKING | EOAC_DISABLE_AAA | EOAC_NO_CUSTOM_MARSHAL,
            NULL );
    }
    // Try block.End.
 
    // Route errors.
    catch(QString &strErr)
    {
        // Just display it.
        qWarning() << "initComSecurity - error:" << strErr << ". Errcode:" << hex << hr;
    }
 
    // Cleanups.
    if ( pSidAdmins != NULL )
    {
        LocalFree( pSidAdmins );
        pSidAdmins = NULL;
    }
    if ( pSidAuthUser != NULL )
    {
        LocalFree( pSidAuthUser );
        pSidAuthUser = NULL;
    }
    if ( pAcl != NULL )
    {
        LocalFree( pAcl );
        pAcl = NULL;
    }
 
    // Return result.
    return (hr);
}

Крах происходит в строке кода № 97. Подскажите, пожалуйста, почему. Что я не так сделал с ea, или может не так инициализировал аргументы для функции SetEntriesInAcl? Заранее спасибо.

Убежденный · 24.07.2015, 22:19

Ошибка уже в 36-ой строке:

C++
1
2
// Create SID for Administrators.
hr = CreateWellKnownSid( WinBuiltinAdministratorsSid, NULL, &pSidAdmins, &dwSidAdminsSize );

Третий аргумент должен быть указателем на буфер, куда функция запишет SID.
А здесь передается адрес указателя на этот буфер. В итоге функция пишет
не туда, куда надо.

А вместо InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup,
SetSecurityDescriptorDacl и SetEntriesInAcl проще сразу вызвать один раз BuildSecurityDescriptor.

@George Sirin · 25.07.2015, 18:02 **[ТС]**

Спасибо большое! Теперь все корректно.

@George Sirin · 27.07.2015, 19:55 **[ТС]**

И еще хочу спросить по теме. Как получить строковое представление дескриптора доступа имея структуру доступа (SECURITY_DESCRIPTOR)? В msdn нашел функцию для такого переконвертирования: ConvertSecurityDescriptorToStringSecurit yDescriptor. Она требует заголовок #include <Sddl.h> и библиотеку AdvAPI32.Lib. И первое и второе выполнил, но при компиляции выдает:

error C3861: ConvertSecurityDescriptorToStringSecurit yDescriptor: идентификатор не найден.

Использую:
OC Windows 7.
MS SDK 7.0

Что это может быть?

Убежденный · 27.07.2015, 19:56

Пробуйте
ConvertSecurityDescriptorToStringSecurit yDescriptorW
или
ConvertSecurityDescriptorToStringSecurit yDescriptorA

@George Sirin · 28.07.2015, 21:50 **[ТС]**

ConvertSecurityDescriptorToStringSecurit yDescriptor не определялось, так как нужно подключать #include <windows.h> перед #include <Sddl.h>.

Добавлено через 6 часов 31 минуту
И еще вопрос по теме. Я сделал дескриптор, чтобы настроить COM securitу. Настраиваю:

C++
1
2
3
4
5
6
7
8
9
10
    return CoInitializeSecurity (
        pSecurityDescriptor,
        -1,
        NULL,
        NULL,
        RPC_C_AUTHN_LEVEL_PKT_PRIVACY,
        RPC_C_IMP_LEVEL_IMPERSONATE,
        NULL,
        EOAC_DYNAMIC_CLOAKING | EOAC_DISABLE_AAA | EOAC_NO_CUSTOM_MARSHAL,
        NULL );

Настроил (возвращает код успеха).

Теперь я использую COM - технологию VDS. Создаю загрузчик VDS сервиса:

C++
1
2
3
4
5
6
7
8
9
10
    // For this, you first get a pointer to the VDS Loader
    // Launch the VDS service.
    //
 
    hResult = CoCreateInstance (
                CLSID_VdsLoader,
                NULL,
                CLSCTX_LOCAL_SERVER,
                IID_IVdsServiceLoader,
                (void **) &pLoader );

И в итоге hResult присваивает ошибку 2147942405. Которая расшифровывается: доступ запрещен.
Что я не так сделал в инициализации дескриптора безопасности? Или установки безопасности COM?

Убежденный · 28.07.2015, 22:06

Не вижу в ACL других прав доступа, кроме COM_RIGHTS_EXECUTE.
Для подключения в пределах локального компьютера нужно еще, наверное,
COM_RIGHTS_EXECUTE_LOCAL (2) и COM_RIGHTS_ACTIVATE_LOCAL (8).

Новые блоги и статьи Все статьи Все блоги /
Переходник USB-CAN-GPIO Eddy_Em 20.03.2026 Достаточно давно на работе возникла необходимость в переходнике CAN-USB с гальваноразвязкой, оный и был разработан. Однако, все меня терзала совесть, что аж 48-ногий МК используется так тупо: просто. . .	Оттенки серого Argus19 18.03.2026 Оттенки серого Нашёл в интернете 3 прекрасных модуля: Модуль класса открытия диалога открытия/ сохранения файла на Win32 API; Модуль класса быстрого перекодирования цветного изображения в оттенки. . .	SDL3 для Desktop (MinGW): Рисуем цветные прямоугольники с помощью рисовальщика SDL3 на Си и C++ 8Observer8 17.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-rectangles-sdl3-c. zip finish-rectangles-sdl3-cpp. zip	Символические и жёсткие ссылки в Linux. algri14 15.03.2026 Существует два типа ссылок — символические и жёсткие. Ссылка в Linux — это запись в каталоге, которая может указывать либо на inode «файла-ИСТОЧНИКА», тогда это будет «жёсткая ссылка» (hard link),. . .
[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .	делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью	SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .

@George Sirin 0 / 0 / 0 Регистрация: 24.07.2015 Сообщений: 68
	25.07.2015, 18:02 [ТС]
	Спасибо большое! Теперь все корректно. 0

@George Sirin 0 / 0 / 0 Регистрация: 24.07.2015 Сообщений: 68
	27.07.2015, 19:55 [ТС]
	И еще хочу спросить по теме. Как получить строковое представление дескриптора доступа имея структуру доступа (SECURITY_DESCRIPTOR)? В msdn нашел функцию для такого переконвертирования: ConvertSecurityDescriptorToStringSecurit yDescriptor. Она требует заголовок #include <Sddl.h> и библиотеку AdvAPI32.Lib. И первое и второе выполнил, но при компиляции выдает: error C3861: ConvertSecurityDescriptorToStringSecurit yDescriptor: идентификатор не найден. Использую: OC Windows 7. MS SDK 7.0 Что это может быть? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	27.07.2015, 19:56
	Пробуйте ConvertSecurityDescriptorToStringSecurit yDescriptorW или ConvertSecurityDescriptorToStringSecurit yDescriptorA 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	28.07.2015, 22:06
	Не вижу в ACL других прав доступа, кроме COM_RIGHTS_EXECUTE. Для подключения в пределах локального компьютера нужно еще, наверное, COM_RIGHTS_EXECUTE_LOCAL (2) и COM_RIGHTS_ACTIVATE_LOCAL (8). 1