在 Windows 上,即使任意 ACL (DACL) 为空,即没有人拥有该文件的权限,文件所有者也可以读取和写入 DACL(READ_CONTROL
和 WRITE_DAC
访问)。
所以我尝试执行以下操作:
- 在文件上设置空 DACL
- 获取
READ_CONTROL
的文件句柄 - 使用
GetSecurityInfo
和句柄获取安全描述符 - 检查 DACL 是否确实为空
但是,使用CreateFileW
获取句柄失败,并出现访问被拒绝
错误。令人惊讶的是,GetFileSecurity
(相当于文件的 GetSecurityInfo
)运行良好。
根据documentation , GetFileSecurity
需要 READ_CONTROL
访问权限。
为什么在以下示例中 CreateFileW
失败?
import sys
import win32security
import win32con
import win32file
import ntsecuritycon
import os
path = sys.argv[1]
with open(path, "w"):
pass # I am the owner of the file
print("Set empty ACL")
sd = win32security.GetFileSecurity(path, win32security.DACL_SECURITY_INFORMATION)
dacl = win32security.ACL()
sd.SetSecurityDescriptorDacl(1, dacl, 0)
win32security.SetFileSecurity(path, win32security.DACL_SECURITY_INFORMATION, sd)
try:
print("Ensure that ACL is empty with GetFileSecurity")
sd = win32security.GetFileSecurity(path, win32security.DACL_SECURITY_INFORMATION)
dacl = sd.GetSecurityDescriptorDacl()
assert 0 == dacl.GetAceCount()
print("Try to ensure that ACL is empty using handle")
handle = win32file.CreateFileW(
path,
ntsecuritycon.READ_CONTROL,
0,
None, # security attributes
win32con.OPEN_EXISTING,
0,
None,
)
sd = win32security.GetSecurityInfo(handle, win32security.SE_FILE_OBJECT, win32security.DACL_SECURITY_INFORMATION)
dacl = sd.GetSecurityDescriptorDacl()
assert 0 == dacl.GetAceCount()
except Exception as e:
print("FAILURE:", e)
finally:
print("Restore inherited ACEs before removing file")
dacl = win32security.ACL()
win32security.SetNamedSecurityInfo(
path,
win32security.SE_FILE_OBJECT,
win32security.DACL_SECURITY_INFORMATION,
None,
None,
dacl,
None
)
os.unlink(path)
输出:
> python acl-test.py file
Set empty ACL
Ensure that ACL is empty with GetFileSecurity
Try to ensure that ACL is empty using handle
FAILURE: (5, 'CreateFileW', 'Access is denied.')
Restore inherited ACEs before removing file
最佳答案
CreateFileW
内部调用NtCreateFile
将 DesiredAccess
参数作为 dwDesiredAccess | 传递文件读取属性 |同步
。因此,如果您将 dwDesiredAccess 作为 READ_CONTROL 传递,那么它实际上会尝试使用 READ_CONTROL | 打开该文件。文件读取属性 |同步访问。如果调用者拥有父文件夹的 FILE_LIST_DIRECTORY
访问权限,则文件系统会隐式授予 FILE_READ_ATTRIBUTES
访问权限。但是,如果文件的 DACL 为空,则不会授予SYNCHRONIZE
访问权限。
这里的一个解决方案是使用 NtOpenFile
或 NtCreateFile
以控制确切的请求访问。
关于python - 尽管是文件的所有者,但 READ_CONTROL 的 CreateFileW 失败并显示 "Access is denied",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58393139/