Condividi tramite

Implementare un Oggetto AppContainer

  • Articolo

Un Oggetto AppContainer viene implementato aggiungendo nuove informazioni al token di processo, modificando SeAccessCheck() in modo che tutti gli oggetti ACL (Legacy, Unmodified Access Control List) blocchino le richieste di accesso dai processi AppContainer per impostazione predefinita e re-ACL oggetti che devono essere disponibili per AppContainers.

Il processo

Per iniziare, aggiungere nuove informazioni per il token di processo. Modificare quindi SeAccessCheck() in modo che tutti gli ACL legacy e non modificati blocchino le richieste di accesso dai processi AppContainer per impostazione predefinita. Infine, ri-ACL risorse che devono essere disponibili per AppContainers

Il SID AppContainer è un identificatore univoco permanente per appcontainer. I SID di funzionalità concedono l'accesso a gruppi di risorse a gruppi di AppContainers. Un Oggetto AppContainerNumber è un DWORD temporaneo usato per distinguere tra AppContainers. Tuttavia, non deve essere usato come identità per AppContainer.

Per consentire a un singolo AppContainer di accedere a una risorsa, aggiungere il relativo Oggetto AppContainerSID all'ACL per tale risorsa.

Per consentire a diversi AppContainer specifici di accedere a una risorsa, aggiungere tutti i relativi Id AppContainerSID all'elenco di controllo di accesso per tale risorsa.

Per gestire i gruppi di autorizzazioni, creare un SID di funzionalità (GUID) e inserire tale SID di funzionalità in tutte le risorse da concedere. Aggiungere quindi il SID capability al token di processo.

Per consentire a tutti i AppContainers di accedere a una risorsa, aggiungere il SID TUTTI I PACCHETTI DELL'APPLICAZIONE all'ACL per tale risorsa. Questo agisce come un carattere jolly.

Sia AppContainerSID che CapabilitySID supportano le maschere di accesso in Controllo di accesso voci (ACE). Impostare come appropriato.