(0) exportieren Drucken
Alle erweitern

RegistrySecurity-Klasse

Aktualisiert: November 2007

Stellt die Windows-Zugriffssteuerungssicherheit für einen Registrierungsschlüssel dar. Diese Klasse kann nicht geerbt werden.

Namespace:  System.Security.AccessControl
Assembly:  mscorlib (in mscorlib.dll)

public sealed class RegistrySecurity : NativeObjectSecurity
public final class RegistrySecurity extends NativeObjectSecurity
public final class RegistrySecurity extends NativeObjectSecurity

Ein RegistrySecurity-Objekt gibt die Zugriffsrechte für einen Registrierungsschlüssel und sowie die Art der Überwachung von Zugriffsversuchen an. Die Zugriffsrechte für den Registrierungsschlüssel werden als Regeln ausgedrückt, wobei jede Zugriffsregel durch ein RegistryAccessRule-Objekt dargestellt wird. Jede Überwachungsregel wird durch ein RegistryAuditRule-Objekt dargestellt.

Dadurch wird das zugrunde liegende Sicherheitssystem von Windows gespiegelt, in dem alle sicherungsfähigen Objekte maximal über jeweils eine freigegebene Zugriffssteuerungsliste (DACL – Discretionary Access Control List) verfügen, die den Zugriff auf das gesicherte Objekt steuert, sowie maximal eine Systemzugriffssteuerungsliste (SACL – System Access Control List), die angibt, welche Zugriffsversuche überwacht werden. Bei DACL und SACL handelt es sich um geordnete Listen von ACEs (Access Control Entries, Zugriffssteuerungseinträge), die den Zugriff und die Überwachung für Benutzer und Gruppen angeben. Ein RegistryAccessRule-Objekt oder RegistryAuditRule-Objekt kann u. U. mehrere ACEs darstellen.

edcax4tz.alert_note(de-de,VS.90).gifHinweis:

Die Windows-Zugriffssteuerungssicherheit kann nur auf Registrierungsschlüssel angewendet werden. Sie kann nicht für einzelne in einem Schlüssel gespeicherte Schlüssel-Wert-Paare übernommen werden.

Die Klassen RegistrySecurity, RegistryAccessRule und RegistryAuditRule blenden die Implementierungsdetails von ACLs und ACEs aus. Mithilfe dieser Klassen können Sie die siebzehn verschiedenen ACE-Typen und die komplexen Aufgaben bei der ordnungsgemäßen Verwaltung der Vererbung und der Weitergabe von Zugriffsrechten ignorieren. Diese Objekte sollen darüber hinaus auch die folgenden häufigen Zugriffssteuerungsfehler verhindern:

  • Das Erstellen einer Sicherheitsbeschreibung mit einer NULL-DACL. Mithilfe eines NULL-Verweises auf eine DACL können beliebige Benutzer einem Objekt Zugriffsregeln hinzufügen. Dadurch werden Denial-of-Service-Angriffe ermöglicht. Ein neues RegistrySecurity-Objekt beginnt immer mit einer leeren DACL, wodurch allen Benutzern der Zugriff verweigert wird.

  • Das Verstoßen gegen die kanonische Reihenfolge der ACEs. Wenn die ACE-Liste in der DACL keine kanonische Reihenfolge aufweist, erhalten Benutzer möglicherweise unbeabsichtigt Zugriff auf das gesicherte Objekt. Verweigerte Zugriffsrechte müssen z. B. immer vor gewährten Zugriffsrechten angeordnet werden. Für RegistrySecurity-Objekte wird die korrekte Reihenfolge intern beibehalten.

  • Das Bearbeiten von Sicherheitsbeschreibungsflags, das nur vom Ressourcen-Manager gesteuert werden soll.

  • Das Erstellen ungültiger Kombinationen von ACE-Flags.

  • Das Bearbeiten von geerbten ACEs. Vererbung und Weitergabe werden vom Ressourcen-Manager als Reaktion auf die von Ihnen vorgenommenen Änderungen an den Zugriffs- und Überwachungsregeln behandelt.

  • Das Einfügen von bedeutungslosen ACEs in ACLs.

Die einzigen von .NET-Sicherheitsobjekten nicht unterstützten Funktionen sind gefährliche Aktivitäten. Diese sollten von den meisten Anwendungsprogrammierern vermieden werden. Als gefährliche Aktivitäten gelten u. a.:

  • Aufgaben auf niedriger Ebene, die normalerweise vom Ressourcen-Manager ausgeführt werden.

  • Das Hinzufügen oder Entfernen von Zugriffssteuerungseinträgen ohne Beibehaltung der kanonischen Reihenfolge.

Um die Windows-Zugriffssteuerungssicherheit für einen Registrierungsschlüssel zu ändern, rufen Sie mithilfe der RegistryKey.GetAccessControl-Methode das RegistrySecurity-Objekt ab. Ändern Sie das Sicherheitsobjekt durch Hinzufügen und Entfernen von Regeln, und fügen Sie es dann mithilfe der RegistryKey.SetAccessControl-Methode erneut an.

edcax4tz.alert_caution(de-de,VS.90).gifWichtiger Hinweis:

Änderungen an einem RegistrySecurity-Objekt wirken sich erst dann auf die Zugriffsebenen des Registrierungsschlüssels aus, wenn die RegistryKey.SetAccessControl-Methode aufgerufen wird, um dem Registrierungsschlüssel das geänderte Sicherheitsobjekt zuzuweisen.

Sie können die Zugriffssteuerungssicherheit von einem Registrierungsschlüssel in einen anderen kopieren, indem Sie mithilfe der RegistryKey.GetAccessControl-Methode ein RegistrySecurity-Objekt abrufen, das die Zugriffs- und Überwachungsregeln für den ersten Registrierungsschlüssel darstellt. Verwenden Sie anschließend die RegistryKey.SetAccessControl-Methode, um dem zweiten Registrierungsschlüssel diese Regeln zuzuweisen. Sie können die Regeln auch mithilfe einer RegistryKey.OpenSubKey-Methode oder einer RegistryKey.CreateSubKey-Methode, die einen RegistrySecurity-Objektparameter akzeptiert, einem zweiten Registrierungsschlüssel hinzufügen.

Benutzer, die SDDL (Security Descriptor Definition Language) verwenden, können mithilfe der SetSecurityDescriptorSddlForm-Methode Zugriffsregeln für einen Registrierungsschlüssel festlegen und mithilfe der GetSecurityDescriptorSddlForm-Methode eine Zeichenfolge abrufen, die die Zugriffsregeln im SDDL-Format darstellt. Dies wird nicht für Neuentwicklungen empfohlen.

Dieser Abschnitt enthält zwei Codebeispiele. Im ersten Beispiel wird veranschaulicht, wie kompatible Regeln beim Hinzufügen und Entfernen zusammengeführt werden. Im zweiten Beispiel wird gezeigt, wie Vererbungs- und Weitergabeflags das Hinzufügen und Löschen von Regeln beeinflussen.

Beispiel 1

Das folgende Codebeispiel illustriert, wie die RemoveAccessRule-Methode Rechte aus einer kompatiblen Regel entfernt und wie die AddAccessRule-Methode Rechte mit kompatiblen Regeln zusammenführt.

Im Beispiel wird ein RegistrySecurity-Objekt erstellt und eine Regel hinzugefügt, die dem aktuellen Benutzer RegistryRights.ReadKey-Rechte gewährt. Anschließend wird eine Regel erstellt, die dem Benutzer RegistryRights.SetValue mit denselben Vererbungs- und Weitergaberechten wie in der ersten Regel gewährt. Mithilfe der RemoveAccessRule-Methode wird diese neue Regel aus dem RegistrySecurity-Objekt entfernt. SetValue ist ein Bestandteil von ReadKey. Daher wird sie aus der kompatiblen Regel entfernt. Die Regeln im RegistrySecurity-Objekt werden angezeigt und zeigen die übrigen Bestandteile von ReadKey an.

Im Beispielcode wird anschließend die AddAccessRule-Methode aufgerufen, um SetValue wieder mit der Regel im RegistrySecurity-Objekt zusammenzuführen.

edcax4tz.alert_note(de-de,VS.90).gifHinweis:

In diesem Beispiel wird das Sicherheitsobjekt nicht an ein RegistryKey-Objekt angefügt. Im zweiten Beispiel in diesem Abschnitt wird ein Sicherheitsobjekt angefügt. Dies erfolgt auch in den Beispielen hinsichtlich RegistryKey.GetAccessControl und RegistryKey.SetAccessControl.


using System;
using System.Security.AccessControl;
using System.Security.Principal;
using System.Security;
using Microsoft.Win32;

public class Example
{

    public static void Main()
    {

        string user = Environment.UserDomainName + "\\"
            + Environment.UserName;

        // Create a security object that grants no access.
        RegistrySecurity mSec = new RegistrySecurity();

        // Add a rule that grants the current user ReadKey
        // rights. ReadKey is a combination of four other 
        // rights. The rule is inherited by all 
        // contained subkeys.
        RegistryAccessRule rule = new RegistryAccessRule(user, 
            RegistryRights.ReadKey, 
            InheritanceFlags.ContainerInherit, 
            PropagationFlags.None, 
            AccessControlType.Allow);
        mSec.AddAccessRule(rule);

        // Create a rule that allows the current user only the 
        // right to query the key/value pairs of a key, using  
        // the same inheritance and propagation flags as the
        // first rule. QueryValues is a constituent of 
        // ReadKey, so when this rule is removed, using the 
        // RemoveAccessRule method, ReadKey is broken into
        // its constituent parts.
        rule = new RegistryAccessRule(user, 
            RegistryRights.QueryValues, 
            InheritanceFlags.ContainerInherit, 
            PropagationFlags.None, 
            AccessControlType.Allow);
        mSec.RemoveAccessRule(rule);

        // Display the rules in the security object.
        ShowSecurity(mSec);

        // Add the second rule back. It merges with the 
        // existing rule, so that the rule is now displayed
        // as ReadKey.
        mSec.AddAccessRule(rule);

        // Display the rules in the security object.
        ShowSecurity(mSec);
    }

    private static void ShowSecurity(RegistrySecurity security)
    {
        Console.WriteLine("\r\nCurrent access rules:\r\n");

        foreach( RegistryAccessRule ar in security.GetAccessRules(true, true, typeof(NTAccount)) )
        {
            Console.WriteLine("        User: {0}", ar.IdentityReference);
            Console.WriteLine("        Type: {0}", ar.AccessControlType);
            Console.WriteLine("      Rights: {0}", ar.RegistryRights);
            Console.WriteLine(" Inheritance: {0}", ar.InheritanceFlags);
            Console.WriteLine(" Propagation: {0}", ar.PropagationFlags);
            Console.WriteLine("   Inherited? {0}", ar.IsInherited);
            Console.WriteLine();
        }
    }
}

/* This code example produces output similar to following:

Current access rules:

        User: TestDomain\TestUser
        Type: Allow
      Rights: EnumerateSubKeys, Notify, ReadPermissions
 Inheritance: ContainerInherit
 Propagation: None
   Inherited? False


Current access rules:

        User: TestDomain\TestUser
        Type: Allow
      Rights: ReadKey
 Inheritance: ContainerInherit
 Propagation: None
   Inherited? False
 */


Beispiel 2

Im folgenden Codebeispiel werden Zugriffsregeln mit Vererbung und Weitergabe veranschaulicht. Im Beispiel wird ein RegistrySecurity-Objekt erstellt, und anschließend werden zwei Regeln erstellt und hinzugefügt, die über das ContainerInherit-Flag verfügen. Die erste Regel verfügt über keine Weitergabeflags, während die zweite Regel über NoPropagateInherit und InheritOnly verfügt.

Das Programm zeigt die Regeln im RegistrySecurity-Objekt an und erstellt dann mithilfe des RegistrySecurity-Objekts einen Unterschlüssel. Das Programm erstellt einen untergeordneten Unterschlüssel und einen untergeordneten Schlüssel der zweiten Ebene und zeigt dann die Sicherheit für jeden Unterschlüssel an. Schließlich löscht das Programm die Testschlüssel.


using System;
using System.Security.AccessControl;
using System.Security.Principal;
using System.Security;
using Microsoft.Win32;

public class Example
{
    public static void Main()
    {
        const string TestKey = "TestKey3927";
        RegistryKey cu = Registry.CurrentUser;

        string user = Environment.UserDomainName + 
            "\\" + Environment.UserName;

        // Create a security object that grants no access.
        RegistrySecurity mSec = new RegistrySecurity();

        // Add a rule that grants the current user the right
        // to read and enumerate the name/value pairs in a key, 
        // to read its access and audit rules, to enumerate
        // its subkeys, to create subkeys, and to delete the key. 
        // The rule is inherited by all contained subkeys.
        //
        RegistryAccessRule rule = new RegistryAccessRule(user, 
           RegistryRights.ReadKey | RegistryRights.WriteKey 
               | RegistryRights.Delete, 
           InheritanceFlags.ContainerInherit, 
           PropagationFlags.None, 
           AccessControlType.Allow
        );
        mSec.AddAccessRule(rule);

        // Add a rule that allows the current user the right
        // right to set the name/value pairs in a key. 
        // This rule is inherited by contained subkeys, but
        // propagation flags limit it to immediate child 
        // subkeys.
        rule = new RegistryAccessRule(user, 
            RegistryRights.ChangePermissions, 
            InheritanceFlags.ContainerInherit, 
            PropagationFlags.InheritOnly | 
                PropagationFlags.NoPropagateInherit, 
            AccessControlType.Allow);
        mSec.AddAccessRule(rule);

        // Display the rules in the security object.
        ShowSecurity(mSec);

        // Create the test key using the security object.
        //
        RegistryKey rk = cu.CreateSubKey(TestKey, 
            RegistryKeyPermissionCheck.ReadWriteSubTree, mSec);

        // Create a child subkey and a grandchild subkey, 
        // without security.
        RegistryKey rkChild = rk.CreateSubKey("ChildKey", 
            RegistryKeyPermissionCheck.ReadWriteSubTree);
        RegistryKey rkGrandChild = 
            rkChild.CreateSubKey("GrandChildKey", 
                RegistryKeyPermissionCheck.ReadWriteSubTree);

        Show(rk);
        Show(rkChild);
        Show(rkGrandChild);

        rkGrandChild.Close();
        rkChild.Close();
        rk.Close();

        cu.DeleteSubKeyTree(TestKey);
    }

    private static void Show(RegistryKey rk)
    {
        Console.WriteLine(rk.Name);
        ShowSecurity(rk.GetAccessControl());
    }

    private static void ShowSecurity(RegistrySecurity security)
    {
        Console.WriteLine("\r\nCurrent access rules:\r\n");

        foreach( RegistryAccessRule ar in security.GetAccessRules(true, true, typeof(NTAccount)) )
        {

            Console.WriteLine("        User: {0}", ar.IdentityReference);
            Console.WriteLine("        Type: {0}", ar.AccessControlType);
            Console.WriteLine("      Rights: {0}", ar.RegistryRights);
            Console.WriteLine(" Inheritance: {0}", ar.InheritanceFlags);
            Console.WriteLine(" Propagation: {0}", ar.PropagationFlags);
            Console.WriteLine("   Inherited? {0}", ar.IsInherited);
            Console.WriteLine();
        }

    }
}

/* This code example produces output similar to following:

Current access rules:

        User: TestDomain\TestUser
        Type: Allow
      Rights: SetValue, CreateSubKey, Delete, ReadKey
 Inheritance: ContainerInherit
 Propagation: None
   Inherited? False

        User: TestDomain\TestUser
        Type: Allow
      Rights: ChangePermissions
 Inheritance: ContainerInherit
 Propagation: NoPropagateInherit, InheritOnly
   Inherited? False

HKEY_CURRENT_USER\TestKey3927

Current access rules:

        User: TestDomain\TestUser
        Type: Allow
      Rights: SetValue, CreateSubKey, Delete, ReadKey
 Inheritance: ContainerInherit
 Propagation: None
   Inherited? False

        User: TestDomain\TestUser
        Type: Allow
      Rights: ChangePermissions
 Inheritance: ContainerInherit
 Propagation: NoPropagateInherit, InheritOnly
   Inherited? False

HKEY_CURRENT_USER\TestKey3927\ChildKey

Current access rules:

        User: TestDomain\TestUser
        Type: Allow
      Rights: SetValue, CreateSubKey, Delete, ReadKey
 Inheritance: ContainerInherit
 Propagation: None
   Inherited? True

        User: TestDomain\TestUser
        Type: Allow
      Rights: ChangePermissions
 Inheritance: None
 Propagation: None
   Inherited? True

HKEY_CURRENT_USER\TestKey3927\ChildKey\GrandChildKey

Current access rules:

        User: TestDomain\TestUser
        Type: Allow
      Rights: SetValue, CreateSubKey, Delete, ReadKey
 Inheritance: ContainerInherit
 Propagation: None
   Inherited? True
 */


Alle öffentlichen static (Shared in Visual Basic)-Member dieses Typs sind threadsicher. Bei Instanzmembern ist die Threadsicherheit nicht gewährleistet.

Windows Vista, Windows XP SP2, Windows XP Media Center Edition, Windows XP Professional x64 Edition, Windows XP Starter Edition, Windows Server 2003, Windows Server 2000 SP4, Windows Millennium Edition, Windows 98

.NET Framework und .NET Compact Framework unterstützen nicht alle Versionen sämtlicher Plattformen. Eine Liste der unterstützten Versionen finden Sie unter Systemanforderungen für .NET Framework.

.NET Framework

Unterstützt in: 3.5, 3.0, 2.0

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft