Especificar un descriptor de seguridad a partir de un archivo INF

Puede controlar la capacidad de un proceso para acceder a objetos protegibles o realizar tareas de administración del sistema. Un objeto protegible es un objeto que puede tener un descriptor de seguridad. Todos los objetos con nombre son protegibles. Algunos objetos sin nombre, como los objetos process y thread, también pueden tener descriptores de seguridad. Para obtener más información sobre cómo controlar el acceso a objetos protegibles, vea Access Control.

Los descriptores de seguridad contienen la información de seguridad asociada a objetos protegibles. Para la mayoría de los objetos protegibles, puede especificar el descriptor de seguridad de un objeto en la llamada de función que crea el objeto. Por ejemplo, puede especificar un descriptor de seguridad en las funciones CreateFile y CreateProcess .

Para establecer un descriptor de seguridad desde un archivo INF, agregue una sección Seguridad de autor de INF inmediatamente después de la sección que instala el archivo, la clave del Registro o el componente. La sección Seguridad debe contener una línea con el descriptor de seguridad de cadena escrito en él con el formato de cadenas de descriptor de seguridad. La línea también debe ir entre comillas (").

Por ejemplo, el siguiente fragmento de código de archivo INF crearía una clave del Registro a la que solo los administradores y el sistema tienen acceso. Tenga en cuenta que en este ejemplo se requieren privilegios administrativos.

[DDInstall]
AddReg=mydevice.reg
 
[mydevice.reg]
include Registry information here
 
[mydevice.reg.Security]
"D:P(A;CI;GA;;;BA)(A;CI;GA;;;SY)"

En este caso, el significado de la cadena es que los administradores tienen control total, el sistema tiene control total y el acceso se puede heredar a todas las subclaves. Para obtener más información, vea Lenguaje de definición de descriptor de seguridad.