Windows Vista有趣标签SID

      Label SID，将其翻译为标签SID，诸君别嫌土啊。这个东东是Windows Vista新引入的一个安全主体。我们知道在Windows Vista，进程和资源对象都划分等级的(完整性级别)。等级低的进程不够资格写入等级高的资源对象，哪怕访问控制列表(ACL)允许也不行。

　　在Windows Vista中，安全机制有了很大的改进，不仅仅看ACL。这就好比男女双方求爱，除了看对方的经济收入等条件(相当于ACL)，还要看是否门当户对(相当于完整性级别)。

　　想必您已经知道如何查看和设置资源对象的完整性级别(可以用icacls或者AccessChk命令)。

　　那么进程呢?相信您已经知道，就是所谓的标签SID。

　　标签SID的实质

　　标签SID位于进程的访问令牌里，用来标识进程的完整性级别。进程要访问资源对象(例如某个文件夹)时，就亮出它的访问令牌。文件夹就会检查令牌里的标签SID，看看级别是否足够。如果级别比自己还低，对不起，您只能读取，不能写入。

　　可以用Process Explorer查看进程的访问令牌，从而查看某个进程的标签SID。附图就是一个进程的访问令牌。其中红色部分显示其标签SID是“Mandatory Label\Medium Mandatory Level”，表明该进程的完整性级别为“中级”。蓝色部分显示该进程并不拥有管理员的运行身份(Administrators标记为Deny)，同时只有五个特权。

　　

　　完全可以想像，如果进程的完整性级别是高级(标签SID为Mandatory Label\High Mandatory Level)，该进程应该拥有管理员的运行身份(Administrators标记为Owner)，同时拥有约24个特权。