Windows专用命名空间能否基于完整性级别隔离进程?
我想将Windows私有名称空间(由Win32的CreatePrivateNamespace创建的名称空间)限制为特定的完整性级别,以便只有当前用户处于当前完整性级别(如果不可能,则为当前或更高级别)可以在此命名空间中创建对象。Windows 7提供了AddInEntegrityLabelToBoundaryDescriptor,这正是我要找的。Windows Vista可能无法正确执行此功能,否则Microsoft将不会添加此功能。我澄清了我的问题。是后者。因此,在将强制标记调整为包含SE_GROUP_ENABLED(还不确定如何实现,但我会查看)之后,我使用所有者SID和强制SID调用AddSIDToBoundaryDescriptor?我假设我只能添加强制SID,如果它是我拥有的,而不是更低或更高级别的。经过一些阅读后,在强制标签标记上启用SE_GROUP_是否是普通用户可以对自己做的?听起来像是特权升级。这是配送产品的一部分,因此我无法让管理员执行此操作。Windows专用命名空间能否基于完整性级别隔离进程?,windows,security,namespaces,Windows,Security,Namespaces,我想将Windows私有名称空间(由Win32的CreatePrivateNamespace创建的名称空间)限制为特定的完整性级别,以便只有当前用户处于当前完整性级别(如果不可能,则为当前或更高级别)可以在此命名空间中创建对象。Windows 7提供了AddInEntegrityLabelToBoundaryDescriptor,这正是我要找的。Windows Vista可能无法正确执行此功能,否则Microsoft将不会添加此功能。我澄清了我的问题。是后者。因此,在将强制标记调整为包含SE_G