Поделиться через

Дескрипторы безопасности

  • Статья

Каждый объект имеет дескриптор безопасности, который содержит параметры безопасности для объекта . В режиме ядра непрозрачный тип данных SECURITY_DESCRIPTOR представляет дескриптор безопасности.

Сведения в дескрипторе безопасности хранятся в списках управления доступом (ACL). Список управления доступом состоит из ряда записей управления доступом (ACE).

Дескриптор безопасности имеет два отдельных списка управления доступом:

  • Системный ACL (SACL), который определяет, какие операции с объектом регистрируются в журнале.

  • Дискреционный ACL (DACL), который определяет, какие пользователи могут выполнять определенные операции с объектом.

Как правило, разработчик драйверов занимается только списками управления доступом на усмотрение. Дополнительные сведения о системных списках управления доступом см. в Microsoft Windows SDK.

Для дискреционного ACL каждый ACE содержит три элемента информации:

  • Идентификатор безопасности (SID). Идентификатор безопасности определяет, к кому применяется ACE. Идентификатор безопасности может представлять одного пользователя или группу пользователей. Например, идентификатор безопасности World представляет набор всех пользователей.

  • Набор прав доступа. Описание прав доступа см. в разделе Права доступа.

  • Предоставляется ли набор прав доступа или запрещается.

Для драйвера наиболее важными дескрипторами безопасности являются дескрипторы для объектов устройства драйвера. Дополнительные сведения см. в разделе Защита объектов устройств.

Дополнительные сведения о дескрипторов безопасности в целом см. в статье Windows SDK.