Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Oprávnění je mechanismus, který operační systém používá k řízení konkrétních operací. Každé oprávnění má určité operace, které může volající provést, pokud jsou splněny následující dvě podmínky:
- Toto oprávnění musí být drženo volajícím.
- Musí být také povoleno privilegium.
Princip těchto požadavků se označuje jako nejnižší oprávnění. Princip minimálních oprávnění vyžaduje, aby byla oprávnění povolena před tím, než se použijí, nikoli pouze předpokládána. Tento požadavek minimalizuje pravděpodobnost, že uživatel může neúmyslně provést operaci, kterou neplánoval. Například SeRestorePrivilege obvykle umožní volajícímu obejít obvyklé kontroly přístupu k zápisu do souboru. Například správce nemusí chtít při kopírování souboru skutečně obejít běžné zabezpečovací kontroly. Mohou však chtít tak učinit při obnovování téhož souboru pomocí nástroje pro zálohování/obnovení.
U systémů souborů existuje mnoho oprávnění, která se často používají k úpravě normálního chování (zejména kontroly zabezpečení) systému. Tato oprávnění jsou:
SeBackupPrivilege umožňuje načtení obsahu souboru, i když popisovač zabezpečení v souboru nemusí takový přístup udělit. Volající s povoleným SeBackupPrivilege odstraňuje potřebu jakékoli kontroly zabezpečení založené na seznamu řízení přístupu (ACL).
SeRestorePrivilege umožňuje úpravy obsahu souboru, i když popisovač zabezpečení v souboru nemusí takový přístup udělit. Tuto funkci lze také použít ke změně vlastníka a ochrany.
SeChangeNotifyPrivilege umožňuje procházet doprava. Toto oprávnění je důležitou optimalizací ve Windows, protože odstraňuje náklady na provedení kontroly zabezpečení v každém adresáři v cestě.
SeManageVolumePrivilege umožňuje konkrétní operace správy na úrovni svazku, jako je uzamčení svazku, defragmentace, odpojení svazku a nastavení platné délky dat v systému Windows XP a novějších verzích. Ovladač systému souborů explicitně vynucuje toto konkrétní oprávnění primárně na základě operací FSCTL. V tomto případě souborový systém učiní rozhodnutí na základě zásady, aby vynutil toto oprávnění. Určení, zda je toto oprávnění drženo volajícím, je provedeno monitorováním odkazu na zabezpečení jako součást kontroly normálních oprávnění.
I když existuje mnoho dalších oprávnění, jsou obvykle neprůkazné pro systémy souborů a interpretuje je pouze SRM (Security Reference Monitor ).
Klíčové rutiny Windows pro správu oprávnění v rámci systému souborů jsou:
SePrivilegeCheck provádí kontrolu konkrétní sady nezbytných oprávnění.
SeSinglePrivilegeCheck provádí kontrolu jednoho konkrétního oprávnění; je optimalizovaná verze SePrivilegeCheck.
SeAccessCheck provádí normální kontrolu přístupu u objektu (obvykle objekt souboru pro systém souborů).
SeFreePrivileges uvolní blok oprávnění vrácený předchozím voláním SeAccessCheck.
SeAppendPrivileges přidá povolená oprávnění do struktury ACCESS_STATE. Systém souborů obvykle používá ACCESS_STATE, který je mu předán během zpracování IRP_MJ_CREATE.