Descriptores de seguridad en sistemas de archivos
Los sistemas de archivos de Windows pueden admitir el almacenamiento y la administración de descriptores de seguridad asociados a unidades de almacenamiento individuales dentro del sistema de archivos. La granularidad del control de seguridad está totalmente en el sistema de archivos. Por ejemplo, un sistema de archivos podría mantener un único descriptor de seguridad que abarque todo en un volumen de almacenamiento determinado, mientras que otro podría proporcionar descriptores de seguridad que cubran diferentes partes de un único archivo determinado. Los modelos con los que se sienten cómodos la mayoría de los desarrolladores son los proporcionados por los sistemas de archivos de Windows existentes:
NTFS admite un modelo de descriptor de seguridad por archivo (o directorio). NTFS es eficaz en su almacenamiento de descriptores de seguridad, almacenando solo una copia de cada descriptor de seguridad, incluso si se usa en muchos archivos diferentes.
FAT, CDFS, UDFS no admite descriptores de seguridad.
RDBSS y el redirector de red SMB proporcionan compatibilidad comparable a la proporcionada por el volumen remoto.
Sin embargo, estos sistemas de archivos no representan todas las implementaciones posibles de seguridad de Windows para los sistemas de archivos.
Un descriptor de seguridad de Windows consta de cuatro partes distintas:
Identificador de seguridad (SID) del propietario del objeto. El propietario de un objeto siempre tiene la capacidad de restablecer la seguridad en el objeto. Esta es una buena manera de asegurarse de que, por ejemplo, se puede quitar todo el acceso a un objeto. Dado que incluso si los propietarios quitan su capacidad de realizar todas las operaciones, este derecho inherente les permite restaurar sus derechos de seguridad en el objeto.
Identificador de seguridad opcional (SID) del grupo predeterminado del objeto. El concepto de propiedad de grupo es uno que no es necesario en Windows, pero es útil para algunas aplicaciones.
La lista de control de acceso del sistema (SACL) que describe la directiva de auditoría del descriptor de seguridad.
La lista de control de acceso discrecional (DACL) que describe la directiva de acceso del descriptor de seguridad.
En la ilustración siguiente se muestra un descriptor de seguridad de Windows.
Los descriptores de seguridad son objetos de tamaño variable, con cada uno de los sub-componentes individuales que también son variables de tamaño. Para facilitar el almacenamiento sin conexión de descriptores de seguridad, un descriptor de seguridad puede estar en formato auto relativo, en cuyo caso el encabezado es el desplazamiento dentro del búfer al componente específico del descriptor de seguridad. Un formato en memoria consta de valores de puntero a las distintas partes del descriptor de seguridad. En el caso de un sistema de archivos, el formato auto relativo suele ser el más útil, ya que permite el almacenamiento y la recuperación simples del descriptor de seguridad del almacenamiento persistente. Es más probable que las aplicaciones que compilan descriptores de seguridad usen el formato en memoria. El monitor de referencia de seguridad proporciona rutinas de conversión para convertir de un formato al otro.
Esta sección contiene los siguientes temas:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de