Partager via

entrée Access Control

  • Article

Une entrée de contrôle d’accès (ACE) décrit les droits d’accès associés à un SID particulier. L’entrée de contrôle d’accès est évaluée par le système d’exploitation afin de calculer l’accès effectif accordé à un programme particulier en fonction de ses informations d’identification. Par exemple, lorsqu’un utilisateur se connecte à l’ordinateur, puis exécute un programme, le programme utilise les informations d’identification associées au compte de cet utilisateur particulier.

Par conséquent, lorsqu’un programme tente d’ouvrir un objet, Windows compare les informations d’identification associées au programme aux contrôles de sécurité associés à l’objet. Le moniteur de référence de sécurité utilise ensuite les informations ACE pour déterminer si l’accès au programme doit être autorisé ou refusé à l’objet donné. Ainsi, l’ACE détermine le comportement du sous-système de sécurité.

La figure suivante illustre l’entrée de contrôle d’accès.

diagramme illustrant l’entrée de contrôle d’accès.

Il existe cinq types d’AE utilisés par le sous-système de sécurité. Le membre Type de la structure ACE contrôle l’interprétation de l’ACE. Les types définis sont les suivants :

  • ACCESS_ALLOWED_ACE_TYPE : ce type indique que l’ACE spécifie les droits d’accès qui seront accordés au SID spécifique.

  • ACCESS_DENIED_ACE_TYPE : ce type indique que l’ACE spécifie les droits d’accès qui doivent être refusés au SID spécifique.

  • SYSTEM_AUDIT_ACE_TYPE : ce type indique que l’ACE spécifie le comportement d’audit.

  • SYSTEM_ALARM_ACE_TYPE : ce type indique que l’ACE spécifie le comportement d’alarme.

  • ACCESS_ALLOWED_COMPOUND_ACE_TYPE : ce type indique que l’ACE est lié à un serveur particulier et à l’entité qu’il emprunte d’identité.

Ainsi, trois des types sont utilisés pour contrôler l’accès par programme à un objet, tandis que les deux autres sont utilisés pour contrôler le comportement d’audit et d’alarme du sous-système de sécurité lors de l’accès à l’objet. Notez que le comportement réel du sous-système de sécurité est calculé en combinant les informations pour tout ou partie des AE associés à l’objet.

Un pilote peut construire une entrée de contrôle d’accès de ACCESS_ALLOWED_ACE_TYPE à l’aide de la routine RtlAddAccessAllowedAce. Pour ajouter les autres types d’entrées ACE, les enregistreurs de pilotes doivent construire leurs propres fonctions, car le WDK ne fournit pas d’autres routines de prise en charge.