Bagikan melalui

Entri Access Control

  • Artikel

Entri kontrol akses (ACE) menjelaskan hak akses yang terkait dengan SID tertentu. Entri kontrol akses dievaluasi oleh sistem operasi untuk menghitung akses efektif yang diberikan ke program tertentu berdasarkan kredensialnya. Misalnya, ketika pengguna masuk ke komputer, lalu menjalankan program, program menggunakan kredensial yang terkait dengan akun pengguna tertentu.

Dengan demikian, ketika program mencoba membuka objek, Windows membandingkan kredensial yang terkait dengan program terhadap kontrol keamanan yang terkait dengan objek. Monitor referensi keamanan kemudian menggunakan informasi ACE untuk menentukan apakah program harus diizinkan atau ditolak akses ke objek yang diberikan. Dengan demikian, ACE menentukan perilaku subsistem keamanan.

Gambar berikut mengilustrasikan entri kontrol akses.

diagram yang mengilustrasikan entri kontrol akses.

Ada lima jenis ACE yang digunakan oleh subsistem keamanan. Anggota Jenis struktur ACE mengontrol interpretasi ACE. Jenis yang ditentukan adalah:

  • ACCESS_ALLOWED_ACE_TYPE—jenis ini menunjukkan bahwa ACE menentukan hak akses yang akan diberikan kepada SID tertentu.

  • ACCESS_DENIED_ACE_TYPE—jenis ini menunjukkan bahwa ACE menentukan hak akses yang akan ditolak ke SID tertentu.

  • SYSTEM_AUDIT_ACE_TYPE—jenis ini menunjukkan bahwa ACE menentukan perilaku audit.

  • SYSTEM_ALARM_ACE_TYPE—jenis ini menunjukkan bahwa ACE menentukan perilaku alarm.

  • ACCESS_ALLOWED_COMPOUND_ACE_TYPE—jenis ini menunjukkan bahwa ACE terkait dengan server tertentu dan entitas yang ditiru.

Dengan demikian, tiga jenis digunakan untuk mengontrol akses terprogram ke objek, sementara dua lainnya digunakan untuk mengontrol perilaku audit dan alarm subsistem keamanan ketika objek diakses. Perhatikan bahwa perilaku aktual subsistem keamanan dihitung dengan menggabungkan informasi untuk beberapa atau semua ACE yang terkait dengan objek.

Driver dapat membuat entri kontrol akses ACCESS_ALLOWED_ACE_TYPE menggunakan RtlAddAccessAllowedAce rutin. Untuk menambahkan jenis entri ACE lainnya, penulis driver harus membangun fungsi mereka sendiri karena WDK tidak menyediakan rutinitas dukungan lainnya.