Deskriptor keamanan dalam sistem file
Sistem file Windows dapat mendukung penyimpanan dan manajemen deskriptor keamanan yang terkait dengan unit penyimpanan individual dalam sistem file. Granularitas kontrol keamanan sepenuhnya hingga sistem file. Misalnya, satu sistem file mungkin mempertahankan satu deskriptor keamanan yang mencakup semuanya pada volume penyimpanan tertentu, sementara yang lain mungkin menyediakan deskriptor keamanan yang mencakup berbagai bagian dari satu file tertentu. Model yang membuat sebagian besar pengembang nyaman adalah model yang disediakan oleh sistem file Windows yang ada:
NTFS mendukung model deskriptor keamanan per file (atau direktori). NTFS efisien dalam penyimpanan deskriptor keamanannya, hanya menyimpan satu salinan dari setiap deskriptor keamanan, bahkan jika digunakan oleh banyak file yang berbeda.
FAT, CDFS, UDFS tidak mendukung deskriptor keamanan.
RDBSS dan Pengalihan Jaringan SMB menyediakan dukungan yang sebanding dengan yang disediakan oleh volume jarak jauh.
Namun, sistem file ini tidak mewakili semua kemungkinan implementasi keamanan Windows untuk sistem file.
Deskriptor keamanan Windows terdiri dari empat bagian yang berbeda:
Pengidentifikasi keamanan (SID) pemilik objek. Pemilik objek selalu memiliki kemampuan untuk mengatur ulang keamanan pada objek. Ini adalah cara yang baik untuk memastikan bahwa, misalnya, semua akses ke objek dapat dihapus. Karena bahkan jika pemilik menghapus kemampuan mereka untuk melakukan semua operasi, hak melekat ini memungkinkan mereka untuk memulihkan hak keamanan mereka pada objek.
Pengidentifikasi keamanan opsional (SID) dari grup default objek. Konsep kepemilikan grup adalah salah satu yang tidak diperlukan di Windows, tetapi berguna untuk beberapa aplikasi.
Daftar kontrol akses sistem (SACL) yang menjelaskan kebijakan audit deskriptor keamanan.
Daftar kontrol akses diskresi (DACL) yang menjelaskan kebijakan akses deskriptor keamanan.
Gambar berikut mengilustrasikan pendeskripsi keamanan windows.
Deskriptor keamanan adalah objek berukuran variabel, dengan masing-masing sub-komponen individu juga berukuran variabel. Untuk memfasilitasi penyimpanan deskriptor keamanan offline, deskriptor keamanan mungkin dalam format relatif mandiri, dalam hal ini header adalah offset dalam buffer ke komponen tertentu dari deskriptor keamanan. Format dalam memori terdiri dari nilai penunjuk ke berbagai bagian deskriptor keamanan. Untuk sistem file, format relatif mandiri biasanya paling berguna karena memungkinkan penyimpanan sederhana dan pengambilan deskriptor keamanan dari penyimpanan persisten. Aplikasi yang membangun deskriptor keamanan lebih mungkin menggunakan format dalam memori. Monitor referensi keamanan menyediakan rutinitas konversi untuk dikonversi dari satu format ke format lainnya.
Bagian ini mencakup topik-topik berikut:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk