Descrittori di sicurezza nei file system
I file system windows possono supportare l'archiviazione e la gestione dei descrittori di sicurezza associati a singole unità di archiviazione all'interno del file system. La granularità del controllo di sicurezza è interamente fino al file system. Ad esempio, un file system potrebbe mantenere un singolo descrittore di sicurezza che copre tutto su un determinato volume di archiviazione, mentre un altro potrebbe fornire descrittori di sicurezza che coprono parti diverse di un singolo file. I modelli con cui la maggior parte degli sviluppatori è comodo sono quelli forniti dai file system Windows esistenti:
NTFS supporta un modello di descrittore di sicurezza per file (o directory). NTFS è efficiente nell'archiviazione dei descrittori di sicurezza, archiviando solo una singola copia di ogni descrittore di sicurezza, anche se viene usata da molti file diversi.
FAT, CDFS, UDFS non supportano i descrittori di sicurezza.
RDBSS e il reindirizzamento di rete SMB forniscono supporto paragonabile a quello fornito dal volume remoto.
Questi file system, tuttavia, non rappresentano tutte le possibili implementazioni della sicurezza di Windows per i file system.
Un descrittore di sicurezza di Windows è costituito da quattro parti distinte:
Identificatore di sicurezza (SID) del proprietario dell'oggetto. Il proprietario di un oggetto ha sempre la possibilità di reimpostare la sicurezza nell'oggetto. Questo è un buon modo per garantire che, ad esempio, tutti gli accessi a un oggetto possano essere rimossi. Poiché anche se i proprietari rimuovono la loro capacità di eseguire tutte le operazioni, questo diritto intrinseco consente loro di ripristinare i diritti di sicurezza dell'oggetto.
Identificatore di sicurezza facoltativo (SID) del gruppo predefinito dell'oggetto. Il concetto di proprietà del gruppo è uno che non è obbligatorio in Windows, ma è utile per alcune applicazioni.
Elenco di controllo di accesso del sistema (SACL) che descrive i criteri di controllo del descrittore di sicurezza.
Elenco di controllo di accesso discrezionale (DACL) che descrive i criteri di accesso del descrittore di sicurezza.
La figura seguente illustra un descrittore di sicurezza di Windows.
I descrittori di sicurezza sono oggetti di dimensioni variabili, con ognuno dei singoli componenti secondari che sono variabili anche di dimensioni. Per facilitare l'archiviazione offline dei descrittori di sicurezza, un descrittore di sicurezza può essere in formato auto-relativo, nel qual caso l'intestazione è l'offset all'interno del buffer al componente specifico del descrittore di sicurezza. Un formato in memoria è costituito da valori puntatori alle varie parti del descrittore di sicurezza. Per un file system, il formato auto-relativo è normalmente più utile perché consente l'archiviazione semplice e il recupero del descrittore di sicurezza dall'archiviazione persistente. Le applicazioni che creano descrittori di sicurezza sono più probabile che usino il formato in memoria. Il monitoraggio dei riferimenti alla sicurezza fornisce routine di conversione da un formato all'altro.
Questa sezione include gli argomenti seguenti:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per