Дескрипторы безопасности в файловой системах
Файловые системы Windows могут поддерживать хранение и управление дескрипторами безопасности, связанными с отдельными единицами хранения в файловой системе. Степень детализации управления безопасностью полностью зависит от файловой системы. Например:
- Одна файловая система может поддерживать один дескриптор безопасности, охватывающий все данные в заданном томе хранилища.
- Другая файловая система может предоставлять дескрипторы безопасности, охватывающие различные части одного файла.
Модели, с которыми большинство разработчиков удобно работать, являются моделями, предоставляемыми существующими файловыми системами Windows:
NTFS поддерживает модель дескриптора безопасности для каждого файла (или каталога). NTFS эффективна в своем хранилище дескрипторов безопасности, сохраняя только одну копию каждого дескриптора безопасности, даже если она используется различными файлами.
FAT, CDFS, UDFS не поддерживают дескрипторы безопасности.
RDBSS и диспетчер перенаправления сети SMB обеспечивают поддержку, сравнимую с поддержкой, предоставляемой удаленным томом.
Однако эти файловые системы не представляют всех возможных реализаций безопасности Windows для файловых систем.
Дескриптор безопасности Windows состоит из четырех отдельных частей:
Идентификатор безопасности (SID) владельца объекта. Владелец объекта всегда имеет возможность сброса безопасности объекта в объекте. Эта возможность гарантирует, что, например, все доступ к объекту можно удалить. Так как даже если владельцы удаляют возможность выполнения всех операций, это неотъемлемое право позволяет им восстановить свои права на безопасность объекта.
Необязательный идентификатор безопасности (SID) группы по умолчанию объекта. Концепция группового владения — это то, что не требуется в Windows, но полезно для некоторых приложений.
Список управления доступом системы (SACL), описывающий политику аудита дескриптора безопасности.
Список управления доступом (DACL), описывающий политику доступа дескриптора безопасности.
На следующем рисунке показан дескриптор безопасности Windows.
Дескрипторы безопасности — это объекты с переменным размером, причем каждая из отдельных подкомпонентов также является переменной размера. Чтобы упростить автономное хранение дескрипторов безопасности, дескриптор безопасности может находиться в автономном формате, в этом случае заголовок является смещением в буфере к конкретному компоненту дескриптора безопасности. Формат в памяти состоит из значений указателя на различные части дескриптора безопасности. Для файловой системы самосообщающий формат обычно является наиболее полезным, так как он позволяет легко хранить и извлекать дескриптор безопасности из постоянного хранилища. Приложения, которые создают дескрипторы безопасности, скорее всего, используют формат в памяти. Монитор ссылок на безопасность предоставляет подпрограммы преобразования для преобразования из одного формата в другой.
В этом разделе рассматриваются следующие темы: