管理 IRP_MJ_CREATE 上的访问控制列表

还可以在文件系统中解决许多其他与安全相关的问题。 例如，管理磁盘上的访问控制列表是一个主要安全问题。 鉴于数千个文件的安全信息可能相同，因此文件系统为安全描述符实现共享模型通常很有用。 因此，使用同一安全描述符的所有文件共享单个磁盘 (，并且可能共享内存中) 安全描述符的副本。 NTFS 文件系统使用此模型。

另一个选项是让文件系统缓存结果。 虽然与安全性没有严格关系，但请务必认识到安全操作可能会给普通操作（例如打开文件）增加大量成本。 因此，缓存先前操作的安全结果可以允许文件系统依赖于以前的决策。 例如，可以立即授予请求以前对同一个文件授予同一用户访问权限的子集的新调用。 当然，添加任何此类机制的风险是可能会添加 bug，从而允许不当访问。 请务必确保彻底测试任何安全实现，以确保其按预期方式工作。