文件系統中的安全性描述元
Windows 檔系統可以支援儲存和管理 與文件系統內個別儲存單位相關聯的安全性描述元 。 安全性控制的數據粒度完全由文件系統決定。 例如:
- 一個文件系統可能會維護單一安全性描述元,其涵蓋指定儲存磁碟區上的所有內容
- 不同的檔案系統可能會提供涵蓋單一指定檔案不同部分的安全性描述項。
大部分開發人員都熟悉的模型是現有 Windows 檔案系統所提供的模型:
NTFS 支援每個檔案 (或目錄) 安全性描述元模型。 NTFS 在其安全性描述元的記憶體中很有效率,只儲存每個安全性描述元的單一複本,即使它是由許多不同的檔案使用也一樣。
FAT、CDFS、UDFS 不支援安全性描述元。
RDBSS 和 SMB 網路重新導向器提供支援,與遠端磁碟區所提供的支持相當。
不過,這些文件系統並不代表文件系統之 Windows 安全性的所有可能實作。
Windows 安全性描述元包含四個不同的部分:
對象擁有者的安全性識別碼 (SID)。 對象的擁有者一律能夠重設對象的安全性。 這項功能可確保可以移除物件的所有存取權。 因為即使擁有者移除其執行所有作業的能力,這個固有的許可權仍可讓他們還原物件上的安全性許可權。
對象預設群組的選擇性安全性標識碼 (SID)。 群組擁有權的概念是 Windows 中不需要的概念,但對某些應用程式很有用。
描述安全描述元之稽核策略的系統訪問控制清單 (SACL)。
描述安全描述元存取原則的任意訪問控制清單 (DACL)。
下圖說明 Windows 安全性描述元。
安全性描述項是可變大小的物件,每個個別子元件的大小也都是可變的。 為了方便離線儲存安全性描述元,安全性描述元可以是自我相對格式,在此情況下,標頭是緩衝區內的安全性描述元特定元件的位移。 記憶體內部格式包含安全性描述元各個部分的指標值。 對於文件系統而言,自我相對格式通常最有用,因為它允許從永續性記憶體擷取安全性描述元的簡單儲存和擷取。 建置安全性描述元的應用程式更有可能使用記憶體內部格式。 安全性參考監視器會提供轉換例程,以從一種格式轉換成另一種格式。
本節包含下列參考文章: