すべてのオブジェクトには 、オブジェクトのセキュリティ設定を含むセキュリティ記述子があります。 カーネル モードでは、不透明 なSECURITY_DESCRIPTOR データ型はセキュリティ記述子を表します。
セキュリティ記述子の情報は、 アクセス制御リスト (ACL) に格納されます。 アクセス制御リストは、一連の アクセス制御エントリ (ACE) で構成されます。
セキュリティ記述子には、次の 2 つの個別の ACL があります。
ログに記録されるオブジェクトに対する操作を決定する システム ACL (SACL)。
オブジェクトに対して特定の操作を実行できるユーザーを決定する 随意 ACL (DACL)。
通常、ドライバー開発者は随意 ACL にのみ注目します。 システム ACL の詳細については、Microsoft Windows SDK を参照してください。
随意 ACL の場合、各 ACE には次の 3 つの情報が含まれます。
セキュリティ識別子 (SID)。 セキュリティ識別子は、ACE が適用されるユーザーを決定します。 SID は、1 人のユーザーまたはユーザーのグループを表すことができます。 たとえば、World SID は、すべてのユーザーのセットを表します。
アクセス権のセット。 アクセス権の説明については、「 アクセス権」を参照してください。
アクセス権のセットが付与されているか、拒否されているか。
ドライバーの場合、最も重要なセキュリティ記述子は、ドライバーのデバイス オブジェクトのセキュリティ記述子です。 詳細については、「デバイス オブジェクトの保全」を参照してください。
一般的なセキュリティ記述子の詳細については、Windows SDK を参照してください。