Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows-bestandssystemen kunnen ondersteuning bieden voor de opslag en het beheer van beveiligingsdescriptors die zijn gekoppeld aan afzonderlijke opslageenheden in het bestandssysteem. De granulariteit van beveiligingsbeheer is volledig aan het bestandssysteem. Voorbeeld:
- Eén bestandssysteem kan één beveiligingsdescriptor onderhouden die alles op een bepaald opslagvolume omvat
- Een ander bestandssysteem kan beveiligingsdescriptors bieden die verschillende onderdelen van een bepaald bestand behandelen.
De modellen waarmee de meeste ontwikkelaars vertrouwd zijn, zijn de modellen die worden geleverd door de bestaande Windows-bestandssystemen:
NTFS ondersteunt een beveiligingsdescriptormodel per bestand (of map). NTFS is efficiënt in de opslag van beveiligingsdescriptors, waarbij slechts één kopie van elke beveiligingsdescriptor wordt opgeslagen, zelfs als deze wordt gebruikt door veel verschillende bestanden.
FAT, CDFS, UDFS bieden geen ondersteuning voor beveiligingsdescriptors.
RDBSS en de SMB Network Redirector bieden ondersteuning die vergelijkbaar is met de ondersteuning van het externe opslagvolume.
Deze bestandssystemen vertegenwoordigen echter niet alle mogelijke implementaties van Windows-beveiliging voor bestandssystemen.
Een Windows-beveiligingsdescriptor bestaat uit vier afzonderlijke onderdelen:
De beveiligings-id (SID) van de eigenaar van het object. De eigenaar van een object heeft altijd de mogelijkheid om de beveiliging van het object opnieuw in te stellen. Deze mogelijkheid zorgt ervoor dat bijvoorbeeld alle toegang tot een object kan worden verwijderd. Zelfs als eigenaren hun mogelijkheid om alle bewerkingen uit te voeren verwijderen, kunnen ze met dit inherente recht hun beveiligingsrechten op het object herstellen.
Een optionele beveiligings-id (SID) van de standaardgroep van het object. Het concept van groepseigendom is een concept dat niet vereist is in Windows, maar is handig voor sommige toepassingen.
De systeemtoegangsbeheerlijst (SACL) die het controlebeleid van de beveiligingsdescriptor beschrijft.
De discretionaire toegangsbeheerlijst (DACL) die het toegangsbeleid van de beveiligingsdescriptor beschrijft.
In de volgende afbeelding ziet u een Windows-beveiligingsdescriptor.
Beveiligingsdescriptors zijn objecten van variabele grootte, waarbij elk van de afzonderlijke subonderdelen ook variabel is. Om offlineopslag van beveiligingsdescriptors mogelijk te maken, kan een beveiligingsdescriptor een zelfrelatieve indeling hebben. In dat geval geeft de header de verschuiving binnen de buffer aan naar het specifieke onderdeel van de beveiligingsdescriptor. Een in-memory indeling bestaat uit aanwijzerwaarden voor de verschillende onderdelen van de beveiligingsdescriptor. Voor een bestandssysteem is de zelf-relatieve indeling normaal gesproken het nuttigst omdat hiermee eenvoudige opslag en het ophalen van de beveiligingsdescriptor vanuit permanente opslag mogelijk is. Toepassingen die veiligheidsdescriptors bouwen, gebruiken eerder de geheugenindeling. De beveiligingsreferentiemonitor biedt omzettingsroutines om indelingen van het ene naar het andere formaat om te zetten.
Deze sectie bevat de volgende artikelen: