Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os sistemas de arquivos do Windows podem suportar o armazenamento e o gerenciamento de descritores de segurança associados a unidades de armazenamento individuais dentro do sistema de arquivos. A granularidade do controle de segurança depende inteiramente do sistema de arquivos. Por exemplo:
- Um sistema de arquivos pode manter um único descritor de segurança que cubra tudo em um determinado volume de armazenamento
- Um sistema de arquivos diferente pode fornecer descritores de segurança que abrangem diferentes partes de um único arquivo.
Os modelos com os quais a maioria dos desenvolvedores se sente confortável são os modelos fornecidos pelos sistemas de arquivos Windows existentes:
O NTFS suporta um modelo de descritor de segurança por ficheiro (ou diretório). O NTFS é eficiente no armazenamento de descritores de segurança, armazenando apenas uma única cópia de cada descritor de segurança, mesmo que seja usado por muitos arquivos diferentes.
FAT, CDFS, UDFS não suportam descritores de segurança.
O RDBSS e o Redirecionador de Rede SMB fornecem suporte comparável ao suporte fornecido pelo volume remoto.
Esses sistemas de arquivos, no entanto, não representam todas as implementações possíveis de segurança do Windows para sistemas de arquivos.
Um descritor de segurança do Windows consiste em quatro partes distintas:
O identificador de segurança (SID) do proprietário do objeto. O proprietário de um objeto sempre tem a capacidade de redefinir a segurança no objeto. Essa capacidade garante que, por exemplo, todo o acesso a um objeto possa ser removido. Porque mesmo que os proprietários removam sua capacidade de executar todas as operações, esse direito inerente permite que eles restaurem seus direitos de segurança no objeto.
Um identificador de segurança opcional (SID) do grupo padrão do objeto. O conceito de propriedade de grupo não é necessário no Windows, mas é útil para alguns aplicativos.
A lista de controle de acesso do sistema (SACL) que descreve a política de auditoria do descritor de segurança.
A lista de controle de acesso discricionário (DACL) que descreve a política de acesso do descritor de segurança.
A figura a seguir ilustra um descritor de segurança do Windows.
Os descritores de segurança são objetos de tamanho variável, com cada um dos subcomponentes individuais sendo variável em tamanho também. Para facilitar o armazenamento offline de descritores de segurança, um descritor de segurança pode estar em formato autorrelativo, neste caso, o cabeçalho é o deslocamento dentro do buffer até o componente específico do descritor de segurança. Um formato em memória interna é composto por valores de ponteiro para as várias partes do descritor de segurança. Para um sistema de arquivos, o formato auto-relativo é normalmente o mais útil porque permite o armazenamento simples e a recuperação do descritor de segurança do armazenamento persistente. Os aplicativos que criam descritores de segurança são mais propensos a usar o formato na memória. O monitor de referência de segurança fornece rotinas de conversão para converter de um formato para o outro.
Esta secção inclui os seguintes artigos: