Descriptores de seguridad en sistemas de archivos
Los sistemas de archivos de Windows pueden admitir el almacenamiento y la administración de descriptores de seguridad asociados a unidades de almacenamiento individuales dentro del sistema de archivos. La granularidad del control de seguridad depende completamente del sistema de archivos. Por ejemplo:
- Un sistema de archivos puede mantener un único descriptor de seguridad que englobe todo en un volumen de almacenamiento determinado.
- Un sistema de archivos diferente podría generar descriptores de seguridad que ocupen diferentes partes de un único archivo determinado.
Los modelos con los que la mayoría de los desarrolladores se sienten cómodos son los modelos habilitados por los sistemas de archivos de Windows existentes:
NTFS admite un modelo de descriptor de seguridad por archivo (o directorio). NTFS es eficaz en el almacenamiento de descriptores de seguridad, almacenando solo una copia de cada descriptor de seguridad, aunque se use en muchos archivos distintos.
FAT, CDFS, UDFS no admiten descriptores de seguridad.
RDBSS y el redireccionador de red de SMB ofrecen funciones compatibles comparables a las del volumen remoto.
Sin embargo, estos sistemas de archivos no representan todas las implementaciones posibles de seguridad de Windows para sistemas de archivos.
Un descriptor de seguridad de Windows consta de cuatro partes distintas:
Identificador de seguridad (SID) del propietario del objeto. El propietario de un objeto siempre tiene la capacidad de restablecer la seguridad en el objeto. Esto garantiza que, por ejemplo, se pueda retirar el acceso completo a un objeto. Dado que incluso si los propietarios se quitan la posibilidad de realizar todas las operaciones, este derecho inherente les permite restaurar sus derechos de seguridad en el objeto.
Identificador de seguridad opcional (SID) del grupo predeterminado del objeto. El concepto de propiedad de grupo no es necesario en Windows, pero es útil para algunas aplicaciones.
La lista de control de acceso del sistema (SACL) que describe la política de auditoría del descriptor de seguridad.
La lista de control de acceso discrecional (DACL) que describe la política de acceso del descriptor de seguridad.
En la imagen siguiente se muestra un descriptor de seguridad de Windows.
Los descriptores de seguridad son objetos de tamaño variable, con cada uno de los subcomponentes concretos, que también son de tamaño variable. Para facilitar el almacenamiento sin conexión de los descriptores de seguridad, un descriptor de seguridad puede estar en formato autorrelativo, en cuyo caso el encabezado es la posición dentro del búfer según el componente específico del descriptor de seguridad. Un formato en memoria está formado por valores de puntero que enlazan con las distintas partes del descriptor de seguridad. En un sistema de archivos, el formato autorrelativo suele ser el más útil, ya que permite un fácil almacenamiento y recuperación del descriptor de seguridad del almacenamiento persistente. Es más probable que las aplicaciones que compilen descriptores de seguridad usen el formato en memoria. El sistema de control de referencia de seguridad habilitar el uso de rutinas de conversión para pasar de un formato a otro.
En esta sección se incluyen los siguientes artículos: