Descriptor de seguridad
Cada objeto tiene un descriptor de seguridad, que contiene la configuración de seguridad de un objeto . En modo kernel, el tipo de datos SECURITY_DESCRIPTOR opaco representa un descriptor de seguridad.
La información de un descriptor de seguridad se almacena en listas de control de acceso (ACL). Una lista de control de acceso se compone de una serie de entradas de control de acceso (ACE).
Un descriptor de seguridad tiene dos ACL independientes:
Una ACL del sistema (SACL), que determina qué operaciones en un objeto se registran.
Una ACL discrecional (DACL), que determina qué usuarios pueden realizar operaciones concretas en el objeto.
Normalmente, un desarrollador de controladores solo se preocupa por las ACL discrecionales. Para obtener más información sobre las ACL del sistema, consulte la Microsoft Windows SDK.
Para una ACL discrecional, cada ACE contiene tres fragmentos de información:
Identificador de seguridad (SID). El identificador de seguridad determina a quién se aplica la ACE. Un SID puede representar un solo usuario o un grupo de usuarios. Por ejemplo, el SID del mundo representa el conjunto de todos los usuarios.
Un conjunto de derechos de acceso. Para obtener una descripción de los derechos de acceso, consulte Derechos de acceso.
Si se concede o deniega el conjunto de derechos de acceso.
Para un controlador, los descriptores de seguridad más importantes son los de los objetos de dispositivo del controlador. Para obtener más información, consulte Protección de objetos de dispositivo.
Para obtener más información sobre los descriptores de seguridad en general, consulte Windows SDK.