Gestione dei privilegi in un file system

Il privilegio è un meccanismo usato dal sistema operativo per controllare operazioni specifiche. A ogni privilegio sono associate operazioni specifiche che il chiamante dell'operazione può eseguire se vengono soddisfatte le due condizioni seguenti:

• Il privilegio deve essere mantenuto dal chiamante.
• Il privilegio deve essere abilitato anche.

Il principio di questi requisiti è noto come privilegio minimo. Il privilegio minimo richiede l'abilitazione dei privilegi prima che vengano usati, anziché presupposti. Questo requisito riduce al minimo la probabilità che un utente possa eseguire inavvertitamente un'operazione che non intendeva. Ad esempio, SeRestorePrivilege normalmente consente al chiamante di ignorare i normali controlli per l'accesso in scrittura a un file. Ad esempio, un amministratore potrebbe non voler eseguire effettivamente l'override dei normali controlli di sicurezza durante la copia di un file; Tuttavia, potrebbero voler eseguire questa operazione quando si ripristina lo stesso file usando un'utilità di backup/ripristino.

Per i file system, esistono molti privilegi che vengono spesso usati per modificare il comportamento normale (in particolare, i controlli di sicurezza) per il sistema. Questi privilegi sono:

• SeBackupPrivilege consente il recupero del contenuto del file, anche se il descrittore di sicurezza nel file potrebbe non concedere tale accesso. Un chiamante con SeBackupPrivilege abilitato obvia la necessità di qualsiasi controllo di sicurezza basato su ACL.

• SeRestorePrivilege consente la modifica del contenuto dei file, anche se il descrittore di sicurezza nel file potrebbe non concedere tale accesso. Questa funzione può essere usata anche per modificare il proprietario e la protezione.

• SeChangeNotifyPrivilege consente di attraversare destra. Questo privilegio è un'ottimizzazione importante in Windows perché rimuove il costo dell'esecuzione di un controllo di sicurezza in ogni singola directory in un percorso.

• SeManageVolumePrivilege consente operazioni di gestione specifiche a livello di volume, ad esempio volume di blocco, deframmentazione, smontaggio del volume e impostazione della lunghezza dei dati valida in Windows XP e versioni successive. Un driver del file system applica in modo esplicito questo particolare privilegio principalmente in base alle operazioni FSCTL. In questo caso, il file system prende una decisione dei criteri per applicare questo privilegio. La determinazione del fatto che questo privilegio sia detenuto dal chiamante viene effettuato dal monitoraggio dei riferimenti di sicurezza come parte del controllo dei privilegi normale.

Anche se esistono numerosi altri privilegi, in genere sono opachi per i file system e solo il Monitoraggio dei riferimenti alla sicurezza li interpreta.

Le routine principali di Windows per la gestione dei privilegi all'interno di un file system sono:

• SePrivilegeCheck esegue un controllo per un set specifico di privilegi necessari.

• SeSinglePrivilegeCheck esegue un controllo per un singolo privilegio specifico. Si tratta di una versione ottimizzata di SePrivilegeCheck.

• SeAccessCheck esegue il normale controllo di accesso su un oggetto (in genere un oggetto file per un file system).

• SeFreePrivileges libera il blocco dei privilegi restituito da una chiamata precedente a SeAccessCheck.

• SeAppendPrivileges aggiunge privilegi abilitati a una struttura ACCESS_STATE. In genere, un file system usa il ACCESS_STATE passato durante l'elaborazione IRP_MJ_CREATE.