Descrittori di sicurezza nei file system
I file system Windows possono supportare l'archiviazione e la gestione dei descrittori di sicurezza associati alle singole unità di archiviazione all'interno del file system. La granularità del controllo di sicurezza dipende interamente dal file system. Ad esempio:
- Un file system potrebbe mantenere un singolo descrittore di sicurezza che copre tutti gli elementi in un determinato volume di archiviazione
- Un file system diverso potrebbe fornire descrittori di sicurezza che coprono parti diverse di un singolo file specificato.
I modelli con cui la maggior parte degli sviluppatori hanno familiarità sono i modelli forniti dai file system Windows esistenti:
NTFS supporta un modello di descrittore di sicurezza per file (o directory). NTFS è efficiente nell'archiviazione dei descrittori di sicurezza, archiviando una sola copia di ogni descrittore di sicurezza, anche se viene usata da molti file diversi.
FAT, CDFS, UDFS non supportano i descrittori di sicurezza.
RDBSS e il redirector di rete SMB offrono supporto paragonabile al supporto fornito dal volume remoto.
Questi file system, tuttavia, non rappresentano tutte le possibili implementazioni della sicurezza di Windows per i file system.
Un descrittore di sicurezza di Windows è costituito da quattro parti distinte:
Identificatore di sicurezza (SID) del proprietario dell'oggetto. Il proprietario di un oggetto ha sempre la possibilità di reimpostare la sicurezza nell'oggetto. Questa capacità garantisce, ad esempio, che tutti gli accessi a un oggetto possano essere rimossi. Poiché anche se i proprietari rimuovono la possibilità di eseguire tutte le operazioni, questo diritto intrinseco consente loro di ripristinare i diritti di sicurezza per l'oggetto.
Identificatore di sicurezza (SID) facoltativo del gruppo predefinito dell'oggetto. Il concetto di proprietà del gruppo è uno che non è necessario in Windows, ma è utile per alcune applicazioni.
Elenco di controllo di accesso di sistema (SACL) che descrive i criteri di controllo del descrittore di sicurezza.
Elenco di controllo di accesso discrezionale (DACL) che descrive i criteri di accesso del descrittore di sicurezza.
La figura seguente illustra un descrittore di sicurezza di Windows.
I descrittori di sicurezza sono oggetti di dimensioni variabili, ognuno dei singoli sottocomponenti è variabile anche in dimensioni. Per facilitare l'archiviazione offline dei descrittori di sicurezza, un descrittore di sicurezza può essere in formato auto-relativo, nel qual caso l'intestazione è l'offset all'interno del buffer al componente specifico del descrittore di sicurezza. Un formato in memoria è costituito da valori puntatore alle varie parti del descrittore di sicurezza. Per un file system, il formato auto-relativo è in genere il più utile perché consente l'archiviazione semplice e il recupero del descrittore di sicurezza dall'archiviazione permanente. È più probabile che le applicazioni che creano descrittori di sicurezza usino il formato in memoria. Il monitoraggio dei riferimenti alla sicurezza fornisce routine di conversione da un formato all'altro.
Questa sezione include gli articoli seguenti: