ファイル システムでのセキュリティ チェック
ファイル システムのセキュリティに関する責任の大部分は、セキュリティチェックの領域にあります。 これらは、オブジェクトを実際に "所有" する Windows の一部であるため、ファイル システム内で実装されます。 セキュリティ実装の目的は、オブジェクトを保護するためのポリシー (ファイル システムによって実装される) と、アクセスの決定を行うメカニズム (セキュリティ参照モニターによって実装される) を分離することです。
言い換えると、ファイル システム開発者は、適切なタイミングでセキュリティ参照モニターを呼び出して、ファイル システム リソースへの正しいアクセスを検証する必要があります。 ファイル システムは、セキュリティ参照モニターがこれらのセキュリティ上の決定を行う方法の詳細を理解する必要はありません。 このセクションでは、ファイル システムがセキュリティ チェックの追加を検討するポイントについて説明します。
ここでは、次のトピックについて説明します。
IRP_MJ_QUERY_SECURITY と IRP_MJ_SET_SECURITY でのセキュリティ チェック
IRP_MJ_DIRECTORY_CONTROL でのセキュリティ チェック
IRP_MJ_FILE_SYSTEM_CONTROL でのセキュリティ チェック