Gerenciamento de listas de Controle de Acesso em IRP_MJ_CREATE

Há vários problemas adicionais relacionados à segurança que podem ser resolvidos no sistema de arquivos. Por exemplo, o gerenciamento de listas de controle de acesso no disco é um grande problema de segurança. Considerando que as informações de segurança podem ser idênticas em milhares de arquivos, geralmente é útil para o sistema de arquivos implementar um modelo de compartilhamento para descritores de segurança. Assim, todos os arquivos que usam o mesmo descritor de segurança compartilham uma única cópia em disco (e possivelmente na memória) do descritor de segurança. O sistema de arquivos NTFS usa esse modelo.

Uma opção adicional seria o sistema de arquivos armazenar em cache os resultados. Embora não esteja estritamente relacionado à segurança, é importante perceber que as operações de segurança podem adicionar custos substanciais a operações comuns, como abrir o arquivo. Assim, armazenar em cache os resultados de segurança de operações anteriores pode permitir que o sistema de arquivos dependa de decisões anteriores. Por exemplo, uma nova chamada que solicita um subconjunto de acesso concedido anteriormente ao mesmo usuário no mesmo arquivo pode ser concedida sumariamente. É claro que o risco de adicionar qualquer mecanismo desse tipo é o potencial para adicionar bugs, que permitem acesso inadequado. É importante garantir que qualquer implementação de segurança seja testada minuciosamente para garantir que ela funcione da maneira esperada.