Partes do modelo de controle de acesso

Há duas partes básicas do modelo de controle de acesso:

• tokens do Access, que contêm informações sobre um usuário conectado
• descritores de segurança, que contêm as informações de segurança que protegem um objeto protegível

Quando um usuário faz logon, o sistema autentica o nome e a senha da conta do usuário. Se o logon for bem-sucedido, o sistema criará um token de acesso. Cada processo executado em nome desse usuário terá uma cópia desse token de acesso. O token de acesso contém identificadores de segurança que identificam a conta do usuário e as contas de grupo às quais o usuário pertence. O token também contém uma lista dos privilégios de mantidos pelo usuário ou pelos grupos do usuário. O sistema usa esse token para identificar o usuário associado quando um processo tenta acessar um objeto protegível ou executar uma tarefa de administração do sistema que requer privilégios.

Quando um objeto protegível é criado, o sistema atribui a ele um descritor de segurança que contém informações de segurança especificadas por seu criador ou informações de segurança padrão se nenhuma for especificada. Os aplicativos podem usar funções para recuperar e definir as informações de segurança para um objeto existente.

Um descritor de segurança identifica o proprietário do objeto e também pode conter as seguintes listas de controle de acesso :

• Uma lista de controle de acesso discricionário (DACL) que identifica os usuários e grupos permitidos ou negados acesso ao objeto
• Uma lista de controle de acesso do sistema (SACL) que controla como o sistema audita tenta acessar o objeto

Uma ACL contém uma lista de entradas de controle de acesso (ACEs). Cada ACE especifica um conjunto de direitos de acesso e contém um SID que identifica um para os quais os direitos são permitidos, negados ou auditados. Um administrador pode ser uma conta de usuário, uma conta de grupo ou sessão de logon.

Use funções para manipular o conteúdo de descritores de segurança, SIDs e ACLs em vez de acessá-los diretamente. Isso ajuda a garantir que essas estruturas permaneçam sintaticamente precisas e impeçam que aprimoramentos futuros no sistema de segurança quebrá-los.

Os tópicos a seguir fornecem informações sobre partes do modelo de controle de acesso:

• tokens de acesso
• descritores de segurança
• listas de controle de acesso
• entradas de controle de acesso
• de Direitos de Acesso e Máscaras de Acesso
• como o AccessCheck funciona
• de Política de Autorização Centralizada
• identificadores de segurança