Управление списками контроль доступа в IRP_MJ_CREATE

Существует множество дополнительных проблем, связанных с безопасностью, которые можно устранить в файловой системе. Например, управление списками управления доступом на диске является серьезной проблемой безопасности. Учитывая, что сведения о безопасности могут быть идентичными для тысяч файлов, файловой системе часто бывает полезно реализовать модель совместного использования для дескрипторов безопасности. Таким образом, все файлы, использующие один дескриптор безопасности, совместно используют одну копию дескриптора безопасности на диске (и, возможно, в памяти). Эта модель используется в файловой системе NTFS.

Кроме того, файловая система может кэшировать результаты. Хотя они не связаны строго с безопасностью, важно понимать, что операции по обеспечению безопасности могут значительно повысить затраты на обычные операции, такие как открытие файла. Таким образом, кэширование результатов безопасности из предыдущих операций может позволить файловой системе полагаться на предыдущие решения. Например, новый вызов, запрашивающий подмножество доступа, ранее предоставленное тому же пользователю в том же файле, может быть предоставлено в сводном виде. Конечно, риск добавления любого такого механизма заключается в возможности добавления ошибок, которые допускают неправильный доступ. Важно обеспечить тщательное тестирование любой реализации безопасности, чтобы убедиться, что она работает ожидаемым образом.