Проверки безопасности в файловой системе
Основная часть ответственности файловой системы в отношении безопасности лежит на проверках безопасности. Они реализуются в файловой системе, так как это часть Windows, которая фактически "владеет" объектом . Целью реализации безопасности является разделение политики (реализованной файловой системой) для защиты ее объектов и механизма (реализованного монитором ссылок по безопасности) для принятия решений о доступе.
Иными словами, разработчик файловой системы отвечает за вызовы эталонного монитора безопасности в соответствующее время для проверки правильности доступа к ресурсу файловой системы. Файловой системе не нужно понимать, как эталонный монитор безопасности принимает эти решения по обеспечению безопасности. В этом разделе описываются моменты, в которых файловая система может рассмотреть возможность добавления проверок безопасности.
Этот раздел содержит следующие подразделы:
Применение дескрипторов безопасности к объекту device
Проверки безопасности в IRP_MJ_CREATE
Проверки безопасности IRP_MJ_QUERY_SECURITY и IRP_MJ_SET_SECURITY
Проверки безопасности IRP_MJ_DIRECTORY_CONTROL
Проверки безопасности IRP_MJ_FILE_SYSTEM_CONTROL