文件系统中的安全检查

文件系统在安全性方面的大部分责任在于安全检查领域。 这些是在文件系统中实现的，因为它是 Windows 中实际“拥有”对象的一部分。 安全实现的目标是将文件系统实现的策略 () 用于保护其对象，以及安全参考监视器) (实现的机制分开，以便做出访问决策。

换句话说，文件系统开发人员负责在适当的时间调用安全参考监视器，以验证对文件系统资源的正确访问。 文件系统不需要了解安全参考监视器如何做出这些安全决策的详细信息。 本部分介绍文件系统可能考虑添加安全检查的要点。

本节包括下列主题：

在设备对象上应用安全描述符

IRP_MJ_CREATE 上的安全检查

IRP_MJ_QUERY_SECURITY 和 IRP_MJ_SET_SECURITY 上的安全检查

IRP_MJ_DIRECTORY_CONTROL 上的安全检查

IRP_MJ_FILE_SYSTEM_CONTROL 上的安全检查

IRP_MJ_SET_INFORMATION 上的安全检查

模拟

进程和线程终止问题