Sicherheitsbeschreibungen

Jedes Objekt verfügt über einen Sicherheitsdeskriptor, der die Sicherheitseinstellungen für ein Objekt enthält. Im Kernelmodus stellt der undurchsichtige datentyp SECURITY_DESCRIPTOR eine Sicherheitsbeschreibung dar.

Informationen in einer Sicherheitsbeschreibung werden in Zugriffssteuerungslisten (Access Control Lists , ACLs) gespeichert. Eine Zugriffssteuerungsliste besteht aus einer Reihe von Zugriffssteuerungseinträgen (AcEs ).

Eine Sicherheitsbeschreibung verfügt über zwei separate ACLs:

  • Eine System-ACL (SACL), die bestimmt, welche Vorgänge für ein Objekt protokolliert werden.

  • Eine diskretionäre ACL (DACL), die bestimmt, welche Benutzer bestimmte Vorgänge für das Objekt ausführen können.

In der Regel befasst sich ein Treiberentwickler nur mit diskretionären ACLs. Weitere Informationen zu System-ACLs finden Sie im Microsoft Windows SDK.

Für eine diskretionäre ACL enthält jede ACE drei Informationen:

  • Ein Sicherheitsbezeichner (Security Identifier , SID). Der Sicherheitsbezeichner bestimmt, für wen der ACE gilt. Eine SID kann einen einzelnen Benutzer oder eine Gruppe von Benutzern darstellen. Die Welt-SID stellt beispielsweise die Gruppe aller Benutzer dar.

  • Eine Reihe von Zugriffsrechten. Eine Beschreibung der Zugriffsrechte finden Sie unter Zugriffsrechte.

  • Gibt an, ob der Satz von Zugriffsrechten gewährt oder verweigert wird.

Für einen Treiber sind die wichtigsten Sicherheitsbeschreibungen diejenigen für die Geräteobjekte des Treibers. Weitere Informationen finden Sie unter Sichern von Geräteobjekten.

Weitere Informationen zu Sicherheitsbeschreibungen im Allgemeinen finden Sie im Windows SDK.