セキュリティ記述子

  • [アーティクル]

すべてのオブジェクトには、オブジェクトのセキュリティ設定を指定した セキュリティ記述子があります。 カーネル モードでは、不透明な SECURITY_DESCRIPTOR データ型はセキュリティ記述子を表します。

セキュリティ記述子の情報は、アクセス制御リスト (ACL) に保存されます。 アクセス制御リストは、一連の アクセス制御エントリ (ACE) で構成されます。

セキュリティ記述子には、次の 2 つの独立した ACL があります。

  • ログに記録されるオブジェクトに対する操作を決定する システム ACL (SACL)。

  • オブジェクトに対して特定の操作を実行できるユーザーを決定する 随意 ACL (DACL)。

通常、ドライバー開発者に関係があるのは随意 ACL のみです。 システム ACL の詳細については、Microsoft Windows SDK を参照してください。

随意 ACL の場合、各 ACE には次の 3 つの情報が含まれます。

  • セキュリティ識別子 (SID)。 セキュリティ識別子は、ACE を適用するユーザーを決定します。 SID は、1 人のユーザーまたはユーザーのグループを表すことができます。 たとえば、World SID は、すべてのユーザーのセットを表します。

  • アクセス権のセット。 アクセス権の説明については、「アクセス権」を参照してください。

  • アクセス権のセットが付与されているか、拒否されているか。

ドライバーの場合、最も重要なセキュリティ記述子は、ドライバーのデバイス オブジェクトのセキュリティ記述子です。 詳細については、「デバイス オブジェクトの保全」を参照してください。

一般的なセキュリティ記述子の詳細については、Windows SDK を参照してください。