IRP_MJ_CREATE Access Control 목록 관리

파일 시스템 내에서 해결할 수 있는 여러 가지 추가 보안 관련 문제가 있습니다. 예를 들어 디스크의 액세스 제어 목록 관리는 주요 보안 문제입니다. 수천 개의 파일에서 보안 정보가 동일할 수 있으므로 파일 시스템에서 보안 설명자에 대한 공유 모델을 구현하는 것이 유용한 경우가 많습니다. 따라서 동일한 보안 설명자를 사용하는 모든 파일은 보안 설명자의 단일 디스크(및 메모리 내) 복사본을 공유합니다. NTFS 파일 시스템은 이 모델을 사용합니다.

추가 옵션은 파일 시스템에서 결과를 캐시하는 것입니다. 보안과 엄격하게 관련되지는 않지만 보안 작업에서 파일 열기와 같은 일반 작업에 상당한 비용을 추가할 수 있다는 사실을 깨닫는 것이 중요합니다. 따라서 이전 작업의 보안 결과를 캐싱하면 파일 시스템이 이전 결정에 의존할 수 있습니다. 예를 들어 동일한 파일에서 동일한 사용자에게 이전에 부여된 액세스의 하위 집합을 요청하는 새 호출이 요약적으로 부여될 수 있습니다. 물론 이러한 메커니즘을 추가할 위험은 버그를 추가할 가능성이 있으므로 부적절한 액세스를 허용합니다. 보안 구현이 예상대로 작동하는지 확인하기 위해 모든 보안 구현을 철저히 테스트해야 합니다.