파일 시스템의 보안 설명자
Windows 파일 시스템은 파일 시스템 내의 개별 스토리지 단위와 연결된 보안 설명자의 스토리지 및 관리를 지원할 수 있습니다. 보안 제어의 세분성은 전적으로 파일 시스템에 달려 있습니다. 예를 들어 한 파일 시스템은 지정된 스토리지 볼륨의 모든 항목을 포함하는 단일 보안 설명자를 유지 관리할 수 있고, 다른 파일은 지정된 단일 파일의 다른 부분을 포함하는 보안 설명자를 제공할 수 있습니다. 대부분의 개발자가 익숙한 모델은 기존 Windows 파일 시스템에서 제공하는 모델입니다.
NTFS는 파일별(또는 디렉터리) 보안 설명자 모델을 지원합니다. NTFS는 여러 다른 파일에서 사용되는 경우에도 각 보안 설명자의 복사본 하나만 저장하여 보안 설명자의 스토리지에서 효율적입니다.
FAT, CDFS, UDFS는 보안 설명자를 지원하지 않습니다.
RDBSS 및 SMB 네트워크 리디렉션기는 원격 볼륨에서 제공하는 것과 비슷한 지원을 제공합니다.
그러나 이러한 파일 시스템은 파일 시스템에 대한 Windows 보안의 가능한 모든 구현을 나타내지 않습니다.
Windows 보안 설명자는 다음과 같은 네 가지 개별 요소로 구성됩니다.
개체 소유자의 SID(보안 식별자)입니다. 개체의 소유자는 항상 개체의 보안을 다시 설정할 수 있습니다. 예를 들어 개체에 대한 모든 액세스를 제거할 수 있도록 하는 좋은 방법입니다. 소유자가 모든 작업을 수행할 수 있는 기능을 제거하더라도 이 고유한 권한을 통해 개체에 대한 보안 권한을 복원할 수 있기 때문입니다.
개체의 기본 그룹의 선택적 SID(보안 식별자)입니다. 그룹 소유권의 개념은 Windows 필요하지 않지만 일부 애플리케이션에 유용합니다.
보안 설명자의 감사 정책을 설명하는 SACL(시스템 액세스 제어 목록)입니다.
보안 설명자의 액세스 정책을 설명하는 DACL(임의 액세스 제어 목록)입니다.
다음 그림에서는 Windows 보안 설명자를 보여 줍니다.
보안 설명자는 가변 크기 개체이며 각 개별 하위 구성 요소는 크기가 가변적입니다. 보안 설명자의 오프라인 스토리지를 용이하게 하기 위해 보안 설명자는 자체 상대 형식일 수 있습니다. 이 경우 헤더는 버퍼 내에서 보안 설명자의 특정 구성 요소에 대한 오프셋입니다. 메모리 내 형식은 보안 설명자의 다양한 부분에 대한 포인터 값으로 구성됩니다. 파일 시스템의 경우 일반적으로 자체 상대 형식이 가장 유용합니다. 이 형식은 영구 스토리지에서 보안 설명자를 간단하게 저장하고 검색할 수 있기 때문입니다. 보안 설명자를 빌드하는 애플리케이션은 메모리 내 형식을 사용할 가능성이 더 높습니다. 보안 참조 모니터는 한 형식에서 다른 형식으로 변환하는 변환 루틴을 제공합니다.
이 단원에 포함된 항목은 다음과 같습니다.