Wat is een beveiligingsdescriptor?
Een beveiligingsdescriptor is een stuk informatie dat wordt toegevoegd aan een deel van een computersysteem, proces of bestand dat de toegangsparameters beheert. Deze descriptoren bepalen of een gebruiker of proces toegang heeft tot het beveiligde object en of het object toegang heeft tot andere dingen. Een beveiligingsdescriptor wordt vaak op een hoog deel van een directorypad of procesketen geplaatst en de items onder het beveiligde object nemen de descriptors over en worden zelf beveiligd. Dit vereenvoudigt het proces voor de gebruiker, omdat hij slechts één ding hoeft te beveiligen om een beveiligd gebied te maken.
De term 'beveiligingsdescriptor' wordt alleen correct gebruikt door Windows®-gebaseerde besturingssystemen (OS). Deze descriptoren zijn ontwikkeld om te voorkomen dat Windows®-objecten op onjuiste wijze toegankelijk zijn. Omdat de term zo vaag is, wordt deze vaak gebruikt om bestands- en procesbeveiligingsmethoden te beschrijven op andere systemen die verschillende methoden gebruiken. Dit komt vooral voor bij besturingssystemen die veel gebruik maken van lees- / schrijftoegangsopdrachten.
In Windows®-systemen zijn beveiligingsdescriptors alleen van toepassing op beveiligbare objecten. "Beveiligbaar" betekent eenvoudigweg dat er een beveiligingsdescriptor aan kan worden toegevoegd; de term onderscheidt deze items van standaardobjecten. Hoewel beveiligbare objecten en algemene objecten verschillen, staat de term niet in verband met het werkelijke verschil.
Objecten zijn een breed scala aan verschillende dingen binnen het Windows® OS. Het systeem gebruikt de term om alles aan te geven waartoe het toegang heeft of kan krijgen en alles waartoe het toegang heeft gehad - dus bijna elk niet-vaststaand stukje informatie op het systeem is een object. Deze objecten kunnen zich aan de gebruikerszijde bevinden, zoals een bestand of map vol met bestanden, of ze kunnen een systeemzijdeobject zijn, zoals een actief proces of registervermelding.
Een object kan alleen worden beveiligd als het uniek en identificeerbaar is. Dit is een eenvoudig concept dat grote invloed heeft op de manier waarop een systeem werkt. Een uniek object betekent dat er slechts één op elk moment bestaat. Als er slechts één van een object bestaat dat duplicaten kan hebben, is het nog steeds niet uniek omdat er een mogelijkheid bestaat dat er een ander ontstaat. Een identificeerbaar object bevat discrete parameters die het begin, einde en bestaansreden bepalen.
Als aan een object een beveiligingsdescriptor kan worden toegevoegd, is het proces vaak zeer eenvoudig en over het algemeen automatisch. De descriptor bevat drie soorten informatie: eigendom, toegang in en toegang uit. Eigendom geeft aan wat het object heeft gemaakt en of het zijn beschrijving aan zijn kinderen doorgeeft. Toegang in vertelt het object wat toegang heeft tot zijn inhoud. Access out vertelt het object tot welke objecten het toegang heeft.