La lista de control de acceso discrecional (DACL) que se encuentra dentro del descriptor de seguridad es una parte importante de la seguridad de Windows. La DACL es una lista de entradas que conceden o deniegan determinados derechos a usuarios o grupos específicos. Las entradas de dicha lista se denominan entradas de control de acceso (ACE). Cada ACE se compone de lo siguiente:
-
Un identificador de seguridad (SID) para identificar a un usuario o grupo concreto.
-
Una lista de acceso que especifica los permisos permitidos o denegados al usuario o grupo.
A continuación, se ofrece un ejemplo de una DACL:
-
DACL: User1 Full Control (All)
-
ToolGroup:Read(RX)
-
Everyone:Read (RX)
En esta DACL, el usuario User1 tiene acceso de lectura, escritura y ejecución sobre el archivo. Los miembros del grupo ToolGroup tienen acceso de lectura y ejecución. Los miembros del grupo Everyone (todos los usuarios) tienen acceso de lectura y ejecución.
El acceso al archivo se rige por las reglas siguientes:
-
Si no hay DACL, todos los usuarios tienen acceso total.
-
Si hay una DACL pero no contiene ninguna entrada, se deniega el acceso a todos los usuarios.
-
El propietario del archivo siempre tiene la posibilidad de cambiar la lista DACL.
A su vez, la lista DACL se rige por las siguientes reglas:
-
La búsqueda de las entradas de la lista DACL se realiza de un modo secuencial.
-
Todos los permisos se deniegan de modo implícito.
-
Una vez denegado un permiso, no se puede conceder.
-
Una vez concedido un permiso, no se puede denegar.