La liste de contrôle d’accès discrétionnaire (DACL) au sein du descripteur de sécurité constitue une partie importante de la sécurité Windows. La liste DACL constitue une liste d’entrées qui autorisent ou refusent certains droits à des utilisateurs ou groupes spécifiques. Une entrée de liste est appelée entrée de contrôle d’accès (ACE). Chaque entrée ACE est constituée des éléments suivants :

  • un identificateur de sécurité (SID) pour identifier un utilisateur ou un groupe particulier ;

  • une liste d’accès qui spécifie les autorisations accordées ou refusées à l’utilisateur ou au groupe.

L’exemple suivant illustre une liste DACL :

  • DACL : Contrôle total (tous) Utilisateur1

  • ToolGroup:Read (RX)

  • Everyone:Read (RX)

Dans cet exemple de liste DACL, Utilisateur1 dispose d’un accès en lecture, écriture et exécution sur le fichier. Les membres du groupe ToolGroup disposent d’un accès en lecture et en exécution. Les membres du groupe Everyone (tous les utilisateurs) disposent d’un accès en lecture et en exécution.

Les règles suivantes régissent l’accès à un fichier :

  • S’il n’existe aucune liste DACL, tout le monde bénéficie d’un accès complet.

  • Si une liste DACL est présente, mais qu’elle ne contient pas d’entrées, l’accès est refusé à tout le monde.

  • Le propriétaire du fichier peut toujours modifier la liste DACL.

En retour, ces règles s’appliquent à la liste DACL :

  • Des recherches sont effectuées parmi les entrées de la liste DACL de manière séquentielle.

  • Toutes les autorisations sont refusées de manière implicite.

  • Une fois qu’une autorisation a été refusée, elle ne peut être accordée.

  • Une fois qu’une autorisation a été accordée, elle ne peut être refusée.


Table des matières