L'elenco di controllo di accesso discrezionale (DACL) contenuto nel descrittore di sicurezza costituisce un elemento importante della sicurezza di Windows. L'elenco DACL contiene le voci che concedono o negano determinati diritti a utenti o gruppi specifici. Tali voci sono denominate voci di controllo di accesso (ACE). Ogni ACE è costituita dagli elementi seguenti:
-
Un ID di sicurezza (SID) per identificare un determinato utente o gruppo.
-
Un elenco degli accessi in cui sono specificate le autorizzazioni concesse o negate all'utente o al gruppo.
Di seguito è disponibile un esempio di elenco DACL:
-
DACL: Utente1 Full Control (All)
-
ToolGroup:Read(RX)
-
Everyone:Read (RX)
In questo elenco DACL l'utente Utente1 dispone di autorizzazioni di accesso al file in lettura, scrittura ed esecuzione. I membri del gruppo ToolGroup dispongono delle autorizzazioni di accesso in lettura ed esecuzione. I membri del gruppo Everyone (tutti gli utenti) dispongono delle autorizzazioni di accesso in lettura ed esecuzione.
L'accesso ai file è stabilito dalle regole seguenti:
-
Se non è presente alcun elenco DACL, a tutti sarà concesso l'accesso completo.
-
Se è presente un elenco DACL, ma non contiene alcuna voce, l'accesso non sarà concesso a nessuno.
-
Il proprietario del file ha sempre la capacità di modificare l'elenco DACL.
Le regole seguenti, invece, sono relative all'elenco DACL:
-
Le voci dell'elenco DACL vengono ricercate in ordine sequenziale.
-
Tutte le autorizzazioni vengono negate in modo implicito.
-
Dopo che è stata negata, un'autorizzazione non può più essere concessa.
-
Dopo che è stata concessa, un'autorizzazione non può più essere negata.