A lista de controlo de acesso discricionária (DACL) do descritor de segurança representa uma parte importante da segurança do Windows. A DACL é uma lista de entradas que concedem ou recusam determinados direitos para especificar utilizadores ou grupos. Uma entrada de lista é denominada entrada de controlo de acesso (ACE). Cada ACE consiste no seguinte:
-
Um identificador de segurança (SID) para identificar um determinado utilizador ou grupo
-
Uma lista de acesso que especifica as permissões permitidas ou recusadas para o utilizador ou grupo.
Segue-se um exemplo de uma DACL:
-
DACL: Controlo Total Utilizador1 (Tudo)
-
GrupoFerramentas:Leitura(RX)
-
Todos:Leitura(RX)
Nesta DACL, Utilizador1 tem acesso de leitura, escrita e execução ao ficheiro. Os membros do grupo GrupoFerramentas têm acesso de leitura e execução. Os membros do grupo Todos (todos os utilizadores) têm acesso de leitura e execução.
As regras seguintes regem o acesso a um ficheiro:
-
Se não existir nenhuma DACL, é concedido acesso total a todos os utilizadores.
-
Se existir uma DACL, mas não contiver entradas, é negado o acesso a todos os utilizadores.
-
O proprietário do ficheiro poderá sempre alterar a DACL.
Por sua vez, são aplicadas as seguintes regras à DACL:
-
As entradas da DACL são procuradas sequencialmente.
-
Todas as permissões são implicitamente negadas.
-
Quando uma permissão for negada, não poderá ser concedida.
-
Quando uma permissão for concedida, não poderá ser negada.