A lista de controlo de acesso discricionária (DACL) do descritor de segurança representa uma parte importante da segurança do Windows. A DACL é uma lista de entradas que concedem ou recusam determinados direitos para especificar utilizadores ou grupos. Uma entrada de lista é denominada entrada de controlo de acesso (ACE). Cada ACE consiste no seguinte:

  • Um identificador de segurança (SID) para identificar um determinado utilizador ou grupo

  • Uma lista de acesso que especifica as permissões permitidas ou recusadas para o utilizador ou grupo.

Segue-se um exemplo de uma DACL:

  • DACL: Controlo Total Utilizador1 (Tudo)

  • GrupoFerramentas:Leitura(RX)

  • Todos:Leitura(RX)

Nesta DACL, Utilizador1 tem acesso de leitura, escrita e execução ao ficheiro. Os membros do grupo GrupoFerramentas têm acesso de leitura e execução. Os membros do grupo Todos (todos os utilizadores) têm acesso de leitura e execução.

As regras seguintes regem o acesso a um ficheiro:

  • Se não existir nenhuma DACL, é concedido acesso total a todos os utilizadores.

  • Se existir uma DACL, mas não contiver entradas, é negado o acesso a todos os utilizadores.

  • O proprietário do ficheiro poderá sempre alterar a DACL.

Por sua vez, são aplicadas as seguintes regras à DACL:

  • As entradas da DACL são procuradas sequencialmente.

  • Todas as permissões são implicitamente negadas.

  • Quando uma permissão for negada, não poderá ser concedida.

  • Quando uma permissão for concedida, não poderá ser negada.


Sumário