セキュリティ記述子
セキュリティ記述子(セキュリティきじゅつし、英:Security descriptor)は、Windows上のファイル、フォルダ、ネットワーク、レジストリキー、プロセス、スレッド、名前付きパイプ、サービス、ジョブなど、オブジェクト マネージャー(英語: Object Manager)を介して生成されるオブジェクトのアクセス制御情報のバイナリデータである[1][2]。
セキュリティ記述子は、右図の通り、オブジェクトの所有者やそれが所属するグループのSID、任意のユーザーやユーザーグループに対して拒否や許可を表すアクセス制御エントリのシーケンスである随意アクセス制御リスト、オブジェクトへのアクセス制御の監査エントリのシーケンスであるシステムアクセス制御リストで構成される。アクセス制御エントリは自身の種類や継承ルール、詳細なアクセス権(アクセスマスク)、適用先のユーザーまたはグループのSIDで構成される。
必須整合性制御も、新しく導入された形式のアクセス制御エントリで表現される。
ユーティリティ
[編集]ファイルオブジェクトのセキュリティ記述子を編集可能なユーティリティの一覧は、以下の通りである。DACLを変更するためには、自身もしくは自身が所属するグループにWRITE_DACアクセス制御が許可されている必要があり、同様に所有者を変更するには、WRITE_OWNERアクセス制御が許可されている必要がある。
- Windows Explorer
- WMI
- cacls
- xcacls
- icacls
- subinacl
- FILEACL
- SetACL
プログラム
[編集]取得/設定
[編集]| オブジェクト | 取得/設定 |
|---|---|
| ファイル、ディレクトリ、メイルスロット、名前付きパイプ | GetFileSecuritySetFileSecurity
|
| プロセス、スレッド、アクセストークン、ファイルマッピングオブジェクト、 セマフォ、イベント、ミューテックス、待機可能なタイマー |
GetKernelObjectSecuritySetKernelObjectSecurity
|
| ウィンドウステーション、デスクトップ | GetUserObjectSecuritySetUserObjectSecurity
|
| レジストリキー | RegGetKeySecurityRegSetKeySecurity
|
| サービスオブジェクト | QueryServiceObjectSecuritySetServiceObjectSecurity
|
| プリンター | GetPrinterSetPrinter
|
| ネットワーク共有 | NetShareGetInfoNetShareSetInfo
|
| プライベートオブジェクト | CreatePrivateObjectSecurityDestroyPrivateObjectSecurityGetPrivateObjectSecuritySetPrivateObjectSecurity
|
参照
[編集]脚注
[編集]出典
[編集]- ^ alvinashcraft (2023年6月13日). “セキュリティ保護可能なオブジェクト - Win32 apps”. learn.microsoft.com. 2025年1月25日閲覧。
- ^ alvinashcraft (2023年6月13日). “セキュリティ記述子 - Win32 apps”. learn.microsoft.com. 2025年1月25日閲覧。
 | この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 |