Un descrittore di sicurezza è un’informazione che viene aggiunta a una parte di un sistema informatico, processo o file che ne controlla i parametri di accesso. Questi descrittori determineranno se un utente o un processo può accedere o meno all’oggetto protetto e se l’oggetto può accedere ad altre cose. Un descrittore di sicurezza viene spesso posizionato in una parte alta di un percorso di directory o di una catena di processi e gli elementi sotto l’oggetto protetto ereditano i descrittori e diventano essi stessi protetti. Ciò semplifica il processo per l’utente poiché ha solo bisogno di proteggere una cosa per creare un’area protetta.
Il termine “descrittore di sicurezza” viene utilizzato correttamente solo dai sistemi operativi (OS) basati su Windows®. Questi descrittori sono stati sviluppati per proteggere gli oggetti Windows® dall’accesso in modi impropri. Poiché il termine è così vago, viene spesso utilizzato per descrivere metodi di protezione di file e processi su altri sistemi che utilizzano metodi diversi. Questo è particolarmente comune con i sistemi operativi che fanno un uso massiccio di comandi di accesso in lettura/scrittura.
Nei sistemi Windows®, i descrittori di sicurezza si applicano solo agli oggetti a protezione diretta. “Securable” significa semplicemente che ha il potenziale di avere un descrittore di sicurezza aggiunto; il termine differenzia questi elementi dagli oggetti standard. Anche se gli oggetti protetti e gli oggetti comuni sono diversi, il termine non è correlato alla differenza effettiva.
Gli oggetti sono una vasta gamma di cose diverse all’interno del sistema operativo Windows®. Il sistema usa il termine per indicare tutto ciò a cui può o può accedere e tutto ciò a cui ha avuto accesso, quindi quasi ogni bit di informazione non fisso sul sistema è un oggetto. Questi oggetti potrebbero essere sul lato utente, come un file o una cartella piena di file, oppure potrebbero essere un oggetto sul lato sistema, come un processo in esecuzione o una voce di registro.
Un oggetto può essere protetto solo se è unico e identificabile. Questo è un concetto semplice che ha un enorme impatto sul modo in cui un sistema funziona. Un oggetto unico significa che ne esiste solo uno alla volta. Se esiste solo uno di un oggetto che può avere duplicati, non è ancora unico perché esiste la possibilità che un altro venga all’esistenza. Un oggetto identificabile contiene parametri discreti che ne determinano l’inizio, la fine e la ragione dell’esistenza.
Se a un oggetto è possibile aggiungere un descrittore di sicurezza, il processo è spesso molto semplice e generalmente automatico. Il descrittore conterrà tre informazioni: proprietà, accesso in entrata e accesso in uscita. La proprietà indica cosa ha creato l’oggetto e se passa il suo descrittore ai suoi figli. Access in dice all’oggetto cosa ha accesso al suo contenuto. Access out dice all’oggetto a quali oggetti ha accesso.