Un descriptor de seguridad es una información que se agrega a parte de un sistema informático, proceso o archivo que controla sus parámetros de acceso. Estos descriptores determinarán si un usuario o proceso puede acceder o no al objeto protegido y si el objeto puede acceder a otras cosas. Un descriptor de seguridad a menudo se coloca en una parte alta de una ruta de directorio o cadena de proceso y los elementos debajo del objeto protegido heredan los descriptores y se aseguran ellos mismos. Esto simplifica el proceso para el usuario, ya que solo necesita asegurar una cosa para crear un área segura.

El término 'descriptor de seguridad' solo se usa correctamente en los sistemas operativos (SO) basados ​​en Windows®. Estos descriptores se desarrollaron para proteger el acceso a los objetos de Windows® de manera incorrecta. Dado que el término es tan vago, a menudo se usa para describir métodos de seguridad de archivos y procesos en otros sistemas que usan métodos diferentes. Esto es particularmente común con los sistemas operativos que hacen un uso intensivo de los comandos de acceso de lectura / escritura.

En los sistemas Windows®, los descriptores de seguridad se aplican solo a objetos asegurables. "Asegurable" simplemente significa que tiene el potencial de tener un descriptor de seguridad agregado; El término diferencia estos elementos de los objetos estándar. Si bien los objetos asegurables y los objetos comunes son diferentes, el término no está relacionado con la diferencia real.

Los objetos son una amplia gama de cosas diferentes dentro del sistema operativo Windows®. El sistema usa el término para denotar todo lo que puede o puede acceder y todo lo que ha accedido, por lo que casi cada bit de información no fija en el sistema es un objeto. Estos objetos podrían estar en el lado del usuario, como un archivo o carpeta llena de archivos, o podrían ser un objeto del lado del sistema, como un proceso en ejecución o una entrada de registro.

Un objeto solo puede ser asegurable si es único e identificable. Este es un concepto simple que tiene un gran impacto en la forma en que se ejecuta un sistema. Un objeto único significa que solo existe uno en cualquier momento. Si solo existe uno de un objeto que puede tener duplicados, aún no es único porque existe la posibilidad de que otro exista. Un objeto identificable contiene parámetros discretos que determinan su comienzo, fin y razón de existencia.

Si un objeto es capaz de tener un descriptor de seguridad agregado, el proceso a menudo es muy simple y generalmente automático. El descriptor contendrá tres elementos de información: propiedad, acceso y salida. La propiedad denota lo que creó el objeto y si pasa su descriptor a sus hijos. Access in le dice al objeto qué tiene acceso a su contenido. Access out le dice al objeto a qué objetos tiene acceso.