Mechanizm ochrony to urządzenie zabezpieczające na komputerze, które działa w celu wymuszenia wybranych polityk bezpieczeństwa dla różnych użytkowników w systemie. Bez mechanizmu ochrony niemożliwe byłoby uniemożliwienie poszczególnym użytkownikom pełnego dostępu do systemu; każdy użytkownik będzie mógł bez ograniczeń dodawać programy, usuwać programy i dokonywać innych poważnych zmian na komputerze. Dzięki mechanizmowi ochrony administrator komputera może ograniczać prawa poszczególnych użytkowników, klasyfikując niektórych jako ograniczonych lub ograniczonych z porównywalnie mniejszymi uprawnieniami w porównaniu z administratorami.
Mechanizm ochrony w komputerze jest trochę jak bramkarz stojący przed nocnym klubem, mający listę gości na imprezę. Nie wszyscy goście są sobie równi; niektórzy mają pełny dostęp VIP do imprezy, podczas gdy inni mogą uczestniczyć tylko w bardziej podstawowym charakterze. Administratorzy komputerów to goście VIP, ponieważ mogą wejść w dowolne miejsce w systemie i robić wszystko, co im się podoba. Z drugiej strony użytkownicy z ograniczeniami są upoważnieni tylko do robienia rzeczy, na które zezwalają im administratorzy. Głównym obowiązkiem mechanizmów ochrony jest oddzielenie listy stałych gości i „VIPów”, zapewniając, że każdy użytkownik komputera pozostaje w przydzielonej mu roli.
Podstawowym modelem mechanizmu ochrony jest model dostępu do macierzy, który jest zasadniczo listą opartą na siatce, określającą możliwości konkretnego procesu w komputerze. Na przykład niektóre zasoby lub programy mogą mieć możliwość odczytu i zapisu na dysku twardym, podczas gdy inne programy mogą tylko pobierać informacje z dysku bez możliwości ich modyfikowania lub dodawania do niego. Jednym z najczęstszych przykładów takiego zachowania jest zapora w nowoczesnych systemach operacyjnych Windows®; Gdy program po raz pierwszy próbuje uzyskać dostęp do Internetu, zapora interweniuje i pyta, czy należy zezwolić programowi na kontynuację.
W przypadku braku działającego mechanizmu ochrony komputer nie będzie już mógł decydować, kto powinien, a kto nie powinien mieć dostępu do plików i uprawnień na komputerze. Jest to analogiczne do wcześniej prywatnej strony, która otwiera swoje drzwi i wysyła wszystkich swoich bezpieczeństwa do domu; teraz każdy i każdy może wejść do środka i nic nie stoi na przeszkodzie, aby w pełni korzystać z udogodnień, jakie są w środku. Innymi słowy, jeśli mechanizmy ochrony w systemie zawiodą, komputer zostanie ujawniony.