Привилегии субъектов

В Windows каждый субъект доступа обладает некоторым (возможно, пустым) набором привилегий. Привилегии представляют собой права на выполнение субъектом действий, касающихся системы в целом, а не отдельных ее объектов.

Основные привилегии:

- архивирование файлов и каталогов;

- завершение работы операционной системы и перезагрузка компьютера;

- изменение системного времени;

- доступ к компьютеру из сети;

- разрешение локального входа;

- отладка программ;

- принудительное удаленное завершение работы;

- загрузка и выгрузка драйверов устройств;

- управление аудитом и журналом безопасности;

- создание файла подкачки;

- увеличение приоритета диспетчирования;

- изменение параметров среды;

- смена владельца файлов или иных объектов;

- создание журналов безопасности.

При входе в систему пользователь получает привилегии, предоставленные ему индивидуально, а также привилегии, предоставленные группам, в которые входит данный пользователь. Назначать привилегии субъектам доступа может только администратор.

Некоторые из перечисленных привилегий позволяют субъектам, обладающим ими, преодолевать те или иные элементы защиты операционной системы. Рассмотрим эти привилегии.

- Привилегия создавать резервные копии информации позволяет пользователю игнорировать разграничение доступа при чтении файлов, директорий, ключей и значений реестра.

- Привилегия назначать процессам высокий приоритет позволяет пользователю "завесить" операционную систему, создав процесс с высоким приоритетом и введя его в вечный цикл.

- Пользователь, обладающий привилегией изменять системные переменные среды, может, изменив значения переменных path и windir, добиться того, чтобы поиск операционной системой исполняемых модулей для загрузки начинался с личной директории пользователя. Если затем пользователь поместит в эту директорию под именем одной из системных библиотек программную закладку, при первом же обращении операционной системы к данной библиотеке данная программная закладка будет запущена с полномочиями системного процесса.

- Привилегия отлаживать программы позволяет пользователю обращаться к любому процессу по любому методу доступа. В частности, программа, запущенная таким пользователем, может изменить произвольным образом содержимое адресного пространства любого процесса операционной системы, что предоставляет такому пользователю практически неограниченные полномочия.

- Привилегия загружать и выгружать драйверы и сервисы позволяет пользователю выполнять произвольный код от имени и с правами операционной системы (псевдопользователя SYSTEM). Пользователь может внедрять в операционную систему программные закладки под видом драйверов и сервисов. Учитывая, что драйверы устройств Windows NT могут игнорировать большинство защитных функций операционной системы, эта привилегия дает обладающему ею субъекту практически неограниченные полномочия.

- Привилегия аудитора позволяет пользователю маскировать свои несанкционированные действия, изменяя политику аудита таким образом, чтобы эти действия не регистрировались.

- Привилегия добавлять записи в журнал аудита (создание журналов безопасности) позволяет пользователю записывать в журнал аудита произвольную информацию, в том числе и информацию, компрометирующую других пользователей.

Администраторы операционной системы должны подходить к назначению субъектам доступа привилегий с максимальной ответственностью. Особое внимание следует уделять вышеперечисленным опасным привилегиям.

Дата добавления: 2014-01-11; Просмотров: 1678; Нарушение авторских прав?; Мы поможем в написании вашей работы!