Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Контроль доступа




В Windows каждый пользователь (в том числе и каждый псевдопользователь), работающий в системе, имеет свой маркер доступа. Маркер доступа (access token) - это объект специального вида, содержащий следующую информацию:

- идентификатор пользователя;

- идентификаторы групп и специальных групп, в которые входит пользователь;

- привилегии пользователя;

- идентификатор сеанса работы пользователя, к которому относится маркер доступа;

- атрибуты защиты, которые назначаются по умолчанию новым объектам операционной системы, созданным данным пользователем в текущем сеансе работы;

- имя и идентификатор подсистемы, выдавшей маркер доступа (Advapi, если пользователь вошел в систему локально, NtLogon, если пользователь вошел в систему по сети через SMB-сервер, и т.д.);

- некоторую служебную информацию.

Маркер доступа создается подсистемой аутентификации операционной системы в процессе авторизации пользователя, при этом псевдопопьзователь SYSTEM использует свою привилегию создавать маркеры доступа.

Атрибуты защиты объекта Windows описываются специальной структурой данных, называемой дескриптором защиты (security descriptor). Любой объект Windows NT может иметь дескриптор защиты. Дескриптор защиты содержит следующую информацию:

- идентификатор владельца объекта;

- идентификатор первичной группы владельца объекта;

- список избирательного контроля доступа (discretionary access control list, DACL) - список, полностью описывающий права различных субъектов на объект;

- системный список контроля доступа (system access control list, SACL) -используется при генерации сообщений аудита.

Если объект не имеет дескриптора защиты, при обращениях субъектов к нему права доступа не проверяются. В этом случае любой субъект имеет абсолютные права на данный объект.

Если объект хранится на диске или ином внешнем устройстве, дескриптор защиты хранится вместе с ним. При этом формат хранения объекта должен предоставлять такую возможность.

Элементами списка избирательного контроля доступа являются записи вида:

разрешить/ запретить идентификатор субъекта права доступа

Элементы списка избирательного контроля доступа называются элементами контроля доступа (access control entries, АСЕ). Каждый элемент контроля доступа разрешает или запрещает некоторому субъекту определенные права доступа к объекту.

Если список избирательного контроля доступа отсутствует в дескрипторе защиты, всем субъектам предоставляются все права доступа к объекту. Если же список избирательного контроля доступа имеется, но пуст, доступ к объекту запрещен всем субъектам. Приведем пример списка избирательного контроля доступа некоторого исполняемого файла:

разрешить специальной группе INTERACTIVE чтение
разрешить группе Otdel5 выполнение
запретить пользователю Sidoroff запись
разрешить группе Programmers запись

Для данного файла определены следующие права доступа:

- чтение файла разрешено пользователям, работающим с системой интерактивно, и запрещено остальным пользователям;

- выполнение файла разрешено пользователям, входящим в группу Otdel5, и запрещено остальным пользователям;

- запись в файл разрешена пользователям, входящим в группу Programmers, и запрещена остальным пользователям, а также пользователю Sidoroff. При отом пользователю Sidoroff запись в файл запрещена даже в том случае, если он входит в группу Programmers, которой запись в файл разрешена.




Поделиться с друзьями:


Дата добавления: 2014-01-11; Просмотров: 627; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.009 сек.