5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011

^ 5.2. Безопасность операционной системы WINDOWS

Операционная система Windows XP предоставляет средства единообразного контроля доступа к процессам, потокам, файлам, семафорам, окнам и другим объектам. Контролем доступа управляют два элемента: маркер доступа, который связан с 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 каждым процессом, и дескриптор защиты, связанный с каждым объектом, для которого может быть межпроцессное взаимодействие [3].

Схема контроля доступа.

При входе юзера система Windows XP употребляет для его аутентификации схему имя/пароль. Если юзер удачно зарегистрирован 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011, для него создается процесс, с которым ассоциируется маркер доступа. Этот маркер доступа, детали которого будут описаны дальше, содержит идентификатор защиты (security ID — SID), по которому система безопасности идентифицирует данного юзера. Когда 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 исходный пользовательский процесс порождает какие-нибудь другие процессы, новый объект-процесс наследует тот же маркер доступа.

Маркер доступа имеет два назначения.

  1. Благодаря ему вся информация по безопасности хранится вкупе, что содействует 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 ускорению доказательства доступа. Когда какой-либо связанный с юзером процесс пробует получить доступ, подсистема безопасности может использовать связанный с процессом маркер, чтоб найти привилегии доступа, которыми обладает данный юзер.

  2. Наличие маркера доступа позволяет 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 процессу в определенных рамках изменять свои свойства безопасности, не влияя при всем этом на работу других процессов, запущенных от имени данного юзера.

Основное значение второго пт заключается в том, что маркер доступа 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 обязан иметь дело с льготами, которые могут быть связаны с юзером. Маркер доступа показывает, какие привилегии разрешено иметь юзеру. Обычно, для каждой из этих приемуществ маркер инициализируется состоянием запрета. Потом 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011, если одному из процессов юзера необходимо выполнить привилегированную операцию, этот процесс может включить подобающую льготу и попробовать получить доступ. Время от времени не нужно хранить всю информацию по безопасности, касающуюся юзера, в одном месте системы 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011, так как в данном случае предоставление привилегии одному процессу приводит к тому, что данная преимущество предоставляется всем остальным процессам.

С каждым объектом, для которого вероятен межпроцессный доступ, связан дескриптор 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 защиты. Главным компонентом дескриптора защиты является перечень контроля доступа, в каком права доступа к данному объекту указываются для разных юзеров и для разных групп юзеров. Когда процесс пробует получить доступ к этому объекту 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011, идентификатор защиты этого процесса сравнивается со перечнем управления доступом объекта и определяется, разрешен ли доступ.

Когда приложение открывает ссылку на подлежащий защите объект, Windows XP инспектирует, предоставляет ли дескриптор защиты объекта доступ 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 юзеру, которому принадлежит приложение. Если проверка проходит, система Windows XP помещает предоставленные в итоге права доступа в кэш.

Принципиальным нюансом безопасности операционной системы Windows XP является концепция заимствования прав, упрощающая внедрение 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 безопасности в среде клиент/сервер. Если клиент и сервер разговаривают меж собой при помощи вызова удаленных процедур, сервер может временно принять характеристики клиента, чтоб суметь оценить возможность доступа с правами клиента. После 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 обработки воззвания сервер ворачивается к собственному собственному состоянию.

Маркер доступа. На рис. 60, а показана общая структура маркера доступа, в который входят такие характеристики.

Идентификатор защиты (SID)













Идентификатор защиты групп













Привилегии




Флаги




Заголовок ACL

Юзер по дефлоту




Обладатель




Заголовок ACE

Перечень контроля 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 доступа по дефлоту




Системный перечень контроля доступа (SACL)




Маска доступа

а) Маркер доступа




Перечень разграничительного контроля доступа (DACL)




Идентификатор защиты (SID)







б) дескриптор защиты




Заголовок ACE













Маска доступа













Идентификатор защиты (SID)



























в) перечень контроля доступа

Рис.60. Структуры безопасности операционной 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 системы Windows XP

^ Дескрипторы безопасности

На рис. 60. показана общая структура дескриптора защиты, который содержит внутри себя такие характеристики.

Флаги. Определяют тип и содержимое дескриптора защиты. Флаги указывают на наличие (либо отсутствие) системного перечня 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 контроля доступа и перечня разграничительного доступа, на то, помещены ли эти списки в объект по дефлоту и какая адресация употребляется в указателях дескриптора: абсолютная либо относительная. Относительные дескрипторы требуются для объектов, которые 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 передаются по сети. Примером такового объекта является информация, передаваемая при удаленном вызове процедуры.

Обладатель. Вообщем говоря, обладатель может выполнить с дескриптором защиты хоть какое действие. В роли юзера может выступать личный либо групповой дескриптор 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 защиты. Обладатель имеет право изменять перечень разграничительного контроля доступа.

Системный перечень контроля доступа (System Access Control List — SACL). В этом перечне обозначено, операции какого вида должны генерировать сообщения аудита. Чтоб делать операции чтения 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 либо записи с SACL какого-нибудь объекта, приложение обязано иметь надлежащие привилегии в собственном маркере доступа. Это необходимо, чтоб предупредить чтение несанкционированными приложениями системных списков контроля доступа (в итоге чего 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 они сумеют избежать сотворения записей аудита), также запись в их (что может привести к созданию очень огромного количества записей аудита, в каких затеряется запись о нелегальной операции).

Перечень разграничительного контроля доступа 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 (Discretionary Access Control List — DACL). Определяет, какие юзеры и группы могут получить доступ к данному объекту и для каких операций. Этот перечень состоит из записей контроля доступа (Access Control Entry — АСЕ).

Когда создается объект 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011, процесс-создатель может в качестве обладателя назначить этому объекту в его маркере доступа свой идентификатор защиты либо идентификатор защиты собственной группы. Как следует, хоть какой процесс, которому предоставлено право изменять обладателя 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 объекта, может это делать, но с определенными ограничениями. Это ограничение необходимо, чтоб юзер не сумел замести следы после того, как он попробует сделать какие-нибудь несанкционированные деяния.

Разглядим подробнее структуру списков контроля доступа 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011, потому что они лежат в базе средства контроля доступа Windows NT (рис. 61). Каждый перечень состоит из общего заголовка и переменного количества частей контроля доступа. В каждом элементе указан личный либо 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 групповой идентификатор защиты, также маска доступа, в какой определены права, которые должны быть предоставлены данному идентификатору защиты. При попытке процесса получить доступ к объекту диспетчер объектов исполняющей системы Windows NT считывает в маркере доступа 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 личные и групповые идентификаторы защиты, а потом просматривает перечень разграничительного контроля доступа объекта. Если найдено совпадение (т.е. если найден элемент контроля доступа, идентификатор защиты которого совпадает с идентификатором защиты, найденным 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 в маркере доступа), означает, этот процесс обладает правами доступа, установленными маской доступа данного элемента контроля доступа. На рис. 61 показано содержимое маски доступа. В 16 младших означающих разрядах указываются права доступа, применяющиеся к объектам определенного 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 типа. К примеру, в нулевом разряде объекта-файла задается доступ по чтению, а в нулевом разряде объекта-события задается доступ для запроса статуса действия.



Рис. 61. Маска доступа

В 16 старших разрядах маски содержатся биты 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011, применимые к объектам всех видов.

Синхронизация. Разрешает синхронизацию выполнения с неким связанным с данным объектом событием. А именно, объект может быть применен в функции ожидания.

Разрешение на изменение обладателя. Позволяет программке изменять 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 обладателя объекта. Время от времени это оказывается полезным, потому что обладатель объекта всегда может поменять защиту собственного объекта (обладателю нельзя отказывать в доступе для записи характеристик избирательного контроля доступа).

Разрешение 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 на изменение перечня избирательного контроля доступа. Позволяет приложению изменять DACL, изменяя таким макаром защиту объекта.

Контроль чтения. Позволяет приложению обращаться к полям в дескрипторе защиты, в каких указан обладатель данного объекта и его 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 DACL.

Разрешение на удаление. Позволяет приложению удалять объект.

Не считая того, в старшей половине маски доступа содержатся общие права доступа 4 видов. При помощи этих битов просто устанавливать специальные права доступа к разным 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 объектам других типов. Представим, к примеру, что приложению необходимо сделать объекты нескольких видов таким макаром, чтоб юзеры имели права доступа по чтению ко всем объектам, даже если само понятие “чтение” несколько меняется зависимо от 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 типа объекта. Если б приложению необходимо было защищать каждый объект каждого вида, не используя биты общего доступа, оно должно было бы для объектов каждого вида создавать собственный элемент контроля 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 доступа, а потом аккуратненько передавать его в качестве параметра при разработке каждого объекта. Удобнее сделать один элемент контроля доступа, в каком была бы выражена общая концепция разрешения чтения, а потом просто использовать этот 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 элемент контроля доступа к каждому создаваемому объекту. В этом и состоит назначение битов общего доступа. Перечислим эти биты:

Generic_all — позволяет производить все виды доступа;

Generic_execute — позволяет запускать исполняемые файлы;

Generic 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011_write — позволяет производить доступ для записи;

Generic_read — позволяет производить доступ для чтения.

Значения битов общего доступа также оказывают влияние на стандартные типы доступа. К примеру, для файлового объекта бит Generic_read 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 отображается в стандартные биты Read control и Synchronize, также в специальные биты File Read Data, File_Read_Attributes и File_Read_EA.

Два оставшихся бита маски доступа имеют особое значение. Бит Access System 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 Security позволяет изменять контроль аудита и аварийного сигнала данного объекта. Но недостаточно установить этот бит в элементе контроля доступа для идентификатора защиты. Не считая того, в маркере доступа процесса, владеющего этим 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 идентификатором защиты, должна быть разрешена соответственная преимущество.

Бит Maximum_Allowed — это не совершенно бит доступа. Он изменяет метод, по которому Windows NT сканирует перечень выборочного контроля доступа данного идентификатора безопасности. Обычно Windows 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 NT просматривает перечень выборочного контроля доступа, пока не дойдет конкретно до того элемента контроля доступа, который предоставляет (бит установлен) либо воспрещает (бит не установлен) запрашиваемый процессом доступ, либо пока она не 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 дойдет до конца перечня (в данном случае доступ запрещен). Бит Maximum_Allowed позволяет обладателю объекта определять набор прав доступа, представляющий из себя максимум того, что может быть позволено данному юзеру. Представим, что 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 у приложения нет инфы обо всех выполняемых над объектом операциях, разрешение на которые ему необходимо будет просить в протяжении сеанса работы. При выполнении запроса вероятны ситуации:

  1. Попытка открыть объект для всех вероятных видов 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 доступа. Недочет этого подхода заключается в том, что в доступе может быть отказано, даже если приложение обладает всеми правами доступа, которые необходимы для этого сеанса.

  2. Открытие объекта только для определенных видов доступа. При 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 всем этом в объекте для каждого типа запроса раскрывается новый дескриптор. Почти всегда этот способ является желаемым, так как при его использовании не бывает отказов в доступе без необходимости и не предоставляется 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 больше доступа, чем необходимо. Но он просит дополнительных затратных расходов.

  3. Попытка открыть объект для доступа, осуществляемого в таковой мере, в какой это позволяет идентификатор защиты. Преимущество такового способа в том, что юзер 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 не получит "искусственного" отказа в доступе. Но при всем этом приложение может иметь больший доступ, чем требуется. Эта ситуация может скрывать имеющиеся в приложении ошибки.

Принципиальная особенность системы безопасности операционной системы W2K 5.2. Безопасность операционной системы WINDOWS - Учебное пособие операционные системы ос общего назначения саратов 2011 заключается в том, что приложение может использовать структуру безопасности этой операционной системы для объектов, данных юзером и при реализации наружных файловых систем.


52-bezopasnost-operacionnoj-sistemi-windows-uchebnoe-posobie-operacionnie-sistemi-os-obshego-naznacheniya-saratov-2011.html
52-chislennost-naseleniya-1-karta-shema-rajona.html
52-dogovor-morskogo-posrednichestva-dogovornoe-pravo-v-mezhdunarodnom-oborote.html