Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Система безопасности

Читайте также:
  1. A. [мах. 2,5 балла] Соотнесите систематические группы растений (А–Б) с их признаками (1–5).
  2. EV3.6 Система управления аккумулятором (СУА)
  3. Fidelio Front Office - система автоматизации работы службы приема и размещения гостей.
  4. HLA - система; классы антигенов, биологические функции, практическое значение HLA-типирования.
  5. IC1.9.1 Система низкого давления (LPI)
  6. II. Британская система маяков
  7. III. Вегетативная нервная система

Windows NT с самого начала планировалась как многопользовательская система, поэтому средства аутентификации пользователей и авторизации доступа к ресурсам встроены в систему, в том числе, и на уровне ядра. На рисунке 5.3. показаны компоненты системы безопасности Windows NT (имеется в виду локальная безопасность, т.е. защита ресурсов на локальном компьютере).

Рисунок 5.3 Система безопасности Windows NT

Процесс входа в систему обеспечивает начало работы с системой как интерактивных пользователей, так и удаленных клиентов, обращающихся к серверу. Этот компонент не связан с безопасностью непосредственно, но обращается к Распорядителю локальной безопасности, который организует аутентификацию пользователя по имени и паролю. Бюджеты всех зарегистрированных пользователей сохраняются в Базе данных бюджетов, доступ к которой осуществляется только через Диспетчер бюджета безопасности. Кроме того, Распорядитель локальной безопасности управляет политикой локальной безопасности - разрешениями на доступ и ведет Базу данных локальной безопасности, а также управляет политикой контроля и регистрирует контрольные сообщения в Журнале безопасности.

Основную работу выполняет Менеджер безопасности в составе Исполнительной системы. Этот модуль проверяет права доступа к объектам по запросам других модулей Исполнительной системы (прежде всего - Менеджера объектов) и генерирует контрольные сообщения. Для получения информации о правах и передачи контрольных сообщений Менеджер безопасности взаимодействует с Распорядителем локальной безопасности.

При входе пользователя в систему для него на основе информации о бюджете пользователя, хранящейся в Базе данных бюджетов, создается маркер доступа, содержащий:

Последний элемент определяет права, не связанные с отдельными объектами, например: возможность выполнять низкоуровневую отладку объектов, увеличивать приоритет процессов, изменять конфигурацию драйверов, работать с Журналом контроля и т.д. Пользователи могут входить в группы, в Windows NT существует несколько встроенных групп (например, Администраторы, Операторы сервера, Операторы архива и т.д.), которым некоторые специальные привилегии предоставляются по умолчанию.

Копия маркера доступа создается для каждого процесса данного пользователя. Однако, для работы в режиме клиент/сервер Windows NT использует так называемое воплощение прав. Суть воплощения состоит в том, что процесс-сервер (или его нить), выполняющий обслуживание клиента, выполняется с маркером доступа процесса-клиента.

Windows NT использует модель безопасности, основанную на списках контроля доступа: основная информация о возможностях доступа связывается с объектом, а не с пользователем. Все именованные и некоторые неименованные объекты имеют собственные дескрипторы безопасности в Базе данных локальной безопасности. В дескриптор безопасности входят:

Контролируемый список управления доступом состоит из элементов двух типов: "доступ разрешается" и "доступ запрещается". Каждый из элементов содержит идентификатор пользователя и маску доступа, кодирующую одну или несколько возможностей для данного пользователя. Для одного пользователя может быть несколько элементов в списке, описывающих его различные возможности, при просмотре списка эти возможности накапливаются.

Каждый тип объекта может иметь до 5 специфических возможностей - операций, выполняемых только для данного типа объекта. Кроме того, имеются стандартные возможности - операции, выполняемые для объектов любого типа, а именно:

При задании прав доступа возможно задание, так называемых, общих возможностей, которые представляют собой макросы, кодирующиеся в списке управления доступом определенными комбинациями стандартных и специфических возможностей.

Авторизация, то есть, проверка правильности доступа к объекту состоит из таких шагов.

  1. При обращении пользователя к объекту Менеджер безопасности создает запрашиваемую маску доступа, в ней кодируются те возможности, которые заданы в запросе.
  2. Менеджер безопасности поэлементно просматривает контролируемый список управления доступом. Если в списке находится элемент, содержащий идентификатор того пользователя, который выдал запрос, элемент обрабатывается.
  3. Если элемент имеет тип "доступ запрещается", то при совпадении хотя бы одной возможности в маске доступа элемента с возможностью в запрашиваемой маске доступа, доступ отклоняется. Все элементы типа "доступ запрещается" располагаются в начале списка, следовательно, обрабатываются в первую очередь.
  4. Если доступ отклонен, то проверяется, не содержит ли запрашиваемая маска только возможности чтения или записи и не является ли пользователь владельцем объекта. Если выполняются эти условия, то доступ предоставляется.
  5. Если элемент имеет тип "доступ разрешается", то ищутся совпадения возможностей в маске доступа элемента с возможностями в запрашиваемой маске доступа. Если достигнуто согласование, доступ предоставляется, в противном случае, просмотр списка продолжается.
  6. Если при достижении конца списка согласование не достигнуто, доступ отклоняется.

Системный список управления доступом состоит из элементов только одного типа. Элемент этого списка содержит идентификатор пользователя, маску контролируемых возможностей и флаги, определяющие генерацию сообщения при успешном или неуспешном доступе. Обработка системного списка управления доступом похожа на обработку контролируемого списка. Если установлено соответствие между запрашиваемым доступом и маской в элементе списка, то в зависимости от значения флагов в элементе и результатов проверки прав по контролируемому списку может быть сгенерировано сообщение о событии.

Windows NT предоставляет также возможность отслеживания событий, относящихся ко всей системе в целом. Различаются несколько категорий таких событий:

Перечень контролируемых событий - как системных, так и событий, связанных с отдельными объектами, - конфигурируется Администратором.


Дата добавления: 2015-10-26; просмотров: 81 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Адресные пространства| Файловая система NTFS

mybiblioteka.su - 2015-2024 год. (0.007 сек.)