- •4 Реестр. Средства для внесения изменений в реестр.
- •5 Структура inf-файла.
- •6.Возможности inf-файлов для установки программ.
- •7 Виртуальная память. Подкачка страниц.
- •8. Секции, проекции и проецируемые файлы.
- •9.Виртуальная память. Защита памяти в Windows nt.
- •10.Виртуальная память. Алгоритм преобразования виртуального адреса в физический
- •11.Возможные варианты установки Windows 2000 и их особенности.
- •12.Файловая система ntfs. Внутреннее устройство, преимущества, недостатки.
- •13.Процесс загрузки Windows 2000. Конфигурационный файл загрузчика.
- •14.Процесс в Windows nt. Структура объекта.
- •15.Задания в Windows 2000.
- •16.Active Directory. Характеристика технологии.
- •17.Леса в Active Directory.
- •18.Домены в Active Directory.
- •19.Типы пользователей в Active Directory.
- •21 Доверительные отношения между доменами.
- •22 Механизм групповых политик в ActiveDirectory
- •23 Механизмы работы пользовательских программ с объектами исполнительной системы.
- •24 Защита объектов. Маркеры доступа.
- •25 Защита объектов. Списки контроля доступа.
24 Защита объектов. Маркеры доступа.
После успешной проверки подлинности имени пользователя и пароля система создает так называемый маркер доступа (Access token). Маркер доступа представляет собой объект, который содержит кроме всего прочего SID пользователя, прошедшего аутентификацию, и SID групп, в которые этот пользователь входит.
Рисунок 2. Аутентификация.
Для каждого процесса, созданного данным пользователем, система создает копию маркера доступа и прикрепляет ее к процессу. Маркер доступа является как бы пропуском, удостоверяющим личность пользователя, создавшего процесс.
Кроме SID пользователя и групп, маркер доступа содержит и другие элементы, (такие как список привилегий, например). В рамках данной статьи они рассматриваться не будут.
25 Защита объектов. Списки контроля доступа.
Как видно из структуры дескриптора безопасности, он содержит два поля, содержащих в своем названии 'ACL' (Access-Control List) - список контроля доступа . Таких списков два: Discretionary Access-Control List , (DACL) - список управления избирательным доступом и System Access-Control List (SACL) - системный список управления доступом . Их структура схожа, однако они выполняют совершенно разные функции. В данном разделе будет более подробно рассмотрен DACL, так как он имеет для нас наибольшее значение. Именно DACL формирует правила, кому разрешить доступ к объекту, а кому - запретить. Поэтому все, что будет сказано о списках контроля доступа и его элементах, в большей степени относится именно к DACL. SACL позволяет лишь управлять аудитом (об этом - ниже).
Каждый список контроля доступа (ACL) представляет собой набор элементов контроля доступа (Access Control Entries, или ACE) . Чтобы не было путаницы в терминах, изобразим схематически (рисунок 3).
Рисунок 3. ACL и ACE
ACE бывает двух типов (разрешающий и запрещающий доступ) и обязательно содержит три поля:
SID пользователя или группы, к которому применяется данное правило
Вид доступа, на которое распространяется данное правило
Тип ACE - разрешающий или запрещающий.
Таким образом, ACL, изображенный на рисунке 3, (если это не просто ACL, а DACL) устанавливает следующие правила: пользователю SID1 разрешить доступ на чтение объекта, но запретить доступ на запись, а пользователю SID2 - разрешить полный доступ к объекту.
Кроме того, к дескриптору безопасности применимы следующие правила:
Если DACL отсутствует, то объект считается незащищенным, т.е. все имеют к нему неограниченный доступ.
Если DACL существует, но не содержит ни одного ACE, то доступ к объекту закрыт для всех.