Файловый архив студентов. Файловый архив студентов.
1267 вузов, 4648 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Восточноукраинский национальный университет им. В. Даля
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
pechat_full.docx
Скачиваний:
15
Добавлен:
26.03.2015
Размер:
296.52 Кб
Скачать
►Содержание►

24 Защита объектов. Маркеры доступа.

После успешной проверки подлинности имени пользователя и пароля система создает так называемый маркер доступа (Access token). Маркер доступа представляет собой объект, который содержит кроме всего прочего SID пользователя, прошедшего аутентификацию, и SID групп, в которые этот пользователь входит.

Рисунок 2. Аутентификация.

Для каждого процесса, созданного данным пользователем, система создает копию маркера доступа и прикрепляет ее к процессу. Маркер доступа является как бы пропуском, удостоверяющим личность пользователя, создавшего процесс.

Кроме SID пользователя и групп, маркер доступа содержит и другие элементы, (такие как список привилегий, например). В рамках данной статьи они рассматриваться не будут.

25 Защита объектов. Списки контроля доступа.

Как видно из структуры дескриптора безопасности, он содержит два поля, содержащих в своем названии 'ACL' (Access-Control List) - список контроля доступа . Таких списков два: Discretionary Access-Control List , (DACL) - список управления избирательным доступом и System Access-Control List (SACL) - системный список управления доступом . Их структура схожа, однако они выполняют совершенно разные функции. В данном разделе будет более подробно рассмотрен DACL, так как он имеет для нас наибольшее значение. Именно DACL формирует правила, кому разрешить доступ к объекту, а кому - запретить. Поэтому все, что будет сказано о списках контроля доступа и его элементах, в большей степени относится именно к DACL. SACL позволяет лишь управлять аудитом (об этом - ниже).

Каждый список контроля доступа (ACL) представляет собой набор элементов контроля доступа (Access Control Entries, или ACE) . Чтобы не было путаницы в терминах, изобразим схематически (рисунок 3).

Рисунок 3. ACL и ACE

ACE бывает двух типов (разрешающий и запрещающий доступ) и обязательно содержит три поля:

  • SID пользователя или группы, к которому применяется данное правило

  • Вид доступа, на которое распространяется данное правило

  • Тип ACE - разрешающий или запрещающий.

Таким образом, ACL, изображенный на рисунке 3, (если это не просто ACL, а DACL) устанавливает следующие правила: пользователю SID1 разрешить доступ на чтение объекта, но запретить доступ на запись, а пользователю SID2 - разрешить полный доступ к объекту.

Кроме того, к дескриптору безопасности применимы следующие правила:

  • Если DACL отсутствует, то объект считается незащищенным, т.е. все имеют к нему неограниченный доступ.

  • Если DACL существует, но не содержит ни одного ACE, то доступ к объекту закрыт для всех.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности