Безоп Windows. Ролевая модель. Маркер доступа.
Ролевая модель. В системе есть по меньшей мере 1 пользователь администратор с неограниченными правами, а также множество пользователей объединенных в группы. Цель системы защиты – следить за тем кто и к каким объектам осуществляет доступ. Хранится вся инфа, относящаяся к безопасности для пользователей, объектов и субъектов. Обеспечивается единообразие контроля доступа к различным объектам за счет связанного с каждым объектом дескриптора защиты.
Для того чтобы система могла контролить действия субъектов, они должны иметь отличительные признаки, т.н. контекст пользования, который хранится в маркере доступа. При входе в систему процедура Winlogon по имени извлекает из соответствующей чётной записи Sid, список привилегий ассоциированных с пользователем и его группами, и объединяет его в структуру называемой маркером доступа. Все процессы, в том числе Explorer, наследуют этот маркер. Он является визитной карточкой, которую субъект предъявляет для доступа к объекту.
Dacl по умолчанию упрощает создание объекта со стандартными атрибутами защиты.
Безопасность Windows. Ролевая модель. Пользователи и группы пользователей. SID.
РОЛЕВАЯ МОДЕЛЬ. В системе есть по меньшей мере 1 пользователь администратор с неограниченными правами, а также множество пользователей объединенных в группы. Цель системы защиты – следить за тем кто и к каким объектам осуществляет доступ. Хранится вся инфа, относящаяся к безопасности для пользователей, объектов и субъектов. Обеспечивается единообразие контроля доступа к различным объектам за счет связанного с каждым объектом дескриптора защиты.
|
|
|
Пользователи и группы пользователей. SID. Каждый пользователь (и каждая группа пользователей) системы должен иметь учетную запись (account) в базе данных системы безопасности. Учетные записи идентифицируются именем пользователя и хранятся в базе данных SAM (Security Account Manager) в разделе HKLM/SAM реестра. Учетная запись пользователя содержат набор сведений о пользователе, такие, как имя, пароль (или реквизиты), комментарии и адрес. Наиболее важными элементами учетной записи пользователя являются: список привилегий пользователя в отношении данной системы, список групп, в которых состоит пользователь, и идентификатор безопасности SID (Security IDentifier). Идентификаторы безопасности генерируются при создании учетной записи. Они (а не имена пользователей, которые могут не быть уникальными) служат основой для идентификации субъектов внутренними процессами ОС Windows. Учетные записи групп, созданные для упрощения администрирования, содержат список учетных записей пользователей, а также включают сведения, аналогичные сведениям учетной записи пользователя (SID группы, привилегии члена группы и др.)
|
|
|
Безоп Windows. Рол модель. Проверка прав доступа.
Ролевая модель. В системе есть по меньшей мере 1 пользователь администратор с неограниченными правами, а также множество пользователей объединенных в группы. Цель системы защиты – следить за тем кто и к каким объектам осуществляет доступ. Хранится вся инфа, относящаяся к безопасности для пользователей, объектов и субъектов. Обеспечивается единообразие контроля доступа к различным объектам за счет связанного с каждым объектом дескриптора защиты.
Основные этапы проверки:
- Если SID субъекта совпадает с SID объекта и запрашиваются стандартные права, то доступ предоставляется независимо от содержимого DACL.
- Система последовательно сравнивает SID маркера с SID каждого ACE из DACL. Если обнаруживается соответствие, выполняется сравнение маски доступа с проверяемыми правами. Для запрещающих ACE даже при частичном совпадении, доступ немедленно откланяется. Для успешной проверки необходимо совпадение всех прав. Для ускорения процедуры проверки рекомендуется размещать запрещающие элементы в начале списка.
|
|
|
Безоп Windows. Осн компоненты системы защиты.
РОЛЕВАЯ МОДЕЛЬ. В системе есть по меньшей мере 1 пользователь администратор с неограниченными правами, а также множество пользователей объединенных в группы. Цель системы защиты – следить за тем кто и к каким объектам осуществляет доступ. Хранится вся инфа, относящаяся к безопасности для пользователей, объектов и субъектов. Обеспечивается единообразие контроля доступа к различным объектам за счет связанного с каждым объектом дескриптора защиты.
Winlogon – это процедура регистрации, которая обрабатывает запрос пользователей на вход в систему. Стандартная библиотека аутентификации GINA реализована в файле Msgina.dll.
Подсистема локальной авторизации (LSA – Local Security Authority) гарантирует, что пользователь имеет разрешение на доступ в систему, является одним из центральных в системе защиты Windows, поскольку порождает маркеры доступа и управляет локальной политикой безопасности. Реализован в файле Lsasrv.dll.
Менеджер учета аккаунтов управляет базой данных учетных пользователей (Samsrv.dll) и выполняется внутри процесса LSAS.
Диспетчер доступа (SRM – Security Reference Monitor) проверяет права пользователя при попытке доступа к объекту, реализован как компонент исполнительной системы Ntoskrnl.exe.
Дата добавления: 2018-05-31; просмотров: 417; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!