Pentru a controla cine are dreptul să lucreze cu obiectul, sistemul de securitate trebuie să fie sigur că utilizatorul este identificat corect. Astfel, prima linie de protecție în Windows NT este o cerință pe care fiecare utilizator o înregistrează înainte de a începe să lucreze.
Așa cum este descris în Ch. 2, „Prezentarea generală a sistemului“, o parte integrantă a sistemului - un subsistem protejat, cunoscut sub numele de subsistemul de securitate (subsistem de securitate), este responsabil pentru autentificarea (autentifice) utilizatori, și anume, pentru a verifica dacă informațiile introduse de utilizator la înregistrarea în sistem coincid cu informațiile stocate în baza de date de protecție. După subsistemul de securitate a stabilit că înregistrarea este autentică, se creează un obiect care este asociat in mod constant cu un proces de utilizator. Acest obiect se numește token de acces și servește ca identitate oficială a procesului atunci când încearcă să utilizeze o resursă de sistem. Un exemplu de jeton de acces este prezentat în Fig. 3-9.
Primul atribut prezentat în figură este un ID de securitate personal, care de obicei corespunde identificatorului specificat de utilizator la înregistrare. În organizațiile mari, identificatorul de securitate poate include și departamentul sau numele departamentului de utilizator (de exemplu, ENGINEERING_MARYH). Identificatorii de protecție pentru grupuri sunt creați din listele de identificare a utilizatorilor. Al doilea atribut din Fig. 3-9 este lista de grupuri la care MARYH aparține. Windows NT specifică mai multe ID-uri de grup standard care sunt incluse în jetonul MARYH.
Fig. 3-9. Un exemplu de jeton de acces.
Când procesul încearcă să deschidă mânerul obiectului, managerul de obiecte apelează monitorul de referință de securitate. Monitorul de protecție de referință obține un jeton de acces asociat procesului și utilizează codul său de securitate și lista de grupuri pentru a determina dacă procesul are dreptul de a accesa obiectul.
Un număr mic de servicii de sistem sensibile la securitate (cum ar fi crearea unui jeton) sunt, de asemenea, protejate împotriva utilizării. Atributul de privilegii enumeră toate serviciile pe care utilizatorul are dreptul să le acceseze. Majoritatea utilizatorilor nu au niciun privilegiu.
În general, utilizatorul care a creat obiectul devine proprietarul său și poate decide cine are acces la obiect. Lista de control al accesului (ACL) care este stocată în jetonul de acces în mod implicit este lista inițială a drepturilor de acces care este atașată obiectelor create de utilizator. Atributul "grup primar" vă permite să colectați identificatori de securitate în grupuri în scopuri organizaționale. Această proprietate este prezentă în unele medii de operare, inclusiv POSIX.
În detaliu, ID-urile de securitate și listele de control al accesului sunt descrise în următoarea secțiune. Acum, să ne întoarcem la Fig. 3-10, care prezintă atributele și serviciile aplicabile obiectelor token de acces.
Serviciile de instalare suplimentare sunt adăugate serviciilor de creare, deschidere și interogare. Setarea atributelor obiectului este un serviciu comun oferit de multe obiecte ale sistemului executiv NT. Celelalte trei servicii sunt concepute pentru a fi utilizate în principal de programele de administrare a securității.
Fig. 3-10. Accesați obiectul token.
Respectați respectul pe dosodkovі posilannya
Yakshcho tu tsikavit.
Trimiteți-le prietenilor: