Inicio Explorar Axuda
Iniciar sesión
u22-26shishkova
/
EASvZI
Fork de ypv/EASvZI
1
0
Fork 0
Ficheiros
Árbore: 44e3339038
Ramas Etiquetas
EASvZI
/
Лекции
/
П2.5.300_Разграничение_доступа
/
П2.5.300_Разграничение_доступа.md

П2.5.300_Разграничение_доступа.md 9.2 KB
Histórico Raw

Разграничение доступа к устройствам

Введение

Современные операционные системы должны обеспечивать надежную защиту данных от несанкционированного доступа. В данном контексте разграничение доступа является одной из ключевых функций. Windows предоставляет несколько моделей управления доступом, среди которых особое место занимает дискреционное управление доступом (DAC). Эта модель позволяет владельцам объектов управлять правами доступа других пользователей и процессов. В этом документе рассмотрим основные механизмы и принципы разграничения доступа в Windows, включая дескрипторы безопасности, списки контроля доступа и процесс проверки прав.

Дискреционное управление доступом (DAC)

Дискреционное управление доступом (DAC) в Windows предоставляет владельцам объектов (например, файлов, папок, процессов) возможность самостоятельно устанавливать права доступа для других пользователей или групп. Это достигается посредством использования дескрипторов безопасности (SD), которые содержат информацию о владельце объекта, его первичной группе, а также списки контроля доступа DACL и SACL.

  1. Дескриптор безопасности (SD):
    • Идентификатор безопасности владельца (SID): уникальный идентификатор, представляющий владельца объекта.
    • Идентификатор безопасности первичной группы владельца: В Windows это поле обычно не используется в процессе проверки прав доступа, но оно все же является частью дескриптора безопасности.
    • Дискреционный список контроля доступа (DACL): определяет, какие пользователи или группы могут иметь доступ к объекту и какие действия они могут выполнять.
    • Системный список контроля доступа (SACL): используется для аудита и контроля попыток доступа к объекту, управляется администраторами системы.

Списки контроля доступа

  1. DACL (Discretionary Access Control List):

    • Список DACL редактируется владельцем объекта и определяет, какие пользователи или группы имеют право на доступ к объекту и какие действия они могут выполнять. Элементы списка DACL называются ACE (Access Control Entry). Каждое ACE содержит идентификатор безопасности субъекта, для которого определены права, маску доступа (AM), определяющую контролируемые права, тип ACE, и признак наследования прав доступа от родительского объекта.
    • Элементы DACL могут быть двух типов: разрешающие доступ (Access-allowed ACE) и запрещающие доступ (Access-denied ACE). Элементы, запрещающие доступ, обычно размещаются в начале списка, чтобы они могли быть проверены первыми.

  2. SACL (System Access Control List):

    • Список SACL используется для аудита попыток доступа к объекту и управляется администратором системы. Это позволяет отслеживать и регистрировать попытки доступа, что важно для обеспечения безопасности и анализа потенциальных угроз.

Типы прав доступа

  1. Специальные права доступа:

    • Специальные права определяют доступ к объекту посредством специфичных методов, таких как чтение данных, запись данных, выполнение программных файлов, чтение атрибутов объекта и т.д.

  2. Стандартные права доступа:

    • Стандартные права доступа применимы ко всем объектам и включают действия, такие как изменение владельца объекта, изменение списка DACL и удаление объекта.

  3. Родовые права доступа:

    • Родовые права доступа представляют собой комбинацию специальных и стандартных прав и упрощают управление доступом. Примеры включают полный доступ, изменение, чтение и выполнение.

Практическое применение разграничения доступа

Разграничение доступа в Windows играет ключевую роль как в корпоративных сетях, так и на личных устройствах. Правильная настройка прав доступа помогает защитить конфиденциальные данные от несанкционированного доступа и предотвратить случайное или намеренное повреждение файлов.

  1. Корпоративные сети:

    • В крупных организациях, где множество пользователей и подразделений работают с конфиденциальной информацией, разграничение доступа критически важно. Использование ролей, групп и DACL позволяет эффективно управлять правами доступа и снижать риски утечек данных.

  2. Личные устройства:

    • На персональных компьютерах также важно настроить правильные права доступа, чтобы защитить личные данные. Использование учетных записей с ограниченными правами для повседневной работы и сильных паролей для учетной записи администратора является хорошей практикой.

Процесс проверки прав доступа

  1. Маркер доступа:

    • Когда субъект пытается получить доступ к объекту, система создает маркер доступа, который передается в локальную службу безопасности (LSA).

  2. Монитор безопасных ссылок (SRM):

    • SRM проверяет DACL из дескриптора безопасности объекта и определяет, имеет ли субъект необходимые права доступа. Решение передается обратно в LSA, которая предоставляет или отказывает в доступе.

Вывод

Разграничение доступа к объектам в операционной системе Windows — это неотъемлемая часть обеспечения безопасности данных. Используя различные модели и механизмы управления доступом, такие как DAC, дескрипторы безопасности и списки контроля доступа, Windows обеспечивает гибкость и надежность в защите данных. Регулярное обновление политик безопасности и правильная настройка прав доступа помогают пользователям и организациям повышать уровень защиты и минимизировать риски утечек данных.