Home Esplora Aiuto
Accedi
u22ryabchenko
/
EASvZI
forkato da ypv/EASvZI
1
0
Forka 0
File
Albero (Tree): 50f9a4a7e9
Rami (Branch) Tag
EASvZI
/
Лекции
/
П2.5.300_Разграничение_доступа
/
Panteleev11.md

Panteleev11.md 15 KB
Cronologia Originale

Разграничение доступа к объектам в операционной системе Windows

Для разграничения доступа субъектов к объектам КС в защищенных версиях операционной системы Windows используется дискреционное управление доступом (см. парагр. 1.4). С каждым объектом разграничения доступа связывается дескриптор безопасности SD (security descriptor), содержащий следующую информацию:

  • идентификатор безопасности (SID) владельца объекта;
  • идентификатор безопасности первичной группы владельца (в Windows это поле не используется в алгоритме проверки прав доступа субъекта к объекту);
  • дискреционный список контроля доступа (discretionary access control list — DACL);
  • системный список контроля доступа (system access control list - SACL). Список SACL управляется администратором системы и будет рассмотрен в парагр. 2.4. Список DACL предназначен для идентификации пользователей и групп, которым предоставлен или запрещен определенный тип доступа к объекту. Этот список редактируется владельцем объекта, но и члены группы администраторов по умолчанию имеют право на смену разрешений на доступ к любому объекту, которое может быть у них отнято владельцем объекта.

Каждый элемент списка DACL (access control entry — АСЕ) определяет права доступа к объекту одного пользователя или группы. Каждый АСЕ содержит следующую информацию:

  • идентификатор безопасности SID субъекта, для которого определяются права доступа;
  • маску доступа (access mask — AM), которая специфицирует контролируемые данным АСЕ права доступа;
  • тип АСЕ;
  • признак наследования прав доступа к объекту, определенных для родительского объекта. Элементы списка DACL могут быть двух типов — элементы, разрешающие специфицированные в них права доступа (Access- allowed АСЕ), и элементы, запрещающие определенные в них права доступа (Access-denied АСЕ). Элементы для запрещения субъектам использования определенных прав доступа должны размещаться в «голове» списка, до первого из элементов, разрешающих использование субъектом тех или иных прав доступа.

Право доступа субъекта к объекту означает возможность обращения субъекта к объекту с помощью определенного метода (типа) доступа. В операционной системе Windows различаются специальные, стандартные (общие) и родовые (generic) права доступа к объектам. Специальные права доступа определяют возможность обращения к объекту по свойственному только данной категории объектов методу — чтение данных из объекта, запись данных в объект, чтение атрибутов объекта, выполнение программного файла и т. д. Стандартные права доступа определяют возможность доступа к объекту по методу, применимому к любому объекту, — изменение владельца объекта, изменение списка DACL объекта, удаление объекта и т. д.

Каждое из родовых прав доступа представляет собой комбинацию специальных и стандартных прав и предоставляет возможность обращения к объекту с помощью некоторого набора методов доступа. Определены следующие родовые права доступа:

  1. Для файлов и папок:
  2. полный доступ (включает в себя все специальные и стандартные разрешения);
  3. изменение (все разрешения, кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца»);
  4. чтение и выполнение (включает разрешения на «Обзор папок (выполнение файлов)», «Содержание папки (чтение данных)», «Чтение атрибутов», «Чтение дополнительных атрибутов», «Чтение разрешений», «Синхронизация»);
  5. список содержимого папки (только для папок); включает в себя те же разрешения, что и «Чтение и выполнение», но они наследуются по-разному. Разрешение «Список содержимого папки» наследуется только папками, но не файлами, и отображается только при просмотре разрешений на доступ к папкам. Разрешение «Чтение и выполнение» наследуется как файлами, так и папками, и всегда отображается при просмотре разрешений на доступ к файлам или папкам;
  6. чтение (включает в себя право на «Содержание папки (чтение данных)», «Чтение атрибутов», «Чтение дополнительных атрибутов», «Чтение разрешений», «Синхронизацию»);
  7. запись (включает в себя разрешения «Создание файлов (запись данных)», «Создание папок (дозапись данных)», «Запись атрибутов», «Запись дополнительных атрибутов», «Чтение разрешений», «Синхронизацию»).
  8. Для принтеров (родовые права доступа):
  9. печать (включает разрешения на «Печать» и «Чтение разрешений»);
  10. управление документами (включает в себя права на «Управление документами», «Чтение разрешений», «Смену разрешений», «Смену владельца»);
  11. управление принтерами (включает в себя все специальные и стандартные права доступа, кроме «Управления документами»).
  12. Для реестра yindows (родовые права доступа):
  13. полный доступ (включает в себя все специальные и стандартные разрешения);
  14. чтение (включает разрешения на «Запрос значения», «Перечисление подразделов», «Уведомление», «Чтение разрешений»). Специальное право на «Обзор папок» предполагает возможность перемещения по структуре папок в поисках других файлов или папок, даже если пользователь не обладает разрешением на доступ к просматриваемым папкам. Право на «Содержание папки» дает возможность просмотра имен файлов и подпапок, содержащихся в папке. Это разрешение относится только к содержимому данной папки и не означает, что имя самой этой папки также должно включаться в список.

Специальное право «Выполнение файлов» разрешает или запрещает запуск программ. Разрешение «Обзор папок» для папки не означает автоматическую установку разрешения «Выполнение файлов» для всех файлов в этой папке. Право на «Запись данных» разрешает или запрещает внесение изменений в файл и запись поверх имеющегося содержимого. Право на «Дозапись данных» разрешает или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных.

Для разделов реестра стандартное право на смену разрешений для него именуется «Запись ОАС». Общее право «Синхронизация» (для разделов реестра именуется «Уведомление») разрешает или запрещает ожидание различными потоками объектов и синхронизацию их с другими потоками, которые могут занимать их. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами. Стандартное право на «Удаление» разрешает или запрещает удаление объекта.

Стандартным правом «Смена владельца» обладают только члены группы администраторов (это разрешение корреспондирует с соответствующей привилегией, см. парагр. 2.2).

Процесс преобразования родового права доступа к объекту в набор специальных и стандартных прав называется отображением права доступа. Преимуществом родовых прав доступа является то, что при их установке владелец объекта может ничего не знать об особенностях этого типа объектов (например, владелец может не знать, что чтение данных из объекта и чтение его атрибутов реализуются с помощью разных методов доступа).

При попытке доступа к объекту субъект может запросить предоставить ему максимально возможные для него права доступа, указав в качестве маски доступа константу MAXIMUM_ ALLOWED. В этом случае субъект может открыть объект без детального анализа определенных для него прав доступа, который будет выполняться операционной системой в процессе проверки конкретных прав доступа субъекта к объекту. Маска доступа MAXIM UMALLOWED не может естественно использоваться в элементах DACL.

Маска доступа, содержащаяся в элементе DACL, представляет собой значение длиной 32 бита. Первые 16 битов определяют специальные права доступа, биты с 16 до 23 — стандартные права доступа, бит 24 — право ACCESSJSYSTEMSECURITY (см. парагр. 2.4), бит 25 - право MAXIMUM ALLOWED, биты 26 и 27 зарезервированы для дальнейшего использования и биты с 28 по 31 определяют родовые права доступа, отображаемые в специальные и стандартные права при попытке доступа к объекту.

Маркер доступа субъекта, обращающегося к некоторому объекту КС, поступает в локальную службу безопасности LSA (см. рис. 2.1). От LSA маркер доступа поступает к монитору безопасных ссылок (security reference monitor — SRM), который просматривает DACL из дескриптора безопасности SD соответствующего объекта и принимает решение R о предоставлении доступа субъекту или отказе в доступе (рис. 2.10). Получив от SRM результат R, LSA передает его субъекту, запросившему доступ к объекту.

При проверке прав доступа субъекта к объекту монитором безопасных ссылок строятся две маски — требуемых и разрешенных прав доступа (desired access mask и granted access mask).

Проверка прав доступа к объекту. Список литературы https://abuzov.com/razgranichenie-prav-dostupa-v-windows/ https://studref.com/363014/informatika/razgranichenie_dostupa_obektam_operatsionnoy_sisteme_windows https://studfile.net/preview/1503506/page:18/