Права и привилегии пользователей. Их назначение и определение в Windows. Маркеры и субъекты доступа в Windows. Понятие Олицетворения.
Автор: student | Категория: Технические науки / Информатика и программирование | Просмотров: 2403 | Комментирии: 0 | 27-12-2013 22:28
3. Права и привилегии пользователей. Их назначение и определение в Windows. Маркеры и субъекты доступа в Windows. Понятие Олицетворения.
Привилегии пользователей.
Разрешение на выполнение действия выдается после сравнения идентификатора безопасности.
Некоторые действия пользователя не связаны с объектом. Возможность резервного копирования не зависит от возможного разрешения на них.
Предоставляются специальные права пользователя:
1) Привилегия. Заносятся в маркер доступа. Могут выполнять ряд специфичных операций (резерв.копирование).
2) Вход в систему. Возможность пользователя входить в систему. Позволяют создавать маркер доступа. Локальный вход: вход по сети, в качестве службы, пакетного задания.
Начиная с WindowsXP появилась пара прав связанных с терминальным доступом.
Маркер доступа(MD)
При входе пользователя в систему локальный администратор безопасности создает MD. В нем указываются поля:
1) SID пользователя и групп, в которые он входит.
2) Набор привилегий пользователя.
3) SID владельца и редакционный список контроля доступа (DACL) , который будет присваиваться вновь созданному объекту.
4) Уникальный локальный идентификатор, маркер, сессии и версии маркера.
5) Тип маркера (первичный, в процесс олицетворения).
6) Уровень олицетворения.
7) Признак ограниченного маркера, идентификатор терминального сеанса.
Монитор безопасности – единственная система безопасности, которая работает на уровне ядра. Использует MD при попытке пользователя получить доступ.
Олицетворение.
Windows разрешает одному процессу взять атрибуты другого процесса по средствам олицетворения.
Сервер обычно использует контекст безопасности тех, чьи запросы выполняются.
Приустановки связи с сервером клиент может указать уровень олицетворения, которое следует использовать серверу.
Значения уровня олицетворения:
1) SecurityAnonymous - процесс сервера не имеет права получать информацию впреть.
2) SecurityIdentification – разрешает серверу запросить маркер доступа, связанный с клиентом и узнать SID пользователя и групп, но не позволяет серверу производить олицетворение.
3) SecurityImpersonation – сервер может пользоваться практически всеми правилами привилегиями клиента, но не может установить от имени пользователя новое сетевое соединение с другим компьютером.
4) SecurityDelegation – серверному процессу разрешено вступать от имени клиента как на локальном, так и на удаленном компьютере.




Не Пропустите: