Информационная безопасность. Макаренко С.И. - 284 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

284
Помимо дискреционного доступа Windows поддерживает управление
привилегированным доступом. Это означает, что в системе имеется
пользователь-администратор с неограниченными правами.
Кроме того, для упрощения администрирования пользователи Windows
объединены в группы. Пользователь, как член группы, облекается, таким
образом, набором полномочий, необходимых для его деятельности, и играет
определенную роль. Подобная стратегия называется управление ролевым
доступом.
Ключевая цель системы защиты Windows - следить за тем, кто и к
каким объектам осуществляет доступ. Система защиты хранит
информацию, относящуюся к безопасности для каждого пользователя,
группы пользователей и объекта. Модель защиты ОС Windows требует,
чтобы субъект на этапе открытия объекта указывал, какие операции он
собирается выполнять в отношении этого объекта.
Единообразие контроля доступа к различным объектам (процессам,
файлам, семафорам и др.) обеспечивается тем, что с каждым процессом
(потоком) связан маркер доступа, а с каждым объектом - дескриптор
защиты. Маркер доступа в качестве параметра имеет идентификатор
пользователя, а дескриптор защиты - списки прав доступа. ОС может
контролировать попытки доступа, которые прямо или косвенно
производятся процессами и потоками, инициированными пользователем.
19.1.2 Пользователи и группы пользователей
Каждый пользователь каждая группа пользователей) системы
должен иметь учетную запись (account) в базе данных системы безопасности.
Учетные записи идентифицируются именем пользователя и хранятся в базе
данных SAM (Security Account Manager) в разделе HKLM/SAM реестра.
Учетная запись пользователя содержат набор сведений о пользователе,
такие, как имя, пароль (или реквизиты), комментарии и адрес.
Наиболее важными элементами учетной записи пользователя являются:
1. список привилегий пользователя в отношении данной системы,
2. список групп, в которых состоит пользователь,
3. идентификатор безопасности SID (Security IDentifier).
Идентификаторы безопасности генерируются при создании учетной
записи. Они (а не имена пользователей, которые могут не быть
уникальными) служат основой для идентификации субъектов внутренними
процессами ОС Windows.
Учетные записи групп, созданные для упрощения
администрирования, содержат список учетных записей пользователей, а
также включают сведения, аналогичные сведениям учетной записи
пользователя (SID группы, привилегии члена группы и др.). 
      Помимо дискреционного доступа Windows поддерживает управление
привилегированным доступом. Это означает, что в системе имеется
пользователь-администратор с неограниченными правами.
      Кроме того, для упрощения администрирования пользователи Windows
объединены в группы. Пользователь, как член группы, облекается, таким
образом, набором полномочий, необходимых для его деятельности, и играет
определенную роль. Подобная стратегия называется управление ролевым
доступом.
      Ключевая цель системы защиты Windows - следить за тем, кто и к
каким объектам осуществляет доступ. Система защиты хранит
информацию, относящуюся к безопасности для каждого пользователя,
группы пользователей и объекта. Модель защиты ОС Windows требует,
чтобы субъект на этапе открытия объекта указывал, какие операции он
собирается выполнять в отношении этого объекта.
      Единообразие контроля доступа к различным объектам (процессам,
файлам, семафорам и др.) обеспечивается тем, что с каждым процессом
(потоком) связан маркер доступа, а с каждым объектом - дескриптор
защиты. Маркер доступа в качестве параметра имеет идентификатор
пользователя, а дескриптор защиты - списки прав доступа. ОС может
контролировать попытки доступа, которые прямо или косвенно
производятся процессами и потоками, инициированными пользователем.

              19.1.2 Пользователи и группы пользователей

      Каждый пользователь (и каждая группа пользователей) системы
должен иметь учетную запись (account) в базе данных системы безопасности.
Учетные записи идентифицируются именем пользователя и хранятся в базе
данных SAM (Security Account Manager) в разделе HKLM/SAM реестра.
      Учетная запись пользователя содержат набор сведений о пользователе,
такие, как имя, пароль (или реквизиты), комментарии и адрес.
      Наиболее важными элементами учетной записи пользователя являются:
      1. список привилегий пользователя в отношении данной системы,
      2. список групп, в которых состоит пользователь,
      3. идентификатор безопасности SID (Security IDentifier).

     Идентификаторы безопасности генерируются при создании учетной
записи. Они (а не имена пользователей, которые могут не быть
уникальными) служат основой для идентификации субъектов внутренними
процессами ОС Windows.
     Учетные       записи     групп,    созданные      для упрощения
администрирования, содержат список учетных записей пользователей, а
также включают сведения, аналогичные сведениям учетной записи
пользователя (SID группы, привилегии члена группы и др.).



                                   284

Страницы