Информационная безопасность. Макаренко С.И. - 286 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

286
Рис. 19.1 - Структура дескриптора защиты для файла
В списке ACL есть записи ACE двух типов:
- разрешающие доступ. Разрешающая запись содержит SID
пользователя или группы и битовый массив (access mask),
определяющий набор операций, которые процессы, запускаемые
этим пользователем, могут выполнять с данным объектом.
- запрещающие доступ. Запрещающая запись действует аналогично,
но в этом случае процесс не может выполнять перечисленные
операции.
Кроме списка DACL дескриптор защиты включает также список SASL,
который имеет такую же структуру, что и DACL, то есть состоит из таких же
ACE записей, только вместо операций, регламентирующих доступ к объекту,
в нем перечислены операции, подлежащие аудиту.
В примере на рис. 19.1 операции с файлом процессов, запускаемых
пользователем Сергеем, описанные в соответствующем битовом массиве
будут регистрироваться в системном журнале.
19.1.4 Субъекты безопасности. Процессы, потоки. Маркер доступа
Так же как и объекты, субъекты должны иметь отличительные
признаки - контекст пользователя, для того, чтобы система могла
контролировать их действия. Сведения о контексте пользователя хранятся в
маркере (употребляются также термины «токен», «жетон») доступа.
При интерактивном входе в систему пользователь обычно вводит свое
имя и пароль. Система (процедура Winlogon) по имени находит
соответствующую учетную запись, извлекает из нее необходимую
информацию о пользователе, формирует список привилегий, 
           Рис. 19.1 - Структура дескриптора защиты для файла

      В списке ACL есть записи ACE двух типов:
      - разрешающие доступ. Разрешающая запись содержит SID
         пользователя или группы и битовый массив (access mask),
         определяющий набор операций, которые процессы, запускаемые
         этим пользователем, могут выполнять с данным объектом.
      - запрещающие доступ. Запрещающая запись действует аналогично,
         но в этом случае процесс не может выполнять перечисленные
         операции.
      Кроме списка DACL дескриптор защиты включает также список SASL,
который имеет такую же структуру, что и DACL, то есть состоит из таких же
ACE записей, только вместо операций, регламентирующих доступ к объекту,
в нем перечислены операции, подлежащие аудиту.
      В примере на рис. 19.1 операции с файлом процессов, запускаемых
пользователем Сергеем, описанные в соответствующем битовом массиве
будут регистрироваться в системном журнале.

    19.1.4 Субъекты безопасности. Процессы, потоки. Маркер доступа

     Так же как и объекты, субъекты должны иметь отличительные
признаки - контекст пользователя, для того, чтобы система могла
контролировать их действия. Сведения о контексте пользователя хранятся в
маркере (употребляются также термины «токен», «жетон») доступа.
     При интерактивном входе в систему пользователь обычно вводит свое
имя и пароль. Система (процедура Winlogon) по имени находит
соответствующую учетную запись, извлекает из нее необходимую
информацию      о   пользователе,   формирует     список    привилегий,


                                   286

Страницы