Информационная безопасность. Макаренко С.И. - 288 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

288
Этапов проверки довольно много. Наиболее важные этапы из них:
- Если SID субъекта совпадает с SID владельца объекта и
запрашиваются стандартные права доступа, то доступ
предоставляется независимо от содержимого DACL.
- Далее система последовательно сравнивает SID каждого ACE из
DACL с SID маркера. Если обнаруживается соответствие,
выполняется сравнение маски доступа с проверяемыми правами.
Для запрещающих ACE даже при частичном совпадении прав
доступ немедленно отклоняется. Для успешной проверки
разрешающих элементов необходимо совпадение всех прав.
Очевидно, что для процедуры проверки важен порядок расположения
ACE в DACL. Поэтому Microsoft предлагает так называемый
предпочтительный порядок размещения ACE. Например, для ускорения
рекомендуется размещать запрещающие элементы перед разрешающими.
19.2 Основные компоненты системы безопасности
Система контроля дискреционного доступа - центральная концепция
защиты ОС Windows, однако перечень задач, решаемых для обеспечения
безопасности, этим не исчерпывается. В данном разделе будут
проанализированы структура, политика безопасности и API системы защиты.
Изучение структуры системы защиты помогает понять особенности ее
функционирования. Несмотря на слабую документированность ОС Windows
по косвенным источникам можно судить об особенностях ее
функционирования.
Рис. 19.4 - Структура системы безопасности ОС Windows
Система защиты ОС Windows состоит из следующих компонентов (см.
рис. 14.1).
- Процедура регистрации (Logon Processes), которая обрабатывает
запросы пользователей на вход в систему. Она включают в себя 
     Этапов проверки довольно много. Наиболее важные этапы из них:
     - Если SID субъекта совпадает с SID владельца объекта и
        запрашиваются     стандартные    права  доступа,   то   доступ
        предоставляется независимо от содержимого DACL.
     - Далее система последовательно сравнивает SID каждого ACE из
        DACL с SID маркера. Если обнаруживается соответствие,
        выполняется сравнение маски доступа с проверяемыми правами.
        Для запрещающих ACE даже при частичном совпадении прав
        доступ немедленно отклоняется. Для успешной проверки
        разрешающих элементов необходимо совпадение всех прав.

     Очевидно, что для процедуры проверки важен порядок расположения
ACE в DACL. Поэтому Microsoft предлагает так называемый
предпочтительный порядок размещения ACE. Например, для ускорения
рекомендуется размещать запрещающие элементы перед разрешающими.

      19.2 Основные компоненты системы безопасности

     Система контроля дискреционного доступа - центральная концепция
защиты ОС Windows, однако перечень задач, решаемых для обеспечения
безопасности, этим не исчерпывается. В данном разделе будут
проанализированы структура, политика безопасности и API системы защиты.
     Изучение структуры системы защиты помогает понять особенности ее
функционирования. Несмотря на слабую документированность ОС Windows
по косвенным источникам можно судить об особенностях ее
функционирования.




         Рис. 19.4 - Структура системы безопасности ОС Windows

      Система защиты ОС Windows состоит из следующих компонентов (см.
рис. 14.1).
      - Процедура регистрации (Logon Processes), которая обрабатывает
         запросы пользователей на вход в систему. Она включают в себя


                                  288

Страницы