Операционные системы, среды и оболочки. Макаренко С.И. - 166 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

соответствующем битовом массиве будут регистрироваться в системном
журнале.
11.7.4 Субъекты безопасности. Процессы, потоки. Маркер доступа
Так же как и объекты, субъекты должны иметь отличительные
признаки - контекст пользователя, для того, чтобы система могла
контролировать их действия. Сведения о контексте пользователя хранятся в
маркере (употребляются также термины "токен", "жетон") доступа.
При интерактивном входе в систему пользователь обычно вводит свое
имя и пароль. Система (процедура Winlogon) по имени находит
соответствующую учетную запись, извлекает из нее необходимую
информацию о пользователе, формирует список привилегий,
ассоциированных с пользователем и его группами, и все это объединяет в
структуру данных, которая называется маркером доступа.
Маркер также хранит некоторые параметры сессии, например, время
окончания действия маркера. Таким образом, именно маркер является той
визитной карточкой, которую субъект должен предъявить, чтобы
осуществить доступ к какому-либо объекту.
Основные компоненты маркера доступы показаны на рис. 11.9.
Рис. 11.9. Основные компоненты маркера доступа
Включая в маркер информацию о защите, в частности, DACL, Windows
упрощает создание объектов со стандартными атрибутами защиты. Как уже
говорилось, если процесс не позаботится о том, чтобы явным образом
указать атрибуты безопасности объекта, на основании списка DACL,
присутствующего в маркере, будут сформированы права доступа к объекту
по умолчанию.
11.7.5 Проверка прав доступа
После формализации атрибутов защиты субъектов и объектов можно
перечислить основные этапы проверки прав доступа (рис. 11.10).
Этапов проверки довольно много. Наиболее важные этапы из них:
Если SID субъекта совпадает с SID владельца объекта и
запрашиваются стандартные права доступа, то доступ
предоставляется независимо от содержимого DACL.
166
соответствующем битовом массиве будут регистрироваться в системном
журнале.

   11.7.4 Субъекты безопасности. Процессы, потоки. Маркер доступа

     Так же как и объекты, субъекты должны иметь отличительные
признаки - контекст пользователя, для того, чтобы система могла
контролировать их действия. Сведения о контексте пользователя хранятся в
маркере (употребляются также термины "токен", "жетон") доступа.
     При интерактивном входе в систему пользователь обычно вводит свое
имя и пароль. Система (процедура Winlogon) по имени находит
соответствующую учетную запись, извлекает из нее необходимую
информацию     о     пользователе,   формирует     список  привилегий,
ассоциированных с пользователем и его группами, и все это объединяет в
структуру данных, которая называется маркером доступа.
     Маркер также хранит некоторые параметры сессии, например, время
окончания действия маркера. Таким образом, именно маркер является той
визитной карточкой, которую субъект должен предъявить, чтобы
осуществить доступ к какому-либо объекту.
     Основные компоненты маркера доступы показаны на рис. 11.9.




            Рис. 11.9. Основные компоненты маркера доступа

      Включая в маркер информацию о защите, в частности, DACL, Windows
упрощает создание объектов со стандартными атрибутами защиты. Как уже
говорилось, если процесс не позаботится о том, чтобы явным образом
указать атрибуты безопасности объекта, на основании списка DACL,
присутствующего в маркере, будут сформированы права доступа к объекту
по умолчанию.

                     11.7.5 Проверка прав доступа

     После формализации атрибутов защиты субъектов и объектов можно
перечислить основные этапы проверки прав доступа (рис. 11.10).
     Этапов проверки довольно много. Наиболее важные этапы из них:
     − Если SID субъекта совпадает с SID владельца объекта и
       запрашиваются стандартные права доступа, то доступ
       предоставляется независимо от содержимого DACL.



                                  166

Страницы