Операционные системы, среды и оболочки. Макаренко С.И. - 170 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

Системный администратор должен иметь возможность учета всех
событий, относящихся к безопасности (аудит безопасности).
Система должна защищать себя от внешнего влияния или
навязывания, такого, как модификация загруженной системы или
системных файлов, хранимых на диске.
Надо отметить, что, в отличие от большинства операционных систем,
ОС Windows была изначально спроектирована с учетом требований
безопасности, и это является ее несомненным достоинством. Посмотрим
теперь, как в рамках данной архитектуры обеспечивается выполнение
требований политики безопасности.
11.7.8 Ролевой доступ. Привилегии
С целью гибкого управления системной безопасностью в ОС Windows
реализовано управление доверительными отношениями (trusted facility
management), которое требует поддержки набора ролей (различных типов
учетных записей) для разных уровней работы в системе. В системе имеется
управление привилегированным доступом, то есть функции
администрирования доступны только одной группе учетных записей -
Administrators (Администраторы).
В соответствии со своей ролью каждый пользователь обладает
определенными привилегиями и правами на выполнение различных
операций в отношении системы в целом, например, право на изменение
системного времени или право на создание страничного файла. Аналогичные
права в отношении конкретных объектов называются разрешениями. И
права, и привилегии назначаются администраторами отдельным
пользователям или группам как часть настроек безопасности.
Каждая привилегия имеет два текстовых представления:
дружественное имя, отображаемое в пользовательском интерфейсе Windows,
и программное имя, используемое приложениями, а также Luid - внутренний
номер привилегии в конкретной системе. Помимо привилегий в Windows
имеются близкие к ним права учетных записей.
Важно, что даже администратор системы по умолчанию обладает
далеко не всеми привилегиями. Это связано с принципом предоставления
минимума привилегий. В каждой новой версии ОС Windows, в
соответствии с этим принципом, производится ревизия перечня
предоставляемых каждой группе пользователей привилегий, и общая
тенденция состоит в уменьшении их количества. С другой стороны общее
количество привилегий в системе растет, что позволяет проектировать все
более гибкие сценарии доступа.
Назначение и отзыв привилегий - прерогатива локального
администратора безопасности LSA (Local Security Authority), поэтому,
170
     − Системный администратор должен иметь возможность учета всех
       событий, относящихся к безопасности (аудит безопасности).
     − Система должна защищать себя от внешнего влияния или
       навязывания, такого, как модификация загруженной системы или
       системных файлов, хранимых на диске.
     Надо отметить, что, в отличие от большинства операционных систем,
ОС Windows была изначально спроектирована с учетом требований
безопасности, и это является ее несомненным достоинством. Посмотрим
теперь, как в рамках данной архитектуры обеспечивается выполнение
требований политики безопасности.

                  11.7.8 Ролевой доступ. Привилегии

     С целью гибкого управления системной безопасностью в ОС Windows
реализовано управление доверительными отношениями (trusted facility
management), которое требует поддержки набора ролей (различных типов
учетных записей) для разных уровней работы в системе. В системе имеется
управление      привилегированным     доступом,    то   есть   функции
администрирования доступны только одной группе учетных записей -
Administrators (Администраторы).
      В соответствии со своей ролью каждый пользователь обладает
определенными привилегиями и правами на выполнение различных
операций в отношении системы в целом, например, право на изменение
системного времени или право на создание страничного файла. Аналогичные
права в отношении конкретных объектов называются разрешениями. И
права, и привилегии назначаются администраторами отдельным
пользователям или группам как часть настроек безопасности.
     Каждая    привилегия     имеет    два   текстовых   представления:
дружественное имя, отображаемое в пользовательском интерфейсе Windows,
и программное имя, используемое приложениями, а также Luid - внутренний
номер привилегии в конкретной системе. Помимо привилегий в Windows
имеются близкие к ним права учетных записей.
      Важно, что даже администратор системы по умолчанию обладает
далеко не всеми привилегиями. Это связано с принципом предоставления
минимума привилегий. В каждой новой версии ОС Windows, в
соответствии с этим принципом, производится ревизия перечня
предоставляемых каждой группе пользователей привилегий, и общая
тенденция состоит в уменьшении их количества. С другой стороны общее
количество привилегий в системе растет, что позволяет проектировать все
более гибкие сценарии доступа.
    Назначение и отзыв привилегий - прерогатива локального
администратора безопасности LSA (Local Security Authority), поэтому,


                                  170

Страницы