Составители:
вом. Записи АСЕ бывают трех основных разновидностей; ACCESS_ AL-
LOWED_ACE_TYPE, ACCESS_DENIED_ACE_TYPE и SYSTEM_AUDIT_ACE_TYPE.
Запись АСЕ первого типа наделяет пользователя (или группу) некоторым правом. За-
пись второго типа отменяет это право в отношении пользователя (или группы). Запись
третьего типа обозначает необходимость осуществления аудита при пользовании пра-
вом.
Список управления доступом (Access Control List, ACL) - это набор записей АСЕ.
Дискреционный список DACL содержит записи типа ACCESS_ALLOWED_ACE_TYPE
и ACCESS_DENIED_ACE_TYPE, а системный список SACL содержит записи типа
SYSTEM AUDIT_ACE_TYPE.
Каждая запись АСЕ, определяющая уровень доступа к объекту, обладает 32-
битной маской ACCESS_MASK. Эта маска является набором бит, которые определяют,
какие права предоставляет или отменяет данная запись АСЕ. Значение каждого бита оп-
ределяется объектом, по отношению к которому применяется данная АСЕ. Например,
набор прав, которые можно назначить в отношении семафора, отличается от набора
прав, которые можно назначить в отношении файла. Все же существуют четыре права,
которые можно назначить в отношении абсолютно любого защищаемого объекта, это:
GENERIC_READ (обобщенное чтение), GENERIC_WRITE (обобщенная запись), GE-
NERIC_EXECUTE (обобщенное исполнение) и GENERIC_ALL (все права). Этим четы-
рем правам всегда соответствуют одни и те же биты в маске ACCESS_MASK любой за-
писи АСЕ.
Каждый системный объект или файл обладает индивидуальным списком ACL.
Чтобы обеспечить защиту данных, о существовании которых система не имеет пред-
ставления, необходимо самостоятельно сформировать собственный список ACL и со-
хранить его специальным образом.
Система безопасности может использоваться для защиты объектов нескольких
разных типов. Для доступа к дескриптору безопасности каждого из этих объектов следу-
ет использовать разные функции (табл. 7.3).
Таблица 7.3
Тип объекта Примеры Функции
Файлы (Files) Файлы NTFS, именованные
каналы
GetSecurity, SetSecurity
Пользователь (User) Окна, меню GetUserObjectSecurity,
SetUserObjectSecurity
Ядро ОС (Kernel) Дескрипторы процессов и
потоков, объекты отобра-
жения в память, и т.д.
GetKernelObjectSecurity,
SetKernelObjectSecurity
Реестр (Registry) Ключи RegGetKeySecurity,
RegSetKeySecurity
Службы (Services) Любая служба QueryServiceObjectSecurity,
SetServiceObjectSecurity
Частный (Private) Определяемые пользовате-
лем объекты
CreatePrivateObjectSecurity,
GetPrivateObjectSecurity,
SetPrivateObjectSecurity,
DestroyPrivateObjectSecurity
Чаще всего, когда говорят о защите данных, имеют в виду файлы. На самом деле в
некоторых ситуациях может потребоваться ограничить доступ к объектам других типов.
В некоторых ситуациях может возникнуть необходимость в создании ваших собствен-
ных объектов, доступ к которым необходимо контролировать. Windows может не знать о
существовании этих объектов, однако это не значит, что хранящаяся в них информация
не нуждается в защите.
157
вом. Записи АСЕ бывают трех основных разновидностей; ACCESS_ AL-
LOWED_ACE_TYPE, ACCESS_DENIED_ACE_TYPE и SYSTEM_AUDIT_ACE_TYPE.
Запись АСЕ первого типа наделяет пользователя (или группу) некоторым правом. За-
пись второго типа отменяет это право в отношении пользователя (или группы). Запись
третьего типа обозначает необходимость осуществления аудита при пользовании пра-
вом.
Список управления доступом (Access Control List, ACL) - это набор записей АСЕ.
Дискреционный список DACL содержит записи типа ACCESS_ALLOWED_ACE_TYPE
и ACCESS_DENIED_ACE_TYPE, а системный список SACL содержит записи типа
SYSTEM AUDIT_ACE_TYPE.
Каждая запись АСЕ, определяющая уровень доступа к объекту, обладает 32-
битной маской ACCESS_MASK. Эта маска является набором бит, которые определяют,
какие права предоставляет или отменяет данная запись АСЕ. Значение каждого бита оп-
ределяется объектом, по отношению к которому применяется данная АСЕ. Например,
набор прав, которые можно назначить в отношении семафора, отличается от набора
прав, которые можно назначить в отношении файла. Все же существуют четыре права,
которые можно назначить в отношении абсолютно любого защищаемого объекта, это:
GENERIC_READ (обобщенное чтение), GENERIC_WRITE (обобщенная запись), GE-
NERIC_EXECUTE (обобщенное исполнение) и GENERIC_ALL (все права). Этим четы-
рем правам всегда соответствуют одни и те же биты в маске ACCESS_MASK любой за-
писи АСЕ.
Каждый системный объект или файл обладает индивидуальным списком ACL.
Чтобы обеспечить защиту данных, о существовании которых система не имеет пред-
ставления, необходимо самостоятельно сформировать собственный список ACL и со-
хранить его специальным образом.
Система безопасности может использоваться для защиты объектов нескольких
разных типов. Для доступа к дескриптору безопасности каждого из этих объектов следу-
ет использовать разные функции (табл. 7.3).
Таблица 7.3
Тип объекта Примеры Функции
Файлы (Files) Файлы NTFS, именованные GetSecurity, SetSecurity
каналы
Пользователь (User) Окна, меню GetUserObjectSecurity,
SetUserObjectSecurity
Ядро ОС (Kernel) Дескрипторы процессов и GetKernelObjectSecurity,
потоков, объекты отобра- SetKernelObjectSecurity
жения в память, и т.д.
Реестр (Registry) Ключи RegGetKeySecurity,
RegSetKeySecurity
Службы (Services) Любая служба QueryServiceObjectSecurity,
SetServiceObjectSecurity
Частный (Private) Определяемые пользовате- CreatePrivateObjectSecurity,
лем объекты GetPrivateObjectSecurity,
SetPrivateObjectSecurity,
DestroyPrivateObjectSecurity
Чаще всего, когда говорят о защите данных, имеют в виду файлы. На самом деле в
некоторых ситуациях может потребоваться ограничить доступ к объектам других типов.
В некоторых ситуациях может возникнуть необходимость в создании ваших собствен-
ных объектов, доступ к которым необходимо контролировать. Windows может не знать о
существовании этих объектов, однако это не значит, что хранящаяся в них информация
не нуждается в защите.
157
Страницы
- « первая
- ‹ предыдущая
- …
- 153
- 154
- 155
- 156
- 157
- …
- следующая ›
- последняя »
