Файловый архив студентов. Файловый архив студентов.
1305 вузов, 5173 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Сибирский государственный университет науки и технологий им. академика М.Ф. Решетнева
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ГОСы - ответы (КБ-71).doc
Скачиваний:
1
Добавлен:
01.05.2025
Размер:
7.88 Mб
Скачать
►Содержание►

32. Права, привилегии, суперпривилегии и вход пользователей в ос семейства Windows nt. Права учетных записей.

При входе через терминал или при обращении к сети не происходит обращение к какому-либо объекту, так как пользователю в системе ещё ничего не принадлежит. Соответственно, для этого пользователя должны быть указаны какие-то права доступа именно к компьютеру. Они регламентируют способы, которыми пользователи попадают в систему, и возможность доступа в систему (для Windows XP):

  • интерактивный вход – разрешен ли вход через терминал;

  • сетевой вход – разрешен ли вход через сеть. То есть, может ли быть сформирован маркер безопасности на основании данных из сети;

  • вход через клиент службы терминалов;

  • вход как сервис – может ли программа быть запущена владельцем сервисов с учетной записью пользователя. Сервисы загружаются при загрузке операционной системы и до входа пользователя;

  • вход как пакетное задание. В Windows имеется служба исполнения пакетных заданий (планировщик заданий). Соответственно, можно указать запуск программы с какой-либо периодичностью или разово. Она будет запускаться системой под учетной записью пользователя с его же аутентификационной информацией. Отличие от входа как сервис в том, что здесь вход всегда осуществляется не от системы.

Права парные (разрешение и запрет). Например, право на вход через терминал и запрет на вход в терминал. Эти права проверяет lsas при аутентификации пользователя. Они регламентируют вход в систему. Но, они не содержатся в маркере доступа.

Привилегии

Многие операции, выполняемые процессами, нельзя авторизовать через подсистему защиты доступа к объектам, так как при этом не происходит взаимодействия с конкретным объектом, Например, возможность обходиить проверки прав доступа при открытии файлов для резервного копирования является атрибутом учетной записи, а не конкретного объекта. Windows использует как привилегии, так и права учетных записей, чтобы системный администратор мог управлять тем, каким учетным записям разрешено выполнять операции, затрагивающие безопасность.

Привилегия (privilege) – это право (right) учетной записи на выполнение определенной операции. Право учетной записи разрешает или запрещает конкретный тип входа в систему, скажем, локальный или интерактивный.

B отличие от прав учетной записи привилегии можно включать и отключать. Чтобы проверка привилегии прошла успешно, эта привилегия должна находиться в указанном маркере и должна быть включена. Смысл такой схемы в том, что привилегии должны включаться только при реальном их использовании, и в том, чтобы процесс не мог случайно выполнить привилегированную операцию.

Несколько привилегий дают настолько широкие права (суперпривилегии), что пользователя, которому они назначаются, называют «суперпользователем» – он получает полный контроль над компьютером. Эти привилегии позволяют получать неавторизованный доступ к закрытым ресурсам и выполнять любые операции.

Будет время перепиши ↑

  • Debug programs (Отладка программ). Пользователь с этой привилегией может открыть любой процесс в системе независимо от его дескриптора защиты.

  • Take ownership (Смена владельца). Эта привилегия позволяет ее обладателю сменить владельца любого защищаемого объекта, просто вписав свой SID в поле владельца в дескрипторе защиты объекта.

  • Restore files and directories (Восстановление файлов и каталогов). Пользователь с такой привилегией может заменить любой файл в системе на свой.

  • Load and unload device drivers (Загрузка и выгрузка драйверов устройств). Злоумышленник мог бы воспользоваться этой привилегией для загрузки драйвера устройства в систему. Такие драйверы считаются доверяемыми частями операционной системы, которые выполняются под системной учетной записью (в русской версии Windows XP эта привилегия называется «Овладение файлами или иными объектами»).

  • Create a token object (Создание маркерного объекта). Эта привилегия позволяет создавать объекты «маркеры», представляющие произвольные учетные записи с членством в любых группах и любыми разрешениями.

  • Act as part of operating system (Работа в режиме операционной системы). Эта привилегия применяется для установления доверяемого соединения с LSASS. B итоге можно было бы использовать свои имя и пароль для создания нового сеанса входа, в маркер которого включены SID более привилегированных групп или пользователей (расширенные привилегии не распространяются за границы локальной системы в сети, потому что любое взаимодействие с другим компьютером требует аутентификации контроллером домена и применения доменных паролей).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности