- •2. Структура файлу boot.Ini, його призначення та використання.
- •3. Параметри запуску ос Windows.
- •4. Фази завантаження ос Windows та їх характеристика.
- •6. Завершення роботи ос Windows.
- •7. Особливості завантаження ос w7. Редактор bcd.
- •8. Роль bcd та диспетчера завантажень ос w7.
- •9. Вибір ос для завантаження та його особливості.
- •10. Реєстр ос Windows. Його призначення та використання.
- •11. Основні ключі реєстру, їх структура та використання.
- •12. Способи доступу до вмістимого реєстру та їх характеристика.
- •13. Підсистема безпеки. Сукупність вимог до ос.
- •14. Користувачі та групи. Створення та управління.
- •15. Профілі користувачі – складові частини та взаємодія.
- •16. Ідентифікатор безпеки та його використання. Ідентифікатори захисту
- •Маркери
- •Уособлення
- •Обмежені маркери
- •Дескриптори захисту і керування доступом
- •Визначення прав доступу
- •17. Мережеві моделі. Доменна модель.
- •18. Мережеві моделі. Модель робочих груп.
- •19. Система Active Directory та її загальна характеристика.
- •20. Роль dns та ldap в роботі Active Directory.
- •21. Домени у Windows та їх особливості. Створення доменів.
- •22. Процеси та потоки в Windows. Загальна характеристика.
- •23. Етапи створення потоків, структури даних, змінні ядра і об’єкти.
- •25. Основні етапи створення процесу.
- •26. Поняття про кванти і пріоритети, їх застосування.
- •27. Управління пам’яттю. Компоненти диспетчера памяті.
- •28. Захист памяті, основні атрибути.
- •29. Структура адресного простору.
- •30. Формальні мови та способи їх визначення.
- •31. Форми Бекуса-Наура: бнф та рбнф
- •32. Граматики Хомського. Загальна характеристика та використання.
- •33. Розпізнавачі та їх складові частини.
- •34. Скінченні автомати, складові частини та їх характеристика.
- •35. Огляд процесу компіляції. Типи компіляторів.
- •37. Загальна схема мовного процесора та її аналіз.
- •38. Генерація машинного коду та його оптимізація.
- •39. Поняття про резидентні програми і драйвери
- •42. Масиви powershell.
- •43. Арифметичні оператори ПауерШелл.
- •44. Оператори порівняння та логічні оператори.
- •45. Управляючі оператори і оператори циклу.
- •46. Функції.
- •47. Рекурсивні функції.
- •48. Використання фільтрів.
- •49. Сценарії.
- •50. Регулярні вирази.
16. Ідентифікатор безпеки та його використання. Ідентифікатори захисту
Для ідентифікації об'єктів, що виконують в системі різні дії,Windows 2000 використовує не імена (які можуть і не бути унікальними), а ідентифікатори захисту (security identifiers, SID). SID є у користувачів, локальних і доменних груп, локальних комп'ютерів, доменів та членів доменів. SID представляє собою числове значення змінної довжини. У текстовій формі кожен SID починається з префікса S, за яким слідують групи чисел, розділені дефісами, наприклад:
S-1-5-21-1463437245-1224812800-863842198-1128
У цьому SID номер версії дорівнює 1, код агента ідентифікатора - 5 (Winows 2000), далі йдуть коди чотирьох субагентів і один RID в кінці (1128).
Маркери
Для ідентифікації контексту захисту процесу або потоку SRM використовує об'єкт, який називається маркером доступу. У контекст захисту входить інформація, що описує привілеї, облікові записи і групи, зіставлені з процесом або потоком. Маркер може бути основним (primary token) (ідентифікує контекст захисту процесу) і уособлення (impersonation token) (застосовується для тимчасового запозичення потоком іншого контексту захисту - зазвичай другого користувача).
Уособлення
Уособлення (impersonation) - потужний засіб, часто використовується в захисті Windows 2000. Уособлення також застосовується в моделі програмування «клієнт-сервер».
Є два способи уособлення. Перший з них запобігає доступ сервера до привілеїв або групам клієнта на час уособлення. А другий свідчить, що всі зміни, що вносяться клієнтом у свій контекст безпеки, відбиваються і на сервері, який уособлює цей клієнт.
Обмежені маркери
У Windows 2000 введений маркер нового типу - обмежений (restricted token). Обмежений маркер створюється на базі основного або уособлює з допомогою функції CreateRestrictedToken і є його копією, в яку можна внести наступні зміни:
видалити деякі елементи з таблиці привілеїв маркера;
позначити SID-ідентифікатори маркера атрибутом перевірки лише на заборону (deny-only);
позначити SID-ідентифікатори маркера як обмежені.
Дескриптори захисту і керування доступом
Структура даних, яка зберігає цю інформацію, називається дескриптором захисту (security descriptor). Дескриптор захисту включає наступні атрибути:
Номер версії. Версія моделі захисту SRM, використана для створення дескриптора
Прапори. Необов'язкові модифікатори, що визначають поведінку або характеристики дескриптора
SID власника. Ідентифікатор захисту власника
SID групи. Ідентифікатор захисту основної групи для даного об'єкту
Список управління виборчим доступом (discretionary access control list, DACL). Вказує, хто може отримувати доступ до об'єкта й який.
Системний список управління доступом (system access-control list,SACL). Вказує, які операції і яких користувачів потрібно реєструвати в журналі аудиту безпеки.
Визначення прав доступу
Для визначення прав доступу до об'єкта використовується два алгоритми:
алгоритм, що порівнює запитані права з максимально можливими для даного об'єкту і експортований в призначений для користувача режим у вигляді Win32-функції GetEffectiveRigbtsFromAcl;
алгоритм, який перевіряє наявність конкретних прав доступу і активізований через Win32-функцію AccessCtoech miwAccessCbeckByType.