19. Защита объектов. Маркеры доступа.

Унификация именования, предоставления в совместное использование и учета использования системных ресурсов уже дает достаточные основания для при­менения объектной модели в исполнительной системе NT; однако важнейшей причиной этого, является, обеспечение защиты.

Операционная система должна быть защищена от "нападений" сразу на нескольких фронтах. Защищенная многопользовательская система должна защищать файлы, память и другие ресурсы каждого пользователя от других пользователей. Она должна защищать собственные данные, файлы и память от пользовательских программ. Она должна отслеживать попытки обхода защиты и т. д. Министерство обороны США определило средства, наличие которых у ОС делает ее защищенной. Эти средства разделены на семь уровней защиты, причем каждый последующий более строг, чем предыдущий.

Для соответствия уровню С2, исходной цели для Windows NT, в ней долж­ны присутствовать следующие средства:

• Средство защищенной регистрации в системе требует, чтобы пользо­ватель идентифицировал себя посредством ввода уникального иденти­фикатора и пароля, прежде чем ему будет предоставлен доступ к системе.

• Селективный контроль доступа позволяет владельцу ресурса опреде­лять, кто имеет доступ к данному ресурсу и что они могут с ним делать. Владелец определяет это, назначая права доступа пользователю или группе пользователей.

• Аудит обеспечивает возможность обнаружения и регистрации важных событий, имеющих отношение к защите, или любой попытки создания, использования или удаления системных ресурсов. Для учета пользова­телей, выполнивших регистрируемое действие, используются их иден­тификаторы.

• Защита памяти предотвращает чтение информации, записанной кем-либо в память, после того как этот блок памяти был возвращен ОС. Перед повторным использованием память реинициализируется.

Механизмы обеспечения безопасности, предоставляемые системой, требу­ются не во всех случаях применения Windows NT. Поэтому система защиты по­зволяет системному администратору, например, упрощать процесс регистра­ции в системе, регулировать объем информации, помещаемой в журнал аудита, или отключать аудит совсем.

В тех случаях, когда предъявляются особые требования к безопасности, например, в военных организациях, необходим еще более высокий уровень за­щиты, чем тот, что исходно обеспечивается Windows NT. В связи с этим Windows NT рассчитана на дальнейшее развитие до уровня защиты В2, известного под названием " Полномочный контроль доступа" (Mandatory Access Control), когда каждому пользователю присваивается уровень полномочий и он не может пре­доставить доступ к защищенным ресурсам пользователям с недостаточным уровнем полномочий. Например, в секретных учреждениях правительства США одному пользователю может быть присвоен уровень полномочий "Секретно", а другому — "Совершенно секретно". Полномочный контроль доступа гарантиру­ет, что пользователь с уровнем полномочий "Совершенно секретно" не сможет предоставить первому пользователю доступ к какой-либо информации с гри­фом "Совершенно секретно", даже при помощи средств селективного контроля доступа. Кроме того, уровень В2 требует поддержки "отделений" (compart­ments), изолирующих группы пользователей друг от друга. Этот тип защиты удобен в таких областях, как торговля ценными бумагами, где неавторизован­ный доступ к информации о предложении акций или слиянии может вызвать конфликт интересов.

Система защиты Windows NT многогранна, однако, суть селективного контроля доступа и аудита (а в будущем и полномочного контроля доступа) состоит в защите объектов. Главная идея, лежащая в основе системы защиты Windows NT, — это создание шлюза, через который должен пройти каждый пользователь системных ресурсов. Так как все системные ресурсы, защита ко­торых может быть нарушена, реализованы как объекты, то таким шлюзом ста­новится диспетчер объектов. Чтобы удостовериться в целостности системы за­щиты Windows NT, нет необходимости тыкаться во все "закоулки" ОС; крити­ческие операции обеспечения защиты выполняются в одном центре.