Маркеры доступа
Чтобы контролировать, кто имеет право работать с объектом, система защиты должна быть уверена, что пользователь правильно идентифицирован. Таким образом, первая линия защиты в Windows NT — это требование, чтобы каждый пользователь зарегистрировался перед началом работы.
Неотъемлемая часть системы — защищенная подсистема, известная как подсистема защиты (security subsystem), отвечает за аутентификацию (authenticating) пользователей, т.е. за проверку того, что введенная пользователем при регистрации в системе информация совпадает с информацией, хранящейся в базе данных защиты. После того, как подсистема защиты определила, что регистрация аутентична, она создает объект, который остается постоянно связанным с пользовательским процессом. Этот объект называется маркером доступа (access token) и служит официальным удостоверением личности процесса, когда тот пытается использовать какой-либо системный ресурс. Пример маркера доступа показан на рис. 3-9.
Первый показанный на рисунке атрибут — это личный пользовательский идентификатор защиты (security ID), который обычно соответствует идентификатору, указываемому пользователем при регистрации. В больших организациях идентификатор защиты также может включать в себя название подразделения или отдела пользователя (например, ENGINEERING_MARYH).
Рис. 3-9. Пример маркера доступа.
Идентификаторы защиты групп создаются из списков идентификаторов пользователей. Второй атрибут на рис. 3-9 — это список групп, к которым принадлежит MARYH. Windows NT задает несколько стандартных идентификаторов групп, которые включены в маркер MARYH.
При попытке процесса открыть описатель объекта диспетчер объектов вызывает справочный монитор защиты. Справочный монитор защиты получает маркер доступа, связанный с процессом, и использует его идентификатор защиты и список групп, чтобы определить, имеет ли процесс право доступа к объекту.
Небольшое количество чувствительных к защите системных сервисов (таких как создание маркера), также защищены от использования. Атрибут привилегий перечисляет все такие сервисы, к которым имеет право обращаться пользователь. Большинство пользователей не имеет никаких привилегий.
В общем случае, пользователь, создавший объект, становится его владельцем и может решать, кто еще имеет доступ к объекту. Список контроля доступа (access control list, ACL) по умолчанию, хранящийся в маркере доступа, — это первоначальный список прав доступа, который присоединяется к создаваемым пользователем объектам. Атрибут "первичная группа" позволяет собирать идентификаторы защиты в группы для организационных целей. Это свойство присутствует в некоторых средах ОС, включая POSIX.
Теперь же обратимся к рис. 3-10, где изображены атрибуты и сервисы, применимые к объектам-маркерам доступа.
К сервисам создания, открытия и опроса добавляется еще сервис установки. Установка атрибутов объекта — это распространенный сервис, предоставляемый многими объектами исполнительной системы NT. Другие три сервиса предназначены для использования главным образом программами администрирования защиты.
Рис. 3-10. Объект-маркер доступа.