Миргородская 7сессия / Операционные системы / %D0%9E%D0%A1_%D0%A1%D0%93%D0%A2%D0%A3%20v5
.pdfраметры клиента, чтобы суметь оценить возможность доступа с правами кли-
ента. После обработки обращения сервер возвращается к своему собственно-
му состоянию.
Маркер доступа. На рис. 60, а показана общая структура маркера дос-
тупа, в который входят такие параметры.
Идентификатор защиты. Уникальным образом идентифицирует поль-
зователя в рамках всех машин сети. Идентификатор защиты, как правило, со-
ответствует регистрационному имени пользователя.
Идентификаторы защиты групп. Список групп, в которые входит пользователь. Группа — это просто набор идентификаторов пользователей,
который идентифицируется при контроле доступа как группа. Каждая группа обладает собственным идентификатором защиты. Доступ к объекту можно определять на основе группового идентификатора защиты, персонального идентификатора защиты или их комбинации.
Привилегии. Список системных сервисов, важных для безопасности к которым может обратиться данный пользователь. Примером является созда-
ние маркера. Другой пример — назначение привилегий резервирования.
Пользователям, обладающим этими привилегиями, разрешено пользоваться средствами создания резервных копий для резервного копирования файлов,
которые им нельзя читать. Большинство пользователей не обладают никаки-
ми привилегиями.
Владелец по умолчанию. Если процесс создает другой объект, в дан-
ном поле указывается владелец нового объекта. Чаще всего пользователем нового процесса является пользователь родительского процесса. Однако пользователь может указать, что по умолчанию пользователем любого про-
цесса, порожденного данным процессом, является идентификатор безопасно-
сти группы, к которой принадлежит пользователь.
Список контроля доступа по умолчанию. Это начальный список средств защиты, которые применяются к объекту, создаваемому данным пользователем. Впоследствии пользователь может изменить список контроля
191
доступа любого объекта, которым он владеет или который принадлежит
группе пользователя.
Идентификатор защиты |
|
|
|
|
(SID) |
|
|
|
|
Идентификатор защиты |
|
|
|
|
групп |
|
|
|
|
Привилегии |
|
Флаги |
|
Заголовок ACL |
Пользователь |
|
Владелец |
|
Заголовок ACE |
по умолчанию |
|
|
|
|
Список контроля |
|
Системный список контроля |
|
Маска доступа |
доступа по умолчанию |
|
доступа (SACL) |
|
|
а) Маркер доступа |
|
Список разграничительного |
|
Идентификатор защиты |
|
|
контроля доступа (DACL) |
|
(SID) |
|
|
б) дескриптор защиты |
|
Заголовок ACE |
|
|
|
|
Маска доступа |
|
|
|
|
Идентификатор защиты |
|
|
|
|
(SID) |
…
в) список контроля доступа
Рис.60. Структуры безопасности операционной системы Windows XP
Дескрипторы безопасности На рис. 60. показана общая структура дескриптора защиты, который
содержит в себе такие параметры.
Флаги. Определяют тип и содержимое дескриптора защиты. Флаги ука-
зывают на наличие (или отсутствие) системного списка контроля доступа и списка разграничительного доступа, на то, помещены ли эти списки в объект по умолчанию и какая адресация используется в указателях дескриптора: аб-
солютная или относительная. Относительные дескрипторы требуются для объектов, которые передаются по сети. Примером такого объекта является информация, передаваемая при удаленном вызове процедуры.
Владелец. Вообще говоря, владелец может выполнить с дескриптором защиты любое действие. В роли пользователя может выступать индивиду-
альный или групповой дескриптор защиты. Владелец имеет право изменять список разграничительного контроля доступа.
192
Системный список контроля доступа (System Access Control List — SACL). В этом списке указано, операции какого вида должны генерировать сообщения аудита. Чтобы выполнять операции чтения или записи с SACL
какого-либо объекта, приложение должно иметь соответствующие привиле-
гии в своем маркере доступа. Это нужно, чтобы предотвратить чтение не-
санкционированными приложениями системных списков контроля доступа
(в результате чего они смогут избежать создания записей аудита), а также за-
пись в них (что может привести к созданию слишком большого количества записей аудита, в которых затеряется запись о незаконной операции).
Список разграничительного контроля доступа (Discretionary Access Control List — DACL). Определяет, какие пользователи и группы могут по-
лучить доступ к данному объекту и для каких операций. Этот список состоит из записей контроля доступа (Access Control Entry — АСЕ).
Когда создается объект, процесс-создатель может в качестве владельца назначить этому объекту в его маркере доступа собственный идентификатор защиты или идентификатор защиты своей группы. Следовательно, любой процесс, которому предоставлено право изменять владельца объекта, может это делать, но с определенными ограничениями. Это ограничение нужно,
чтобы пользователь не смог замести следы после того, как он попытается предпринять какие-нибудь несанкционированные действия.
Рассмотрим подробнее структуру списков контроля доступа, так как они лежат в основе средства контроля доступа операционной системы W2K (рис. 61). Каждый список состоит из общего заголовка и переменного коли-
чества элементов контроля доступа. В каждом элементе указан индивидуаль-
ный или групповой идентификатор защиты, а также маска доступа, в которой определены права, которые должны быть предоставлены данному идентифи-
катору защиты. При попытке процесса получить доступ к объекту диспетчер объектов исполняющей системы Windows XP считывает в маркере доступа индивидуальные и групповые идентификаторы защиты, а затем просматри-
вает список разграничительного контроля доступа объекта. Если обнаружено
193
совпадение (т.е. если найден элемент контроля доступа, идентификатор за-
щиты которого совпадает с идентификатором защиты, обнаруженным в мар-
кере доступа), значит, этот процесс обладает правами доступа, установлен-
ными маской доступа данного элемента контроля доступа.
На рис. 61 показано содержимое маски доступа. В 16 младших знача-
щих разрядах указываются права доступа, применяющиеся к объектам опре-
деленного типа. Например, в нулевом разряде объекта-файла задается доступ по чтению, а в нулевом разряде объекта-события задается доступ для запроса статуса события.
Право на удаление
Контроль чтения
Запись DAC
Разрешение изменения владельца
Разрешение
синхронизации
Общие права доступа
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандартные |
|
|
Специфические права доступа |
|
||||||||
|
|
|
|
|
|
|
|
права доступа |
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
Доступ к системному |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
списку контроля доступа |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
Максимальное разрешение |
|
|
|
|
|
|
|
|
|||||||
Полный общий доступ Общий доступ для выполнения Общий доступ для записи Общий доступ для чтения
Рис. 61. Маска доступа В 16 старших разрядах маски содержатся биты, применимые к объек-
там всех видов.
Синхронизация. Разрешает синхронизацию выполнения с некоторым связанным с данным объектом событием. В частности, объект может быть использован в функции ожидания.
Разрешение на изменение владельца. Позволяет программе изменять владельца объекта. Иногда это оказывается полезным, так как владелец объ-
194
екта всегда может менять защиту своего объекта (владельцу нельзя отказы-
вать в доступе для записи параметров избирательного контроля доступа).
Разрешение на изменение списка избирательного контроля доступа. По-
зволяет приложению изменять DACL, изменяя таким образом защитуобъекта.
Контроль чтения. Позволяет приложению обращаться к полям в деск-
рипторе защиты, в которых указан владелец данного объекта и его DACL.
Разрешение на удаление. Позволяет приложению удалять объект.
Кроме того, в старшей половине маски доступа содержатся общие пра-
ва доступа четырех видов. С помощью этих битов легко устанавливать спе-
цифические права доступа к различным объектам других типов. Предполо-
жим, например, что приложению нужно создать объекты нескольких видов таким образом, чтобы пользователи имели права доступа по чтению ко всем объектам, даже если само понятие “чтение” несколько изменяется в зависи-
мости от типа объекта. Если бы приложению нужно было защищать каждый объект каждого вида, не используя биты общего доступа, оно должно было бы для объектов каждого вида создавать свой элемент контроля доступа, а
затем аккуратно передавать его в качестве параметра при создании каждого объекта. Удобнее создать один элемент контроля доступа, в котором была бы выражена общая концепция разрешения чтения, а затем просто применять этот элемент контроля доступа к каждому создаваемому объекту. В этом и состоит предназначение битов общего доступа. Перечислим эти биты:
Generic_all — позволяет осуществлять все виды доступа; Generic_execute — позволяет запускать исполняемые файлы; Generic_write — позволяет осуществлять доступ для записи; Generic_read — позволяет осуществлять доступ для чтения.
Значения битов общего доступа также влияют на стандартные типы доступа. Например, для файлового объекта бит Generic_read отображается в стандартные биты Read control и Synchronize, а также в специфические биты
File Read Data, File_Read_Attributes и File_Read_EA.
195
Два оставшихся бита маски доступа имеют специальное значение. Бит
Access System Security позволяет изменять контроль аудита и аварийного сигнала данного объекта. Однако недостаточно установить этот бит в эле-
менте контроля доступа для идентификатора защиты. Кроме того, в маркере доступа процесса, обладающего этим идентификатором защиты, должна быть разрешена соответствующая привилегия.
Наконец, бит Maximum_Allowed — это не совсем бит доступа. Он изме-
няет алгоритм, по которому операционная система W2K сканирует список вы-
борочного контроля доступа данного идентификатора безопасности. Обычно операционная система W2K просматривает список выборочного контроля доступа, пока не дойдет именно до того элемента контроля доступа, который предоставляет (бит установлен) или запрещает (бит не установлен) запраши-
ваемый процессом доступ, или пока она не дойдет до конца списка (в этом случае доступ запрещен). Бит Maximum_Allowed позволяет владельцу объекта определять набор прав доступа, представляющий собой максимум того, что может быть позволено данному пользователю. Помня об этом, предположим,
что у приложения нет информации обо всех выполняемых над объектом опе-
рациях, разрешение на которые ему нужно будет просить на протяжении сеан-
са работы. При выполнении запроса используются три возможности.
1. Попытка открыть объект для всех возможных видов доступа. Недос-
таток этого подхода состоит в том, что в доступе может быть отказано, даже если приложение обладает всеми правами доступа, которые нужны для этого сеанса.
2.Открытие объекта только для определенных видов доступа. При этом
вобъекте для каждого типа запроса открывается новый дескриптор. В боль-
шинстве случаев этот метод является предпочтительным, потому что при его использовании не бывает отказов в доступе без необходимости и не предос-
тавляется больше доступа, чем нужно. Однако он требует дополнительных накладных расходов.
196
3.Попытка открыть объект для доступа, осуществляемого в такой мере,
вкакой это позволяет идентификатор защиты. Преимущество такого метода
втом, что пользователь не получит "искусственного" отказа в доступе. Одна-
ко при этом приложение может иметь больший доступ, чем требуется. Эта ситуация может скрывать имеющиеся в приложении ошибки.
Важная особенность системы безопасности операционной системы
W2K состоит в том, что приложение может использовать структуру безопас-
ности этой операционной системы для объектов, заданных пользователем.
Например, сервер базы данных мог бы создать свои собственные дескрипто-
ры защиты и присоединять их к блокам базы данных. В дополнение к обыч-
ным ограничениям при доступе для чтения/записи сервер может позаботить-
ся о защите таких специфических операций, выполняющихся в базе данных,
как прокрутка результирующего множества или выполнение объединения.
На сервер может быть возложена ответственность по определению значения особых прав и выполнению проверок доступа. Однако эти проверки будут выполняться в обычном контексте с использованием системных учетных за-
писей пользователей/групп пользователей и контрольных журналов. Расши-
ряемая модель безопасности может оказаться полезной при реализации внешних файловых систем.
197
6. СЕТЕВЫЕ ВОЗМОЖНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ
6.1. Аппратаное обеспечение локальных сетей
Cети подразделябт на локальные и глобальные. Локальные сети объе-
диняют некоторое количество компьютеров в пределах одного или несколь-
ких зданий. Такие сети иногда называют интранет. Глобальные сети подра-
зумевают соединение различных локальных сетей в одну общую сеть, назы-
ваемую Интернет.
Компьютерные сети позволяют объединить информационные ресурсы,
находящиеся на разных компьютерах, независимо от разделяющего их рас-
стояния. В зависимости от степени удаленности компьютеров, составляющих сеть, то есть их физического расположения, различают: локальные, корпора-
тивные и глобальные сети [1].
Локальные сети предназначены для обмена информацией между ком-
пьютерами, расположенными на небольшом расстоянии друг от друга, в пре-
делах одного здания. Локальная сеть — это объединение компьютеров, рас-
положенных на небольшом расстоянии друг от друга.
Локальные сети позволяют:
- совместно использовать аппаратные ресурсы (периферийные устрой-
ства, накопители); - совместно использовать программные ресурсы (сетевые версии при-
кладного программного обеспечения);
-создавать и совместно использовать информационные ресурсы для работы пользователей над общими задачами;
-централизовать усилия по информационной безопасности.
По способу связи компьютеров в локальной сети различают: одноран-
говые сети и сети с выделенным сервером.
В одноранговых сетях используется технология «равный к равному».
Любой компьютер может использовать ресурсы другого подключенного к нему компьютера. Иначе говоря, любой компьютер может выступать и как
198
сервер, и как клиент. В одноранговых сетях работа приложений на компью-
тере ухудшается, когда его ресурсами пользуются другие компьютеры сети.
Сети с выделенным сервером в этом смысле гораздо стабильнее и произво-
дительнее.
В качестве каналов связи в локальных сетях используется электриче-
ский кабель [24]. Сопряжение компьютеров с каналами связи обеспечивает специальное коммуникационное оборудование.
Существует мнение, что если ты хоть раз поработал в составе сети, то работа без подключения к сети становиться болезненно тяжело. Да действи-
тельно, так, например наши компьютеры объединены в локальную сеть, под-
ключенную с Интернет. Стоит произойти какой-нибудь неприятности с Ин-
тернетом, как работать становиться значительно тяжелее. Казалось бы, поче-
му? Ведь по большому счету в сети мы видим просто чужие диски, иногда пользуемся вычислительными ресурсами удаленного процессора. Почему бы ни воспользоваться собственными дисками и мощностью собственного про-
цессора. Все дело в информации. Ведь сегодня сеть это огромная база зна-
ний, созданная усилиями каждого имеющего желание поделиться с другими своими знаниями и умениями. С одной стороны, это превращает сеть в некую
«помойку» где из огромного объема информации приходится извлекать по-
лезную информацию, с другой стороны нет ни одного другого электронного или любого off-line источника, способного дать ответ на абсолютно любой вопрос.
Локальные вычислительные сети (ЛВС) позволяют объединять компьютеры, расположенные в ограниченном пространстве. Для локальных сетей прокладывается специализированная кабельная система, и положение возможных точек подключения абонентов ограничено этой кабельной систе-
мой. Локальные сети - LAN (Local-Area Network) - являются элементами бо-
лее крупномасштабных образований - CAN (Campus-Area Network - кампус-
ная сеть, объединяющая локальные сети близко расположенных зданий),
199
MAN (Metropolitan-Area Network - сеть городского масштаба), WAN (WideArea Network - широкомасштабная сеть), GAN (Global-Area Network - гло-
бальная сеть). Наконец, 'сетью сетей' называют глобальную сеть Интернет.
Кабельные системы локальных сетей Традиционной и наиболее широко распространенной физической сре-
дой передачи информации в локальных сетях являются кабели. Альтернати-
вой кабелю в локальных сетях является связь с помощью инфракрасного из-
лучения и радиосвязь, но эти виды связи по ряду причин пока что использу-
ются весьма ограниченно (за исключением WiFi). Все многообразие кабелей,
применяемых для передачи информации, в первую очередь разделяется на электрические, чаще всего медные (Copper cable), и оптоволоконные (Fiberoptic cable), кратко именуемые Fiber. Слово Fiber (волокно) иногда заменяют транслитерацией "фибра", однако это не очень удачно - не так давно из фиб-
ры (волокнистого материала) делали чемоданы и другие изделия.
Кабельные системы первых сетей, получивших широкое распростране-
ние и поныне активно развивающихся - Ethernet и Token Ring, существенно различались как по типу кабеля, так и по топологии. В классической сети
Ethernet, имеющей шинную логическую и физическую топологию, использо-
вался коаксиальный кабель с импедансом 50 Ом. В сети Token Ring логиче-
ское кольцо было реализовано на физической звездообразной топологии и кабеле типа экранированная витая пара (STP). Некогда популярные сети
ARCnet использовали коаксиальный кабель с иным значением импеданса,
нежели Ethernet, и более гибкую физическую топологию (комбинацию шины и звезды). Пространственные и топологические ограничения этих сетей су-
щественно различались, а кабельное хозяйство было жестко привязано к вы-
бранной сетевой технологии, так что смена технологии требовала дорого-
стоящей "кабельной революции". Со временем эти сетевые архитектуры раз-
вивались таким образом, что различия их кабельных систем стали стираться.
В технологии Ethernet логическую шину стали реализовать на физической звезде с хабом в центре, а коаксиальный кабель заменили на неэкранирован-
200