13. Дескрипторы безопасности объекта. Dacl и acl.

Начиная с nt появилась возможность разграничить доступ юзеров к файлам и каталогам на логических дисках с системой NTFS. Доступ к объектам контролируется благодаря дескрипторам безопасности. Для объекта в нем указывается тип или идентификатор безопасности владельца объекта, дискреционный системный список объекта безопасности (DACL). В нем перечисляются права юзеров и групп на доступ к компьютеру. Права каждой учетки содержатся в отдельной записи контроллера доступа (ACE). Системный список контроля доступа (SACL) определяет какие записи будут генерироваться системой. Дискреционный системный список контроля отличается типом записи и назначением. Типы записей:

1. Доступ разрешен

2. Доступ запрещен

Записи о запрещении в начале и отклоняют доступ к объекту для юзера или группы, на последующие записи не обращают внимания. В системном списке указываетсяя записи для журнала. В каждой отдельной записи указывается тип записи, набор флагов, определяющих режим наследования данной записи, маска доступа учетки в которой она применяется. Маски доступа содержат ряд битов прав доступа NTFS. Они еще называются специальным разрешением. С помощью проводника удобно пользоваться стандартным средством - набор расширений.

Начиная с винды 2000, необходимость в этом отпала так как добавлен механизм точечного управления доступом. За счет возможности явного задания записи разрешить или отказать с помощью которых можно добавить или отнять отдельные разрешения в отдельных пунктах. В винде управление доступом возлагается не на админа а на владельца. Именно он, обычно юзер полностью распоряжается и определяет, кому предоставить доступ, кому нет. Это обеспечивает возможность защиты конф данных от несанкционированного доступа и защищает администратора и облегчает ему жизнь. Админ же управляет системным списком контроля доступа, которые определяет как протоколируется доступ к объекту. Он может проконтролировать этот доступ даже когда у него нет доступа к самому файлу.

14. Организация контроля доступа к объекту.

При попытке процесса пользователя получить доступ к компьютеру монитор безопасности сравнивает информацию безопасности с маркером доступа с информацией в дескрипторе безопасносте объекта. При этом каждая запись макрос обрабатывается следующим образом:

1. Сид юзера сравнивается со всеми сидами маркера доступа и если совпадения нарушены, то данная запись пропускается.

2. В случае наличия совпадения для каждой запрещающей записи типы доступа записи сравниваются с маской запроса на доступ. Если какой то тип доступа есть в обеих масках, обработка списка прекращается, доступ запрещается.

3. Если доступ запрещен, проверяется наличие маски запроса на доступ READ-control, WRITE-DAC. Если запрашиваются только они и юзер является владельцем, то доступ разрешается.

Для разрешающей записи типы доступа из записи сравниваются с маской запроса на доступ. Если все запрашиваемые типы разрешены, доступ к объекту предоставляется. Иначе, разрешение на недостающие типы доступа ищут в последующих записях. Если не все находятся после просмотра списка, то доступ запрещается.