- •13.1.1. Стисло про історію створемия системи
- •13.1.2. Відповідність вимогам стандартів безпеки
- •13.2. Архітектура системи 13.2.1. Основні концепції
- •13.2.2. Компоненти системи захисту
- •13-3. Розмежування доступу
- •13.3.1. Основні принципи реалізації
- •13.3.3. Об'єкти доступу Windows
- •13.3.4. Стандартні настроювання прав доступу
- •13.3.5. Ідентифікація й автентифікацІя
- •13.3.6. Реалізація дискреційного керування доступом
- •13.4. Аудит
- •13.5. Аналіз причин уразливостей системи Wlndows
13.3.3. Об'єкти доступу Windows
На відміну від UNIX, усі об'єкти Windows є об'єктами доступу. Доступ суб'єкта до будь-якого об'єкта може бути довільним чином обмежений. У Windows існує ієрархія типів об'єктів, причому операції, визначені для певного типу об'єктів, успадковують об'єкти всіх підтипів цього типу.
Ми зазначимо в цьому підрозділі лише стандартні типи об'єктів доступу, що їх підтримує Windows [91].
♦ Файлові об'єкти, до яких належать:
♦ файли;
+ дискові каталоги;
♦ пристрої — об'єкти, які використовують для взаємодії програм із драйверами фізичних і логічних пристроїв;
♦ канали (Pipes) об'єкти, які використовують для організації взаємодії процесів;
+ поштові скриньки (Mailsfets) — об'єкти, що використовують для асинхронного передавання повідомлень між процесами. 4 Каталоги об'єктів (Object Directories) — об'єкти, які містять у собі інші об'єкти. На відміну від дискових каталогів, каталоги об'єктів можуть містити в собі будь-які об'єкти. Каталоги об'єктів є тимчасовими об'єктами і зберігаються лише в оперативній пам'яті.
♦ Ключі реєстру (Registry Keys) — окремі записи системного реєстру Windows (ієрархічної бази даних що містить усю інформацію щодо інсталяції та настроювання системи і прикладних програм).
♦ Процеси — екземпляри програм, що виконуються в поточний момент на цьому комп'ютері.
♦ Потоки або нитки Threads) — низки машинних команд, що послідовно виконуються в поточний момент на цьому комп'ютері. Один процес може містити в собі кілька потоків, що виконуються паралельно. У Windows планування процесорного часу здійснюють саме для потоків.
♦ Диспетчер сервісів (Service Control Manager) — об'єкт Windows, який використовують для керування сервісами.
4 Сервіси (Services) — програмні модулі Windows, керування якими здійснює диспетчер сервісів. Сервіси Windows дуже подібні до драйверів, і керування ними здійснюється аналогічно. Але на відміну від драйверів сервіси виконуються в режимі користувача, а не ядра.
♦ Об'єкти керування вікнами (Windows Management Objects):
♦ робочі столи (Desktops) — сукупності вікон, що взаємодіють між собою; вікна різних робочих столів не можна водночас відобразити на екрані одного комп'ютера;
» віконні станції (Window Stations) — сукупності робочих столів; на різних віконних станціях можуть одночасно працювати кілька користувачів.
♦ Порти (Ports) - об'єкти, які використовують під час передавання повідомлень між процесами.
4- Секції поділюваної пам'яті (Shared Memory Sections), — області пам'яті, що поділяються між кількома процесами.
4- Символьні посилання (Symbolic Links) — об'єкти, що дають можливість створювати синоп'ши для імені об'єкта.
Маркери доступу (Access Tokens) — об'єкти, що містять інформацію про користувачів і псевдокористувачів, які працюють у системі. '
Об'єкти синхронізації:
♦ події (Evcnts) — об'єкти, що використовують за асинхронного звернення
до файлових систем і пристроїв;
пари лодіЙ (Event Pairs) — об'єкти, що використовують під час передавання повідомлень від одного процесу до іншого;
семафори (Semaphores) — об'єкти, які використовують задля обмеження кількості одночасних звернень різних потоків до одного об'єкта операційної системи;
м'ютекси (Mutexes) — об'єкти, що використовують для виключення одночасного доступу кількох потоків до одного об'єкта операційної системи.
Файли, дискові каталоги та ключі реєстру є постійними об'єктами Іможуть зберігатися на дисках комп'ютера. Решта об'єктів є тимчасовими і зберігаються лише в оперативній пам'яті. Об'єкти, які можуть містити інші об'єкти, а саме дискові та каталоги об'єктів, а також ключі реєстру, називають контейнерами.