- •Лекции «Операционные системы» 4 семестр, 2 курс Содержание
- •Лекция №1 История развития ос
- •Операционная система. Общая характеристика.
- •Лекция №2 Требования к ос
- •Ресурсы, виды ресурсов. Управление памятью. Виртуальная память.
- •Методы распределения памяти
- •Лекция №3
- •Cash-ирование данных
- •Понятие процесса. Управление процессами. Синхронизация процессов. Тупики и способы борьбы с ними.
- •Лекция №4 Алгоритмы планирования процессов
- •Средства синхронизации при взаимодействии процессов
- •Файловые системы
- •Лекция №5 Общая модель файловой системы
- •Файловая система fat (таблица распределения файлов)
- •Структура
- •Формат кода каталога
- •Файловая система hpfs
- •Лекция №6
- •Файловая система ntfs(кратко)
- •Операционная система ms-dos
- •Лекция №7 Прерывание. Обработка прерываний
- •Лекция №8
- •Программирование последовательного порта
- •Лекция №9
- •Планирование процесса
- •Многоуровневые очереди
- •Лекция №10
- •Лекция №11 Архитектура Windows nt
- •Лекция №12 Процессы и нити
- •Лекция №13 Алгоритмы планирования процессов и нитей
- •Процесс
- •Распределение процессорного времени между потоками
- •Лекция №14
- •Лекция №15
- •Журнал аудита
- •Политика аудита
- •Лекция №16
- •Настройка и конфигурация windows nt
- •Лекция №17
- •Структура сетевой ос
- •Лекция №18
- •Лекция №19
- •Лекция №20 Динамически подключаемая библиотека (dynamic_link_library dll)
- •Лекция №21 Внедрение dll
Лекция №15
Каждый ………. включает маску доступа, которая…………………………………………………………………………………………………………………………….
Каждый тип объекта может иметь до 16 специфических типов доступа.
Для файлов:
-
Чтение данных
-
Запись данных
-
Добавление данных
-
Выполнение
-
Чтение атрибутов
-
Запись атрибутов
Для синхронизации – SYNCHRONIZE.
Для назначения владельца записи – WRITE_OWWER.
Для предоставления или отклонения доступа на запись для контрольной ACL – WRITE_PAC.
Для предоставления или отклонения доступа чтения дескрипторов или владельца – READ_CONTROL.
Для предоставления или отклонения доступа на удаление – DELETE.
Запрашиваемая маска доступа создается для субъекта на основании типа доступа, который пользователь пытается получить. Сравнивается с ACL объекта.
Каждый ACE в ACL оценивается следующим образом:
-
Идентификатор безопасности ACE сравнивается с набором идентификатором безопасности в МД пользователя. Если нет соответствия, данные ACE пропускаются. Дальнейшая обработка основывается на типе ACE. ACE …………… находятся раньше, чем ACE……….
-
В случае отклонения доступа система проверяет запрашиваемую маску доступа на наличие содержания. READ_CONROL или WRITE_PAC. Если так, система проводит определение, является ли запрашиваемый пользователь владельцем объекта. Если да – доступ предоставляется.
-
Для ACE ……………………………………….доступ в маске ACE сравнивается с запрашиваемой маской доступа. Если одинаковый доступ присутствует обеих масках, дальнейшей обработки не происходит и доступ откланяется. Если нет, обработка продолжается со следующей запрашиваемой ACE.
-
Для ACE ……………….доступ в CAE сравнивается с перечисленным запрашиваемой маской доступа. Если все доступы в запрашиваемой маске доступа совпадает с ACE, обработка продолжается и доступ предоставляется. Далее следующая обработка запрашиваемой ACE.
NT позволяет отслеживать события, связанные с ОС или приложениями. Контролирование события распознается системой по имени вызвавшегося события в модуле.
В дополнение в отображение событий по идентификаторам, журнал безопасности перечисляет их по следующим категориям:
-
Account Management (управление пользователем или группой; данное событие описывает изменение БД бюджета пользователя)
-
Detailed Inarching (отслеживание процесса)
-
Logon/ logoff (процесс входа / выхода из системы; отслеживаются успешные и неуспешные попытки)
-
Object Access (доступ к объекту; успешный или неуспешный доступ к объекту)
-
Policy Change (изменение политики безопасности, изменение БД политики безопасности (назначение привилегий))
-
Privilege User (использование прав пользователя; описывает успешные и неуспешные использования попытки привилегий)
Пример 1:
Пользователь имеет идентификатор User 1. Пытается получить доступ на чтение и запись к файлу с именем file 1. МД в User 1 содержит информацию о том, что он является пользователем двух групп: Users и Friends. Users и Friends имеют права полного доступа к file 1.
NT делает:
-
Читает маску доступа для User 1 и определяет, что он пытается получить доступ на чтение и запись.
-
NT читает ACE Access Allowed для User 1 и находит соотношение с разрешением чтения в запрашиваемой маске доступа.
-
NT читает ACE Access Allowed для Friends и находит соотношение с разрешением записи в запрашиваемой маске доступа.
Пример 2:
User 1 пытается получить доступ на чтение и запись к файлу с именем file 1. То же самое, только Friends имеет право только на чтение.
NT делает:
-
Читает маску доступа для User 1 и определяет, что он пытается получить доступ на чтение и запись.
-
NT читает ACE Access Denied, которая отклоняет доступ на запись для группы Friends. После этого обработка ACE завершается, доступ не предоставляется.
Пример 3:
Если User 1 является владельцем объекта, при тех условиях доступ предоставлен не будет, но будет предоставлен доступ READ_CONTROL и WRITE_OWWER.