29. Пользовательские бюджеты
Модель безопасности Windows основывается на пользовательских учетных записях или бюджетах (user accounts). Администратор может создать любое количество пользовательских бюджетов и сгруппировать их удобным образом. С каждым пользовательским бюджетом связан уникальный идентификатор безопасности (security ID или SID). Пользовательские бюджеты и связанные с ними SID хранятся в базе данных пользовательских бюджетов. Существование двух одинаковых SID исключено. При удалении пользовательского бюджета удаляется также и его SID, поэтому даже при создании пользователя с таким же именем, его новый SID будет отличен от прежнего.
Прежде чем пользователь сможет что-либо сделать в системе, он должен зарегистрироваться.
При регистрирации в системе, Windows создает маркер безопасного доступа (Security Access Token). В его состав входят SID пользователя, SID всех групп, к которым пользователь принадлежит и права пользователя.
Когда пользователь пытается получить доступ к объекту, Windows сравнивает информацию, содержащуюся в маркере безопасного доступа со списком контроля доступа к объекту.
Программы, запускаемые пользователем, не должны получать к объектам больших прав доступа, чем имеет сам пользователь. Для отслеживания и управления правами доступа для программ Windows использует субъекты. Субъект - это комбинация маркера безопасного доступа пользователя и программы, действующей от лица пользователя. В архитектуре безопасности Windows существует два класса субъектов:
Простой субъект (security context) - это процесс, который получил контекст безопасности при регистрации в системе соответствующего пользователя.
Субъект - сервер (server context) - это процесс, реализованный в качестве защищенного сервера ( примером может являться подсистема Win32). Субъект-сервер может иметь в качестве клиентов другие субъекты.
Права пользователя (User Rights) - это правила, определяющие действия пользователя, которые он может произвести.
30. Объекты доступа
Атрибуты безопасности, присвоенные объекту, описываются дескриптором безопасности, содержащим следующую информацию:
Идентификатор безопасности владельца (owner SID), указывающий пользователя или группу, которые являются владельцами объекта. Владелец объекта может изменять право доступа к объекту.
Групповой идентификатор безопасности (group SID), используемый только подсистемой POSIX. Все остальные подсистемы Windows его игнорируют.
Избирательный список контроля доступа (discretionary access control list, ACL), идентифицирующий, какие пользователи и группы имеют (или не имеют) по отношению к объекту права доступа (и какие). Избирательными ACL управляет владелец объекта.
Системный список контроля доступа ACL, управляет генерацией системных событий аудита. Системными ACL управляют администраторы безопасности.
Список контроля доступа состоит из элементов контроля доступа (Access Control Elements). Существуют три типа АСЕ:
AccessAllowed - предоставляет доступ к объекту
AccessDenied - отклоняет доступ к объекту
SystemAudit - используется для ведения протокола событий
Когда пользователь пытается получить доступ к объекту, Windows сравнивает информацию безопасности, содержащуюся в маркере безопасного доступа пользователя, с информацией безопасности, в дескрипторе безопасности объекта.
На основании типа доступа, который пытается получить пользователь, для субъекта создается маска запрашиваемого доступа (desired access mask), которая обычно создается программой, с которой работает пользователь, сравнивается со списком контроля доступа к объекту.
Получение доступа к объекту
Рис.5.2