Использованные теоретические сведения

Петербургский национальный политехнический университет

Факультет технической кибернетики

—————————

Кафедра информационной безопасности компьютерных совокупностей

ОТЧЕТ

по лабораторной работе № 10

«Контроль доступа»

По курсу «Базы информационной безопасности»

Студент: Виноградова М.М.
гр. 1088/4
Учитель: Калинин М.О.

Петербург

Формулировка задания

Ознакомление со структурой и принципами работы механизма контроля доступа на примере управления правами пользователей довольно файловых ресурсов в ОС Windows.

Использованные теоретические сведения

Совокупность контроля доступа в ОС Windows отличается высокой степенью гибкости, которая достигается за счет разнообразия субъектов и объектов доступа, a кроме этого детализации операций доступа.

Все главные информационные ресурсы сохраняются в древовидных иерархических структурах, элементами которых являются объекты-ветви (к примеру, каталоги) и объекты-страницы (к примеру, файлы). Контроль доступа для объектов любого типа выполняется централизованно c помощью компонента ОС — монитора безопасности (англ. Security Reference Monitor), трудящегося в привилегированном режиме. Централизация функций контроля доступа повышает

эффективность средств защиты информации ОС.

Для системы безопасности ОС Windows характерно наличие громадного количества разных предопределенных (встроенных) субъектов доступа — как отдельных пользователей, так и групп. Так, в совокупности имеются стpоенные пользователи, такие как Администратор (Administrator), Гость (Guest), System, a кроме этого группы Пользователи (Users), Администраторы (Administrators), Все (Everyone) и т.д. Встроенные группы и пользователи наделены некоторыми заданными по умолчанию полномочиями, что облегчает администратору работу по созданию действенной совокупности разграничения доступа. При добавлении нового пользователя администратор решает, к какой группе либо группам его отнести. Администратор может создавать новые гpуппы и

устанавливать права как встроенным, так и новым пользователям и группам для реализации политики распределения прав достyпа.

Права доступа — множество операций, каковые определяются для субъектов доступа (к примеру, пользователей, групп) по отношению к объектам доступа (к примеру, файлам, каталогам, принтерам, секциям памяти). Примерами прав являются чтение файла, удаление каталога, печать документа. Права, эти группе, машинально предоставляются ее участникам, разрешая администратору разглядывать множество

пользователей как учетную единицу и минимизировать собственные действия.

При входе пользователя в совокупность для него создается так называемый маркер доступа (access token), включающий идентификаторы и идентификатор пользователя всех групп, в каковые он входит. B маркере кроме этого хранится перечень привилегий пользователя, учитываемых при исполнении системных действий.

Всем именованным объектам доступа, включая файлы, потоки, процессы и пр., при создании присваивается дескриптор безопасности. Дескриптор безопасности содержит перечень контроля доступа (Access Control List, ACL) (рис. 10.1). Обладатель объекта, в большинстве случаев пользователь, что его создал, владеет правом избирательного управления доступом к объекту, неизменно может изменять ACL объекта дабы разрешить либо не разрешить вторым пользователям осуществлять доступ к объекту.

направляться несложном представлении при запросе процессом некоей операции доступа к объекту управление передается монитору безопасности, что сравнивает идентификaторы групп и пользователя пользователей из маркера доступа c идентификаторами, хранящимися в элементах ACL объекта. Перечень контроля доступа складывается из многих элементов — записей контроля доступа (Access направляться Епнгу, АСЕ). Процесс в течение собственного существовaнии может иметь доступ ко многим объектам, a количество активных процессов и контролируемых АСЕ в любой момент времени большое, исходя из этого проверка выполняется лишь при каждом открытии, a не при каждом применении объекта.

Разглядим работу механизма контроля доступа на примере объектов файловой совокупности ОС Windows. Управление доступом пользователей к файловым объектам вероятно лишь в рамках разделов диска, в которых установлена фaйловaя совокупность NTFS. доступ к файлам и каталогам контpолируется за счет установки соответствующих прав групп и пользователей.

Перечень ACL, сопоставленный объекту, определяет множество прав пользователей совокупности к этому объекту. Любая из входящих в ACL запись возможно одного из двух типов: разрешающая и запрещающая. В
зависимости от типа АСЕ определяются разрешения либо запреты к

объекту. В случае если АСЕ выяснена для группы, она считается определенной

для всех участников группы. В рамках одного ACL смогут быть заданы

пара АСЕ, определяющих права одного пользователя либо группы

(к примеру, разрешающая пользователю чтение, разрешающая группе пользователя чтение и запись и запрещающая пользователю удаление), каковые в общем случае смогут быть противоречивы. В связи c этим производится вычисление действенных прав, определяемого на множестве АСЕ.

Метод вычисления множества действенных прав имеет форму:

1.)Из всех разрешающих АСЕ для разрешённого пользователя составить рaзрешенное множество прав, которое возможно безлюдным множеством.

2.)Из всех запрещающих АСЕ для разрешённого пользователя составить запрещенное множество прав, которое мажет быть безлюдным множеством.

З.) Результирующее множество прав определяется методом вычитания

множества запрещенных прав из множества разрешенных прав.

Так, запрещающие АСЕ владеют громадным приоритетом, чем разрешающие. В случае если для пользователя либо группы не установлено прав, то доступ запрещен. В случае если для пользователя либо группы не выяснен ACL, то это эквивалентно разрешению всех видов доступа.

Чтобы изменять перечень доступа объекта нужно или иметь право доступа Изменение разрешений (Change Permissions), или быть владельцем объекта.

На вкладке Безопасность в особенностях объекта представлен упрощенный интерфейс управления перечнем контроля доступа. По окончании нажатия на кнопку Дополнительно появляется окно дополнительных параметров безопасности, в котором кроме этого возможно изменять обладателя файла, более тонко настраивать перечень контроля доступа, включая наследование прав и приобретать для конкретного пользователя перечень

разрешения, действующих на файловый объект.

Результаты работы

But what is the Fourier Transform? A visual introduction.


Также читать:

Понравилась статья? Поделиться с друзьями: