Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Ответы ОС.docx
Скачиваний:
45
Добавлен:
22.09.2019
Размер:
3.18 Mб
Скачать

68. Участник системы безопасности, проверка подлинности и авторизация, структура идентификатора безопасности в Windows. (Лекция 14)

Участник системы безопасности (security principal) – объект, с которым связан идентификатор безопасности (security identifier, SID), используемый при определении возможности доступа к ресурсам. Идентификатор присваивается участнику в момент создания. Два типа участников: - учетные записи пользователей и компьютеров – обозначают (identify) реальные объекты;

- группа учетных записей. Проверка подлинности (authentication) – определение однозначной тождественности (unique identity) программного объекта реальному объекту. Результат – участник системы (security principal) представляет и обозначает (represent, identify) реальный объект. Авторизация (authorization) – проверка возможности доступа участника безопасности к объекту; проверка прав доступа к объекту. Участник системы безопасности Windows - это аутентифицированный элемент, который использует ресурсы (например, файлы, принтеры), приложения или службы, размещенные на компьютерах Windows. Каждый участник безопасности имеет уникальный идентификатор, встроенный как SID. Встроенные участники - отдельная категория участников безопасности. Они представляют собой особые сущности, определенные заранее и управляемые подсистемой безопасности Windows. В отличие от типовых участников безопасности, этих участников нельзя переименовать или удалить. Проверка подлинности - это процедура идентификации участником безопасности или устройством другого участника безопасности, пользователя, группы, службы или устройства. Аутентификация – Регистрируясь на компьютере для получения доступа к ресурсам локального компьютера или сети, пользователь должен ввести свое имя и пароль. Используя Windows XP Professional в сети с активным каталогом (Active Directory), можно управлять безопасностью регистрации с помощью параметров политики групп, например, ограничивать доступ к компьютерам и принудительно завершать сеансы работы пользователей спустя заданное время. Можно применять предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям к безопасности данной рабочей станции или сети. Авторизация – позволяет контролировать доступ пользователей к ресурсам. Применение списков управления доступом (access control list, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ему ресурсам, например, к файлам, дискам (в том числе сетевым), принтерам и приложениям. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью как на уровне ресурсов, так и на уровне файлов, папок и прав отдельных пользователей. Идентификатор безопасности SID (Security IDentifier) используется в Windows в качестве значения, уникально идентифицирующего системные объекты, например, группы и пользователей. Идентификатор SID, назначенный пользователю, является частью маркера доступа (token), который добавляется ко всем действиям и процессам, выполняемым пользователем или группой.

Идентификатор SID содержит: · дескрипторы пользователя или группы; · 48-ми разрядный идентификатор аутентификации; · версию идентификатора; · переменные значения аутентификации.

Пример идентификатора: S-1-5-21-1507001333-1204550764-1011284298-500.

Перед идентификатором SID ставится буква S, а его части разделяются дефисами. Первое число (1) является номером редакции, второе . значение полномочий идентификатора (для Windows Server 2003 это всегда 5). Далее следуют четыре значения под полномочий (в примере это 21 и три длинные последовательности цифр), а последним указывается относительный идентификатор (RID - Relative Identifier) (500 для администратора и 501 - для гостевой учетной записи).