68. Участник системы безопасности, проверка подлинности и авторизация, структура идентификатора безопасности в Windows. (Лекция 14)
Участник системы безопасности (security principal) – объект, с которым связан идентификатор безопасности (security identifier, SID), используемый при определении возможности доступа к ресурсам. Идентификатор присваивается участнику в момент создания. Два типа участников: - учетные записи пользователей и компьютеров – обозначают (identify) реальные объекты;
- группа учетных
записей. Проверка
подлинности
(authentication)
– определение однозначной тождественности
(unique
identity)
программного объекта реальному объекту.
Результат – участник системы (security
principal)
представляет и обозначает (represent,
identify)
реальный объект. Авторизация
(authorization)
– проверка возможности доступа участника
безопасности к объекту; проверка прав
доступа к объекту. Участник системы
безопасности Windows - это аутентифицированный
элемент, который использует ресурсы
(например, файлы, принтеры), приложения
или службы, размещенные на компьютерах
Windows. Каждый участник безопасности имеет
уникальный идентификатор, встроенный
как SID. Встроенные участники - отдельная
категория участников безопасности. Они
представляют собой особые сущности,
определенные заранее и управляемые
подсистемой безопасности Windows. В отличие
от типовых участников безопасности,
этих участников нельзя переименовать
или удалить. Проверка подлинности - это
процедура идентификации участником
безопасности или устройством другого
участника безопасности, пользователя,
группы, службы или устройства.
Аутентификация – Регистрируясь на
компьютере для получения доступа к
ресурсам локального компьютера или
сети, пользователь должен ввести свое
имя и пароль. Используя Windows XP Professional в
сети с активным каталогом (Active Directory),
можно управлять безопасностью регистрации
с помощью параметров политики групп,
например, ограничивать доступ к
компьютерам и принудительно завершать
сеансы работы пользователей спустя
заданное время. Можно применять
предварительно сконфигурированные
шаблоны безопасности, соответствующие
требованиям к безопасности данной
рабочей станции или сети. Авторизация
– позволяет контролировать доступ
пользователей к ресурсам. Применение
списков управления доступом (access control
list, ACL) и прав доступа NTFS гарантирует,
что пользователь получит доступ только
к нужным ему ресурсам, например, к файлам,
дискам (в том числе сетевым), принтерам
и приложениям. С помощью групп безопасности,
прав пользователей и прав доступа можно
одновременно управлять безопасностью
как на уровне ресурсов, так и на уровне
файлов, папок и прав отдельных
пользователей. Идентификатор
безопасности
SID (Security IDentifier) используется в Windows в
качестве значения, уникально
идентифицирующего системные объекты,
например, группы и пользователей.
Идентификатор SID, назначенный пользователю,
является частью маркера доступа (token),
который добавляется ко всем действиям
и процессам, выполняемым пользователем
или группой.
Идентификатор SID содержит: · дескрипторы пользователя или группы; · 48-ми разрядный идентификатор аутентификации; · версию идентификатора; · переменные значения аутентификации.
Пример идентификатора: S-1-5-21-1507001333-1204550764-1011284298-500.
Перед идентификатором SID ставится буква S, а его части разделяются дефисами. Первое число (1) является номером редакции, второе . значение полномочий идентификатора (для Windows Server 2003 это всегда 5). Далее следуют четыре значения под полномочий (в примере это 21 и три длинные последовательности цифр), а последним указывается относительный идентификатор (RID - Relative Identifier) (500 для администратора и 501 - для гостевой учетной записи).