Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Омский государственный университет им. Ф.М. Достоевского
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Ответы ОС.docx
Скачиваний:
44
Добавлен:
22.09.2019
Размер:
3.18 Mб
Скачать
►Содержание►

69. Маркер доступа и его формирование в Windows. (Лекция 14)

Маркер доступа (Access token) - программный объект ОС класса Microsoft Windows, содержит информацию по безопасности сеанса и идентифицирует пользователя, группу пользователей и пользовательские привилегии. Маркер доступа - это объект, инкапсулирующий дескриптор безопасности процесса. Прилагаемый к процессу, дескриптор безопасности идентифицирует собственника объекта. Пока маркер используется для представления только информации по безопасности, он технически свободен по своему содержанию и может содержать любые данные. Маркер доступа используется Windows, когда процесс пытается взаимодействовать с объектами, дескрипторы безопасности которых требуют контроль доступа. Маркер доступа представлен системным объектом типа Token . Маркер доступа генерируется сервисом входа в систему, когда пользователь регистрируется и его подлинность успешно установлена, определяя права пользователя в дескрипторе безопасности, заключенном в маркер. Маркер прилагается к каждому процессу, созданному сессией пользователя (процессы, собственником которых является пользователь). Когда бы такой процесс ни запрашивал любой ресурс, доступ к которому контролируется, Windows смотрит в дескрипторе безопасности в маркере доступа, имеет ли пользователь, владелец данного процесса, право доступа к данным, и, если да, какие операции (чтение, запись/изменение) ему дозволены. Если операция дозволена в контексте данного пользователя, Windows позволяет процессу её продолжать, если нет, то отказывает в доступе.

Составляющие маркера доступа:

  • идентификатор;

  • идентификатор ассоциированной сессии входа в систему. Сессия обслуживается сервисом идентификации и заполняется идентификационными пакетами с коллекцией всей информации (мандат), сообщенной пользователем во время входа в систему. Мандат используется для доступа к удаленным системам без необходимости переидентифицировать клиента, предусматривающий, что все вовлеченные системы делятся информацией по идентификации.

  • идентификатор пользователя. Это поле наиболее важное и защищено от записи.

  • идентификатор групп, частью который является пользователь. ограничивающие идентификаторы группы (поле не обязательно).

  • привилегии, т.е. специальные возможности пользователя. Большинство привилегий по умолчинию отключены, чтобы исключить возможные повреждения от плохо защищённых программ.

Олицетворение - это возможность, которая позволяет выполнять действия от имени другого пользователя. Олицетворение полезно в таких сценариях, как "отложенные" операции, то есть когда соответствующий рабочий процесс уже завершен. Например, может потребоваться обновить что-либо асинхронно от имени пользователя, хотя тот уже долгое время не пользовался данным вебсайтом.

Подсистема локальной авторизации (Local Security Authority, LSA) – гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент - центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности