70. Дескриптор безопасности ресурса, состав ace, наследование доступов в Windows. (Лекция 14)
Защищаемый
объект
(securable
object)
– объект (ресурс), имеющий дескриптор
безопасности
(security
descriptor),
определяющий операции, которые участники
безопасности могут выполнять с данным
объектом.
Дескриптор
безопасности основан на списках
контроля доступа
(access
control
list,
ACL).
Access Control List или ACL - список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.
SID владельца (Owner SID) – идентификатор владельца. Владелец (owner) имеет возможность редактировать дескриптор безопасности объекта и предоставлять другим участникам возможность захватывать владение, даже если ACL дескриптора запрещает это. SID группы (Group SID) – для совместимости с POSIX. Cписок разграничительного контроля доступа (DACL, Discretionary ACL) – набор записей, характеризующий, какие операции разрешены или запрещены для участников системы безопасности. Применение – контроль доступа к объекту. Синоним – разрешения (permissions).
Системный список контроля доступа (SACL, System ACL) – набор записей, определяющий перечень отслеживаемых операций участников системы безопасности. Применение – аудит работы с объектом.
DACL и SACL состоят из записей контроля доступа (access control entry, ACE).
Списки DACL и SACL формируются при создании и меняются в дальнейшем с учетом возможности наследования (inheritance) списков родительского объекта. Наследование можно устанавливать и разрывать. ACL родительского объекта, определенный для потомков – унаследованный (inherited). ACL, явно определенный для объекта – собственный (explicit).
Существует
3 общих
(generic)
типа ACE
– разрешение для DACL,
запрет для DACL,
запись для SACL.
Общие ACE
применяются для объекта в целом. ACE
можно применять
(scope)
к объекту и/или его дочерним (вложенным)
объектам.
Пример:
для каталогов
(папок)
NTFS
применяются варианты:
только для этой папки;- для этой папки, ее подпапок и файлов;- для этой папки и ее подпапок;-для этой папки и ее файлов;-только для подпапок и файлов;-только для подпапок;-только для файлов. Глубину применения можно ограничить только одним уровнем.
ACE, определенные для нижележащих объектов, станут унаследованными (inherited) для них, если наследование имеется. Существует операция сброса собственных разрешений.
Для более детального управления допустимы специфичные типы ACE (object-specific).
Когда происходит изменение ACL какого-либо каталога, все элементы ACE автоматически копируются для всех дочерних ACL. Вместе с тем, явным образом установленные ACE дочернего объекта не переписываются. Дело в том, что для каждого ACE имеется флажок, указывающий, каким образом сформирован элемент ACE – в результате наследования или же явным образом (без наследования). Когда система копирует ACE вниз по дереву дочерних объектов, замена существующих записей выполняется только для унаследованных элементов, а явно назначенные права остаются без изменений.