71. Доступ к ресурсу с использованием маркера в Windows. (Лекция 14)

Владелец объекта способен менять дескриптор, даже если доступ для него явно запрещен: владелец может получить доступ к объекту, изменив дескриптор, даже если по умолчанию таким правом не обладает.

Администратор может захватывать владение: администратор может сделать себя владельцем любого объекта и получить возможность изменять дескриптор по своему усмотрению. См. вопрос 69.

72. Разрешения в дескрипторах безопасности Windows. (Лекция 14)

Разрешения (permissions) определяют допустимые операции (operations) или права доступа (access rights), разрешенные пользователю или группе (участнику безопасности), по отношению к конкретному объекту или его свойству. Все разрешения, установленные для объекта, хранятся в дескрипторе безопасности (в DACL).

Каждому контейнеру или объекту назначен набор сведений управления доступом. Этот набор данных, называемый дескриптором безопасности, определяет, какой тип доступа разрешается пользователям и группам. Дескриптор безопасности создается автоматически вместе с контейнером или объектом. Типичным примером объекта с дескриптором безопасности является файл.

Разрешения определяются в дескрипторе безопасности объекта. Разрешения ставятся в соответствие, или назначаются, конкретным пользователям или группам. Например, встроенной группе «Администраторы» могут быть назначены разрешения на чтение, запись и удаление файла temp.dat, а группе «Операторы архива» - только на чтение и запись.

Каждое назначение разрешений пользователю или группе представлено в системе как запись управления доступом (ACE). Весь комплект элементов разрешений в дескрипторе безопасности называется набором разрешений, или таблицей управления доступом (ACL). Так, набор разрешений для файла Temp.dat включает два элемента: один для встроенной группы «Администраторы», другой для группы «Операторы архива».

Существуют два типа разрешений: явные разрешения и унаследованные разрешения: -Явные разрешения устанавливаются по умолчанию на недочерние объекты при их создании или в результате действия пользователя на недочерние, родительские или дочерние объекты. -Унаследованные разрешения наследуются объектом от родительского объекта. Унаследованные разрешения облегчают управление разрешениями и обеспечивают единообразие разрешений всех объектов, находящихся в данном контейнере.

По умолчанию объекты наследуют разрешения контейнера, в котором они создаются. Например, если создать папку с именем «Моя папка», то все файлы и подпапки, создаваемые в этой папке, автоматически унаследуют ее разрешения. Таким образом, разрешения папки «Моя папка» являются явными, а разрешения для находящихся в ней файлов и подпапок - унаследованными.

Разрешения (допустимые операции) зависят от типа объекта.

Разрешения состоят из прав доступа следующих типов:

1) общие (generic) - All (Полный), Execute (Выполнить), Read (Чтение) и Write (Запись)

Набор прав не зависит от типа объекта, смысл зависит от типа объекта (при использовании отражаются на группу других прав).

2) стандартные (standard) - Delete (Удалить), Read_Control (Чтение разрешений), Synchronize (Использовать для синхронизации), Write_DACL (Запись разрешений), Write_Owner (Установить владельца)

Набор прав и смысл не зависят от типа объекта.

3) зависящие от объекта (object specific)

3.1) стандартные (англ. – по типу объекта: folder permissions, registry permissions)

Логическая группа атомарных операций, созданная для удобства применения

3.2) специальные (special)

Атомарные операции, набор которых всегда зависит от типа объекта

4) право управления SACL (SACL access right)

Возможность чтения и изменения списка SACL дескриптора безопасности.

Общие права доступа:

All (Полный), Execute (Выполнить), Read (Чтение) и Write (Запись)

Стандартные права доступа:

Delete (Удалить), Read_Control (Чтение разрешений), Synchronize (Использовать для синхронизации), Write_DACL (Запись разрешений), Write_Owner (Установить владельца)