→ Пошук по сайту       Увійти / Зареєструватися
Знання Архитектура пк ДИСПЕТЧЕР ОБЪЕКТОВ И КОНТРОЛЬ ДОСТУПА

Защита объектов

Унификация именования, предоставления в совместное использование и учета использования системных ресурсов уже дает достаточные основания для при-менения объектной модели в исполнительной системе NT; однако важнейшей причиной этого, является, по всей вероятности, обеспечение защиты.

Операционная система должна быть защищена от "нападений" сразу на нескольких фронтах. Защищенная многопользовательская система должна защищать файлы, память и другие ресурсы каждого пользователя от других пользователей. Она должна защищать собственные данные, файлы и память от пользовательских программ. Она должна отслеживать попытки обхода защиты и т. д. Министерство обороны США определило средства, наличие которых у ОС делает ее защищенной. Эти средства разделены на семь уровней защиты, причем каждый последующий более строг, чем предыдущий7.

Для соответствия уровню С2, исходной цели для Windows NT, в ней должны присутствовать следующие средства:

  • Средство защищенной регистрации в системе требует, чтобы пользователь идентифицировал себя посредством ввода уникального идентификатора и пароля, прежде чем ему будет предоставлен доступ к системе.
  • Селективный контроль доступа позволяет владельцу ресурса определять, кто имеет доступ к данному ресурсу и что они могут с ним делать. Владелец определяет это, назначая права доступа пользователю или группе пользователей.
  • Аудит обеспечивает возможность обнаружения и регистрации важных событий, имеющих отношение к защите, или любой попытки создания, использования или удаления системных ресурсов. Для учета пользователей, выполнивших регистрируемое действие, используются их идентификаторы.
  • Защита памяти предотвращает чтение информации, записанной кем-либо в память, после того как этот блок памяти был возвращен ОС. Перед повторным использованием память реинициализируется.

Механизмы обеспечения безопасности, предоставляемые системой, требуются не во всех случаях применения Windows NT. Поэтому система защиты позволяет системному администратору, например, упрощать процесс регистрации в системе, регулировать объем информации, помещаемой в журнал аудита, или отключать аудит совсем.

В тех случаях, когда предъявляются особые требования к безопасности, например, в военных организациях, необходим еще более высокий уровень защиты, чем тот, что исходно обеспечивается Windows NT. В связи с этим Windows NT рассчитана на дальнейшее развитие до уровня защиты В2, известного под названием " Полномочный контроль доступа" (Mandatory Access Control), когда каждому пользователю присваивается уровень полномочий и он не может предоставить доступ к защищенным ресурсам пользователям с недостаточным уровнем полномочий. Например, в секретных учреждениях правительства США одному пользователю может быть присвоен уровень полномочий "Секретно", а другому — "Совершенно секретно". Полномочный контроль доступа гарантирует, что пользователь с уровнем полномочий "Совершенно секретно" не сможет предоставить первому пользователю доступ к какой-либо информации с грифом "Совершенно секретно", даже при помощи средств селективного контроля доступа. Кроме того, уровень В2 требует поддержки "отделений" (compartments), изолирующих группы пользователей друг от друга, Этот тип защиты удобен в таких областях, как торговля ценными бумагами, где неавторизованный доступ к информации о предложении акций или слиянии может вызвать конфликт интересов.

Система защиты Windows NT многогранна, однако, суть селективного контроля доступа и аудита (а в будущем и полномочного контроля доступа) состоит в защите объектов. Главная идея, лежащая в основе системы защиты Windows NT, — это создание шлюза, через который должен пройти каждый пользователь системных ресурсов. Так как все системные ресурсы, защита которых может быть нарушена, реализованы как объекты, то таким шлюзом становится диспетчер объектов. Чтобы удостовериться в целостности системы защиты Windows NT, нет необходимости тыкаться во все "закоулки" ОС; критические операции обеспечения защиты выполняются в одном центре.

Следующие подразделы рассматривают защиту объектов с двух точек зрения: во-первых, идентификация пользователей, во-вторых, управление доступом пользователей к объектам.


7 Department of Defense Trusted Computer System Evaluation Criteria, DOD 5200.28-STD (December 1985).

Маркеры доступа

Чтобы контролировать, кто имеет право работать с объектом, система защиты должна быть уверена, что пользователь правильно идентифицирован. Таким образом, первая линия защиты в Windows NT — это требование, чтобы каждый пользователь зарегистрировался перед началом работы.

Списки контроля доступа

При создании любого объекта, включая файлы, потоки, события и даже маркеры доступа, ему присваивается дескриптор защиты8. Основной частью дескриптора защиты является список прав доступа к объекту, называемый списком контроля доступа (ACL). Владелец объекта, которым обычно является его создатель, обладает правом селективного контроля доступа к объекту и может изменять ACL объекта, чтобы разрешить или запретить другим его использование. На рис. 3-11 упрощенно изображен файловый объект и его ACL.

Как все это работает вместе

Маркер доступа идентифицирует процесс (и его потоки) для ОС, тогда как деск-риптор защиты перечисляет, какие процессы (или группы процессов) имеют доступ к объекту Когда поток открывает описатель объекта, диспетчер объектов и система защиты сопоставляют эту информацию, чтобы определить, следует ли предоставить вызывающему потоку запрашиваемый им описатель.

загрузка...
Сторінки, близькі за змістом