Защита объектов

Унификация именования, предоставления в совместное использование и учета использования системных ресурсов уже дает достаточные основания для при-менения объектной модели в исполнительной системе NT; однако важнейшей причиной этого, является, по всей вероятности, обеспечение защиты.

Операционная система должна быть защищена от "нападений" сразу на нескольких фронтах. Защищенная многопользовательская система должна защищать файлы, память и другие ресурсы каждого пользователя от других пользователей. Она должна защищать собственные данные, файлы и память от пользовательских программ. Она должна отслеживать попытки обхода защиты и т. д. Министерство обороны США определило средства, наличие которых у ОС делает ее защищенной. Эти средства разделены на семь уровней защиты, причем каждый последующий более строг, чем предыдущий⁷.

Для соответствия уровню С2, исходной цели для Windows NT, в ней должны присутствовать следующие средства:

• Средство защищенной регистрации в системе требует, чтобы пользователь идентифицировал себя посредством ввода уникального идентификатора и пароля, прежде чем ему будет предоставлен доступ к системе.
• Селективный контроль доступа позволяет владельцу ресурса определять, кто имеет доступ к данному ресурсу и что они могут с ним делать. Владелец определяет это, назначая права доступа пользователю или группе пользователей.
• Аудит обеспечивает возможность обнаружения и регистрации важных событий, имеющих отношение к защите, или любой попытки создания, использования или удаления системных ресурсов. Для учета пользователей, выполнивших регистрируемое действие, используются их идентификаторы.
• Защита памяти предотвращает чтение информации, записанной кем-либо в память, после того как этот блок памяти был возвращен ОС. Перед повторным использованием память реинициализируется.

Механизмы обеспечения безопасности, предоставляемые системой, требуются не во всех случаях применения Windows NT. Поэтому система защиты позволяет системному администратору, например, упрощать процесс регистрации в системе, регулировать объем информации, помещаемой в журнал аудита, или отключать аудит совсем.

В тех случаях, когда предъявляются особые требования к безопасности, например, в военных организациях, необходим еще более высокий уровень защиты, чем тот, что исходно обеспечивается Windows NT. В связи с этим Windows NT рассчитана на дальнейшее развитие до уровня защиты В2, известного под названием " Полномочный контроль доступа" (Mandatory Access Control), когда каждому пользователю присваивается уровень полномочий и он не может предоставить доступ к защищенным ресурсам пользователям с недостаточным уровнем полномочий. Например, в секретных учреждениях правительства США одному пользователю может быть присвоен уровень полномочий "Секретно", а другому — "Совершенно секретно". Полномочный контроль доступа гарантирует, что пользователь с уровнем полномочий "Совершенно секретно" не сможет предоставить первому пользователю доступ к какой-либо информации с грифом "Совершенно секретно", даже при помощи средств селективного контроля доступа. Кроме того, уровень В2 требует поддержки "отделений" (compartments), изолирующих группы пользователей друг от друга, Этот тип защиты удобен в таких областях, как торговля ценными бумагами, где неавторизованный доступ к информации о предложении акций или слиянии может вызвать конфликт интересов.

Система защиты Windows NT многогранна, однако, суть селективного контроля доступа и аудита (а в будущем и полномочного контроля доступа) состоит в защите объектов. Главная идея, лежащая в основе системы защиты Windows NT, — это создание шлюза, через который должен пройти каждый пользователь системных ресурсов. Так как все системные ресурсы, защита которых может быть нарушена, реализованы как объекты, то таким шлюзом становится диспетчер объектов. Чтобы удостовериться в целостности системы защиты Windows NT, нет необходимости тыкаться во все "закоулки" ОС; критические операции обеспечения защиты выполняются в одном центре.

Следующие подразделы рассматривают защиту объектов с двух точек зрения: во-первых, идентификация пользователей, во-вторых, управление доступом пользователей к объектам.

⁷ Department of Defense Trusted Computer System Evaluation Criteria, DOD 5200.28-STD (December 1985).