Cтраница 1
Список управления вводом-выводом состоит из спецификаторов. [1]
В системе NT можно составить список управления доступом таким образом, чтобы один пользователь не имел доступа ни к одному из файлов, а все остальные имели полный доступ к ним. [2]
Корректность работы с данными в вычислительной системе, где предусмотрена защита данных, может обеспечиваться с помощью списка управления доступом, для работы с которым каждый пользователь снабжается личным идентифицирующим кодом, представляющим собой зашифрованный пароль на доступ к системе. Правила шифрования этого пароля должны быть однонаправленными, чтобы было невозможно установить, как он выглядит в непосредственной форме. [3]
Другой областью, в которой интерфейс Win32 предоставляет вызовы, является безопасность. У каждого процесса есть идентификатор, сообщающий о процессе, кто он есть. А у каждого процесса может быть список управления доступом, в котором очень подробно сообщается, какие пользователи имеют к нему доступ и какие операции они могут выполнять с этим объектом. Такой подход обеспечивает высокую степень детализации настроек параметров безопасности, в которых можно разрешить или запретить определенный тип доступа к каждому объекту для индивидуальных пользователей или групп. [4]
Исследование, проведенное Морин О Хара ( O Hara) и Уэйном Шоу ( Shaw) в 1990 г., касалось результатов политики Управления контролера денежного обращения, проводимой в отношении банков слишком крупных, чтобы обанкротиться. О Хара и У. Шоу исследовали котировки ценных бумаг 64 банков, включая банки, входящие в список Управления в качестве объектов этой политики. [5]
Защита основывается на списках управления доступом ACL. У каждого процесса есть маркер управления доступом, идентифицирующий процесс, а также указывающий, какими особыми привилегиями он обладает. С каждым объектом ассоциирован дескриптор защиты. Дескриптор защиты указывает на список разграничительного управления доступом DACL, содержащий записи списка ACL, разрешающие или запрещающие доступ к этому объекту отдельным пользователям или группам. [6]
У каждого процесса есть маркер доступа, в котором указывается SID и другие свойства. Как правило, он назначается при регистрации в системе процедурой winlogon. Структура маркера доступа показана на рис. 11.24. Чтобы получить эту информацию, процесс должен вызвать функцию GetTokenlnformation, так как она может измениться со временем. Заголовок маркера содержит некоторую административную информацию. По значению поля срока действия можно определить, когда маркер перестанет быть действительным, но в настоящее время это поле не используется. Поле Groups ( группы) указывает группы, к которым принадлежит процесс. Это поле необходимо для соответствия требованиям стандарта POSIX. Поле Default DACL ( DACL по умолчанию, Discretionary Access Control List - список разграничительного контроля доступа) представляет собой список управления доступом, назначаемый объектам, созданным процессом, если не определены другие списки ACL. Идентификатор безопасности пользователя указывает пользователя, владеющего процессом. Ограниченные идентификаторы SID позволяют ненадежным процессам принимать участие в заданиях вместе с надежными процессами, но с меньшими полномочиями и меньшими возможностями причинения ущерба. [7]