Разграничение доступа субъектов к объектам КС

Для разграничения доступа субъектов к объектам КС в защищенных версиях ОС Windows используется дискреционное управление доступом.

С объектом разграничения доступа связывается дескриптор безопасности SD (security descriptor), содержащий следующую информацию:

идентификатор безопасности (SID) владельца объекта;

идентификатор безопасности первичной группы владельца;

дискреционный список контроля доступа (DACL);

системный список контроля доступа (SACL).

Список SACL управляется администратором системы. Список DACL управляется владельцем объекта и предназначен для идентификации пользователей и групп, которым предоставлен или запрещен определенный тип доступа к объекту. Каждый элемент списка DACL (access control entry, ACE) определяет права доступа к объекту для одного пользователя или группы. Каждый ACE содержит следующую информацию:

идентификатор безопасности SID субъекта, для которого определяются права доступа;

маска доступа (access mask, AM), которая специфицирует права доступа к контролируемым данным;

тип ACE;

признак наследования прав доступа к объекту, определенных для родительского объекта.

Элементы списка DACL могут быть двух типов: разрешающие и запрещающие права доступа. Элементы, запрещающие доступ, располагаются в начале списка перед элементами, разрешающими доступ.

Право доступа субъекта к объекту означает возможность обращения субъекта к объекту с помощью определенного метода (типа) доступа. В защищенных версиях ОС Windows различают специальные, стандартные и общие (generic) права доступа к объектам.

Специальные права доступа к объектам определяют возможность обращения к объекту по свойственному только данной категории объектов методу: чтение данных из объекта, запись данных в объект, чтение атрибутов объекта, выполнение программного файла и т.д.

Стандартные права доступа к объектам определяют возможность доступа к объекту по методу, применимому к любому объекту, - изменение владельца объекта, изменение списка DACL объекта, удаление объекта и т.д.

Каждое из общих прав доступа к объектам представляет собой комбинацию специальных и стандартныъ прав и предоставляет возможность обращения к объекту с помощью некоторого набора методов доступа.

Определены следующие общие права доступа:

чтение, включающее в себя чтение DACL объекта, чтение данных из объекта, чтение его атрибутов и расширенных атрибутов, использование объекта для синхронизации;

запись, включающая в себя чтение DACL объекта, запись и добавление данных в объект, запись его атрибутов и расширенных атрибутов, использование объекта для синхронизации;

выполнение, включающее в себя чтение DACL объекта, чтение его атрибутов, выполнение программного файла и использование объекта для синхронизации;

все действия с объектом.

Маркер доступа субъекта, обращающегося к некоторому объекту КС, поступает в локальную службу безопасности LSA. От LSA маркер доступа поступает к монитору безопасных ссылок (security reference monitor, SRM), который просматривает DACL из дескриптора безопасности SD соответствующего объекта и принимает решение R о предоставлении доступа субъекту или отказе в доступе (рис.28).

 
  Разграничение доступа субъектов к объектам КС - student2.ru

Рис. 28. Проверка прав доступа субъекта к объекту

Получив от SRM результат R, LSA передает его субъекту, запросившему доступ к объекту.

Монитор безопасных ссылок использует следующий алгоритм проверки запрошенных субъектом прав доступа к объекту.

1. Если SID из маркера доступа субъекта АТ не совпадает с SID, содержащемся в элементе АСЕ списка контроля доступа к объекту, то осуществляется переход к следующему АСЕ, в противном случае – переход к п.2.

2. Если в элементе АСЕ запрешается доступ к объекту для субъекта с данным SID, но этот субъект является владельцем объекта (его идентификатор безопасности совпадает с SID владельца из дескриптора безопасности SD объекта) и запрашиваемая маска доступа содержит только попытку доступа к объекту по методу «чтение (или) изменение дискреционного списка контроля доступа к объекту», то доступ субъекта к объекту разрешается, в противном случае – осуществляется переход к п. 3.

3. Если в элементе АСЕ запрещается доступ к объекту для субъекта с данным SID , то сравниваются запрашиваемая маска доступа и маска доступа, определенная в АСЕ. Если при сравнении находится хотя бы один общий метод доступа, то попытка доступа субъекта к объекту отклоняется, в противном случае – происходит переход к следующему АСЕ.

4. Если в элементе АСЕ разрешается доступ к объекту для субъекта с данным SID, то также сравниваются запрашиваемая маска доступа и маска доступа, определенная в АСЕ. Если при этом маски доступа полностью совпадают, то доступ субъекта к объекту разрешается, в противном случае – происходитпереход к следующему АСЕ.

5. Если достигнут конец списка DACL из дескриптора безопасности объекта, то попытка доступа субъекта к объекту отклоняется.

Если у объекта КС нет дескриптора безопасности (например, у папок и файлов, размещенных на дисках под управлением файловой системы FAT), то любые пользователи и группы могут получить любые права доступа к данному объекту.

Пользователи КС для назначения субъектам КС прав доступа к файлам и папкам на дисках с файловой системой NTFS, чьими создателями-владельцами они являются, должны применять средства проводника Windows. Для этого выполняются команды «Общий доступ и безопасность» или «Свойства» контекстного меню папки либо команда «Свойства» контекстного меню файла (в операционной системе Windows XP необходимо выключить режим «Использовать простой общий доступ к файлам» на вкладке «Вид» окна свойств папки). Кнопки «Добавить» и «Удалить» позволяют изменять число элементов АСЕ в списке DACL, а в окне «Разрешения для имя субъекта» можно устанавливать общие права доступа к объекту конкретным пользователям и группам.

Нажатие кнопки «Дополнительно» позволяет отобразить окно настроек дополнительных параметров безопасности для объекта. На вкладке «Разрешения» можно посмотреть и при необходимости изменить любые (в том числе и специальные) права доступа к объекту. На вкладке «Владелец» можно просмотреть и при наличии соответствующей привилегии изменить информацию о владельце объекта (записать в SID владельца в дескрипторе безопасности объекта свой SID).

На вкладке «Действующие разрешения» можно проверить, какие права доступа к объекту установлены для конкретного пользователя или группы, которые выбираются с помощью кнопки «Выбрать».

Разграничение доступа субъектов к разделам реестра Windows XP производится с помощью системной программы regedit (команда «Разрешения» меню «Правка»), а в ОС Windows NT/2000 – с помощью системной программы regedt32 (меню «Безопасность»). Отметим, что разграничение доступа к разделам реестра возможно при любой используемой для хранения реестра файловой системе.

В защищенных версиях ОС Windows реализован подход, в соответствии с которым каждому процессу выделяется индивидуальное адресное пространство, которое аппаратно изолировано от адресных пространств других процессов. В этом случае, какой бы адрес оперативной памяти не использовался в процессе, невозможно обращение к памяти, выделенной другому процессу, так как одному и тому же значению адреса в разных адресных пространствах соответствуют различные физические адреса оперативной памяти компьютера.

6. АЛГОРИТМЫ АУТЕНТИФИКАЦИИ

ПОЛЬЗОВАТЕЛЕЙ

6.1. Способы аутентификации пользователей в КС

Основными способами защиты от несанкционированного доступа к информации в КС являются

аутентификация пользователей;

авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией);

шифрование информации.

Способы аутентификации пользователей в КС можно разделить на три группы.

К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (парольная защита и аутентификация на основе модели «рукопожатия»).

Ко второй группе относятся способы аутентификации, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).

К третьей группе относятся способы аутентификации, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мышью и т.п.).

В руководящих документах Гостехкомиссии России в АС, отнесенных к классу защищенности 1Д, должна осуществляться идентификация и проверка подлинности субъекта при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Для классов защищенности 1Г и 1В дополнительно требуется использовать идентификатор (код, логическое имя) пользователя. Для отнесения АС к классу защищенности 1Б дополнительно необходимо использовать пароль временного действия длиной не менее восьми буквенно-цифровых символов. В требованиях к классу защищенности 1А определена необходимость применения пользователями при входе в АС биометрических характеристик или специальных устройств (жетонов, карт, электронных ключей) и пароля временного действия длиной не менее восьми буквенно-цифровых символов.

Наши рекомендации