Munkavégzés tárgyak biztonságát, ablakok IT Pro
Regisztráció a konferencia
Milyen mechanizmusok aktiválódnak, amikor úgy döntünk, a menüpont a „Security” párbeszédablak fájl tulajdonságait? Ebben a cikkben megpróbálom megválaszolni ezt a kérdést. Példaként, hogy a technológia listáját logikai lemezfelosztások LAN megosztott erőforrások, valamint nézze meg a két kényelmes eszközöket, amelyek közül az egyik tartalmazza a NT és a második - a Resource Kit.
A modell Win32 hozzáférés korlátozása, két alapvető fogalmat:
Hozzáférési token - jelzőt (MD), amely információkat tartalmaz a felhasználó számára;
Biztonsági leírások - védi a leírásokat tartalmazó információt a jogok egyes számlák eléréséhez az objektumot.
Amikor a felhasználó bejelentkezik a rendszerbe, miután sikeres ellenőrzést a felhasználó nevét és jelszavát, hogy hozzon létre egy hozzáférési tokent. Minden végrehajtott eljárás keretében később a felhasználó létrehoz egy másolatot az MD. A hozzáférési token sokaságát tartalmazza a biztonsági azonosítók (biztonsági azonosítókat, SID), amely meghatározza a felhasználói fiókok és csoportok, amelyhez tartozik. Ezen túlmenően, MD felsorolja a kiváltság (privilégium) - hozzáférési jogokat az egyes létesítmények által kínált különös figyelmet. Ezzel az információval, az operációs rendszer határozza meg a képességeit a felhasználó hozzáférését a forrásokhoz.
Amikor létrehoz egy védett objektum OS hozzárendel egy leíró védelmi (biztonsági leíró, SD) - a védelem, ami elérhető a felhasználó számára, hogy hozzon létre egy objektumot, vagy az egyik, hogy az alapértelmezett beállítás. Win32 alkalmazások az API funkciókat egyre, és változtatni a tájékoztatást hozzáférést tárgyakat.
Biztonsági leíró információkat tartalmaz a tulajdonos a tárgy, és az alábbi listákat Access-vezérlés listája hozzáférés-vezérlés (ACL):
Diszkrecionális beléptető lista (DACL) - elhatárolása hozzáférés-vezérlési listák, amelyek a felhasználók és csoportok megfelelő jogosultsága a tárgy;
Rendszerhez való hozzáférés-vezérlési lista (SACL) - a rendszer hozzáférés-vezérlési listák, amelyek meghatározzák, hogy a könyvvizsgáló megpróbál hozzáférni egy objektumot.
Access Control List listáját tartalmazza hozzáférés-vezérlési bejegyzések (beléptető bejegyzéseket, ACE). Minden rekord tartalmaz egy sor olyan bit zászlók és a SID a vagyonkezelő (vagyonkezelő) - a felhasználó vagy csoport, amely e jogok vonatkoznak.
Nézzük meg a fent említett tárgyak részletesebben.
biztonsági leíró
Ezek az objektumok tartalmazzák a biztonsági információkat korrelál egy bizonyos védett objektumot. Fizikailag, ez az objektum SECURITY_DESCRIPTOR leírt szerkezet Windows.h fájlban:
SECURITY_DESCRIPTOR szerkezet eléréséhez használt tárgyakat az informatikai biztonság. De ahhoz, hogy váltson a műve ez a szerkezet lehetetlen. Ehhez speciális funkciók (pl SetSecurityDescriptorOwner (...)) kell használni. Ezen túlmenően, a Win32 API felületet biztosít a létrehozása és inicializálása SD leíró az új létesítményeket.
A hozzáférési token
A hozzáférési token (token) - egy operációs rendszer objektum, amely hozzáférés korlátozásának keretében folyamat vagy szál. Ez tartalmazza a kiváltság megfelelő felhasználói fiók társított folyamat vagy szál. A hozzáférési token által generált sikeres azonosításuk után a felhasználó a rendszerben. Ezt követően minden olyan folyamat, amely valamilyen módon váltja ki a felhasználói adatok másolatával együtt az ő marker.
biztonsági azonosító SID
Az egyedülálló környezetben, változó hosszúságú, amely meghatározza a számla (számla) és tárolja a Windows NT biztonsági információkat, - ez az, amit a SID. Az elején minden ülés, ha a felhasználó azonosítható a rendszerben, a SID az adatbázisból, és helyezzük a token. Továbbá, ezt az értéket használjuk az operációs rendszer minden felhasználói tevékenységet a védett objektumokat.
Számos szabványos SID, használt számlák:
NULL - S-1-0-0 - SID-csoport, amely nem tartalmazza a felhasználók. Használható, ha a SID nem ismert;
Világ - S-1-1-0 - egy csoport, amely magában foglalja az összes felhasználó számára;
Helyi - S-1-2-0 - a felhasználók közvetlen, fizikai hozzáférést a rendszerhez;
Létrehozó tulajdonos ID - S-1-3-0 - SID, amely helyébe a felhasználó SID, amely megteremtette az objektumot. Ez SID használják az ACE öröklődik bejegyzéseket (lásd alább).
Creator Group ID - S-1-3-1 - értéket helyettesítő SID fő csoportot, amelyhez a felhasználó tartozik, a létrehozott objektum. Ez a SID, mint az előző, használjuk az örökölt ACE.
ACL Access Control List
ACL által képviselt leírt szerkezet Windows.h:
A Windows NT 3.5 verzió, 3,51, 4,0, meghatározza a maximális számát hozzáférési szabályait határozza meg hozzáférés-vezérlési lista (lásd. Q166348 cikket a Microsoft Knowledge Base). Ez egyenlő a 1820.
Az ACE Access Control
AceType első mező meghatározza a szerkezet típusától. Nyilvánvaló, hogy a mutatót tartalmaz, amely _ACE szerkezetet át lehet alakítani egy mutatót ACE_HEAER, hogy milyen típusú ACE, majd konvertálni a mutatót egy pointert a kapott típusú adatszerkezet. Megjegyzendő, hogy ez a módszer széles körben használják a különböző API Microsoft termékeket.
List partition lemezes eszközök
A kód az 1. listában hívják írta nekem működni GetParti-tionTypeEx. Ő kap egy merevlemez paramétereket, visszatér a fájlrendszer nevét, akkor telepítve van, és ellenőrzi, hogy a fájlrendszer támogat hozzáférés-szabályozás korlátozásokat (lásd. 2. listát).
A Win32 API, hogy információkat szerezzen a lemez partíció funkció használatakor
A paraméterek leírása a 2. táblázatban kicsit közelebbről szemügyre beállítás lpFileSystemFlags. Ez egy sor kis zászlókat. Többek között meghatározott FS_PERSISTENT_ACLS zászló. A jelenléte a zászló azt jelenti, hogy a mappák és fájlok védelmét tárgyakat. Mielőtt az ACE listák egy adott tárgy, egy jó ötlet, hogy győződjön meg arról, hogy a fájlrendszer támogatja őket. Most már tudjuk, hogyan kell csinálni.
Listája hozzáférés-vezérlési bejegyzéseket a védett objektum
Ahhoz, hogy az ACL struktúra a megnevezett tárgy, amire szükség van, hogy a funkciókat GetNmedSe-curityInfo. Többek között értékekből visszaad egy pointert a DACL és SACL. Mi érdekli az elsőt. Most már minden olyan információt, hogy megteremtse a ACE listát. GetAce funkció lehetővé teszi, hogy menjen át az egész listát, ACE_HEADER fejléceket megfelelő ACL-t. Ez a funkció eltelt három paraméter. Az első - az index a Windows ACL, a második - több ACE, ami visszaad egy pointert a harmadik paraméter (lásd 3. lista).
A listát a megosztott erőforrások és a jogot, hogy ezeket
Az utolsó kérdés, amit érdemes figyelembe venni részletesen tárgya egy listát a helyi megosztott erőforrások (részvény) és a hozzáférési jogokat nekik. Megszerzésére irányuló eljárás jogi tárgyak azonos eljárás, amelynek révén hozzáférési joga fájlba tárgyakat. Ezért, végrehajtása a kód szerepel az eljárás kódot a 4. listában, és nem külön-külön tárgyaljuk. Ez jellemző API biztonsági rendszer, amely általános interfészt minden védett objektumokat. Valóban, szemszögéből a Windows beléptető rendszer megosztott erőforrás - az azonos nevű objektumot, például, és a fájl. Ezért az algoritmusok dolgozni velük azonos.
A lista a megosztott erőforrások rendelkezésre funkció
SD erőforrás funkció használható
ACE használt listán shi502_security_descriptor mező tartalmazza a szükséges biztonsági leíró.
Visszaállítása a biztonsági beállításokat
Command paraméterek a következők:
Fájlnév - nincs más lehetőség megjeleníti az felhasználókat és hozzáférési jogokat az objektum neve.
/ T - megváltoztatja a hozzáférési listát a tárgy menedzsment feljegyzések, és ha ez a mappa összes almappa.
/ E - helyettesíti a hozzáférés-vezérlési lista tartalmától.
/ C - lehetővé teszi, hogy a munka továbbra is abban az esetben, hibák hozzáféréssel.
/ G felhasználói: perm - beállítja a felhasználó által definiált paraméter felhasználó, a hozzáférési jogot az objektum, amely meghatározza azokat a paramétereket perm:
N - nincs; R - olvasás; W - a felvétel; C - váltás; F - teljes ellenőrzést.
/ R felhasználó - eltávolítja a megadott felhasználói hozzáférési jogokat az objektumot.
/ P felhasználói: perm - a megadott beállításokat a felhasználói beállítás felhasználói hozzáférési jogokat az objektum, amely leírja a beállítás perm és a következők lehetnek:
N - nincs; R - olvasás; W - a felvétel; C - váltás; F - teljes ellenőrzést.
/ D felhasználó - megtiltja a felhasználói hozzáférést egy adott objektumot.
A segédprogram lehetővé teszi, hogy alkalmazni maszk, például *. * A neveket a fájlok és mappák, valamint hogy jelezze ugyanabban a csapatban néhány felhasználóval. A Tudásbázis ismertetjük Cacls.exe segédprogramok használata egy módszert, hogy módosítsa a hozzáférési jogok nem csak a felhasználók, hanem a csoportokat, hogy a fájlrendszer-objektumok. Ebben az esetben a szintaxis megmarad, de a csoport nevét jegyzik (Q162786).
Active Directory és a hozzáférést a biztonsági információk
Ossza meg képeit barátaival és kollégáival