За да контролирате кой може да работи със система за обект защита трябва да бъдат сигурни, че потребителят е правилно идентифициран. По този начин, първата линия на защита в Windows NT - изискване, което всеки потребител се регистрирате преди започване на работа.

Както е описано в гл. 2, "Преглед на системата", неразделна част от системата - защитена подсистема, известен като подсистема за защита (подсистема за защита), е отговорен за удостоверяването (удостоверяване) на потребителите, т.е. за проверка, че при влизане информация въведени от потребителя да съответстват на данните, съхранявани в базата данни на сигурността. След подсистемата за сигурност е установил, че регистрацията е автентичен, той създава един обект, който е постоянно свързан с процеса на употреба. Този обект се нарича за означения за достъп (достъп знак) и служи като официален процес ID, когато той се опитва да използва ресурсите в системата. Пример знак достъп е показано на фиг. 3-9.

Първо е показано на фигура атрибут - това е идентификатор на сигурността на личните потребител (ID сигурност), която обикновено съответства на идентификатора посочване на потребителя по време на регистрацията. В големите организации защитават идентификатор може да включва името на разделението или ведомство на потребителя (например, ENGINEERING_MARYH). групите за защита на документи за самоличност са създадени от списъка на потребителските идентификатори. Вторият атрибут на фиг. 3-9 - е даден списък на групите, към която принадлежи MARYH. Windows NT определя няколко стандартни идентификатори на групи, които са включени в MARYH маркер.

Фиг. 3-9. Пример знак достъп.

Когато се опитате да отворите процес Характеристиката на обекта причинява обект мениджър справка сигурност монитора. Помощ при защита на монитора получава достъп знак, който е свързан с процеса, и го използва, за да защити ID и списък на групи, за да се определи дали процесът на правото на достъп до обекта.

Малко количество от услуги чувствителни система защита (като създаването на токена), и защитен от употреба. Умение съдържа всички привилегии на тези услуги, до които потребителят има право да обжалва. Най-много потребители нямат никакви привилегии.

Като цяло, на човека, който е създаден на обекта, става неин собственик и може да реши кой друг има достъп до обекта. Списък на (списък за контрол на достъпа, ACL) достъп по подразбиране, се съхранява в означението за достъп на контрол - е първоначален списък на разрешения, които е прикрепен към потребителя да създаде обекти. "Основно група" атрибут позволява да се съберат идентификатори за сигурност в групи за организационни цели. Тази функция е налична в някои среди, операционни системи, включително POSIX.

списъци Повече подробности за защита на документи за самоличност и контрол на достъпа, са описани в следващия раздел. Да се ​​върнем сега към фиг. 3-10, което показва, атрибутите и услугите, приложими за жетони съоръжения за достъп.

За услугите, за да се създаде, открит и избирателната се добавя инсталация услуга. Създаване атрибутите на обекта - това е една обща услуга, предлагана от много обекти NT изпълнителната система. Другите три услугата предназначен да се използва най-вече за защита на програмите за администриране.

Фиг. 3-10. Обект знак.

Zvernіt uwagi на dodatkovі posilannya

Yakscho ви tsіkavit.