Управление правами доступа к объектам базы данных. Объекты, принадлежащие и доступные

После проделанной подготовительной работы можно приступить к изучению работы с правами файлов в NTFS . Для этого следует:

Выбрать любой файл или папку;

Щелчком правой кнопкой мыши вызвать контекстное меню;

В контекстном меню выбрать режим Свойства ;

Открыть вкладку Безопасность ;

Откроется окно безопасности файла или папки (рис.1.8.).

В открывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует правило: к файловому объекту имеют доступ только перечисленные пользователи, в соответствии с указанными им правами.

В новейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\Windows . В старых ОС линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объект, который не имеет явного запрета в использовании, является доступным.

Рисунок 1.8. Окно свойств безопасности папки

В старых ОС это означает, что каждый раз при создании какого-либо объекта пользователь должен сам вручную прописывать доступ, который к нему запрещен. Если пользователю нужно часто создавать новые объекты, то невозможно сразу на всех поставить корректные права доступа (или можно забыть запретить доступ другим пользователям). В этом случае как минимум, несколько минут или даже часов на таких файлах будет оставаться доступ для всех пользователей, т.е. с такого компьютера любой человек или программа может скопировать любую информацию или даже стереть ОС, если такая возможность не была заранее закрыта пользователем или системным администратором. Данную ситуацию используют вирусы, которые могут получить полный контроль над ОС, файлами, личной информацией.

Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки фирмы разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора ОС. Пользователь, принадлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке ОС Windows 9x . Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users .

В окне свойств системы безопасности (рис.1.8.) находятся следующие группы пользователей: SYSTEM , Администраторы , Опытные пользователи, Пользователи , СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ . В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает ОС или определенные программы и сервисы. К числу последних групп принадлежит группа SYSTEM, от имени которой выступает ОС Windows ХР .

Случается когда доступ для ОС к какому-либо объекту или к папке закрывается, например, из-за того, что группа SYSTEM была удалена из свойств папок по причине активности вирусов. Если папка содержит файлы пользователя, то он может получить невозможность доступа к ней, а если папка является системной, то Windows может перестать функционировать корректно.

Это связано с тем, что при запуске программы или файла управление передается ОС, после чего она выполняет инструкцию пользователя. Если ОС доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама ОС, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать ОС, можно загрузиться с другой ОС Windows XP . При этом следует учесть, что если обновления, поставленные на другую ОС, будут отличаться от тех, которые стояли на данной системе, то возможны различные проблемы.

Однако если на не желающей загружаться ОС стоят более ранние обновления, чем на ОС, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT . Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только зашифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, которую необходимо передать новой ОС. После того как была произведена загрузка с другой ОС Windows XP , необходимо дать команду на добавление доступа к этой папке группы SYSTEM . После перезагрузки в оригинальной ОС, можно провести окончательную проверку или настройку.

Случай гораздо проще, если был запрещен доступ группы SYSTEM к пользовательской папке. Для устранения этой проблемы достаточно обеспечить наследование прав от папки уровнем выше, а потом дать системе команду, из того же окна наследования прав, на замещение предыдущих свойств наследуемыми свойствами.

Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представляет собой специальную запись, в которую помещается идентификатор пользователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой системы в случае наследования прав.

Остальными группами, имеющими доступ, являются: Администратор , Опытный пользователь , Пользователь , что означает наличие доступа у администраторов системы, опытных пользователей и простых пользователей, соответственно. В ОС все или почти все пользователи должны входить в состав группы Пользователи (Users ), в крайнем случае, можно присвоить права группы Опытный пользователь (Power Users ), но никогда не следует давать права группы Администратор (Administrators ).

Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис.1.9.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на операцию.

Рисунок 1.9. Права группы Пользователи

Разрешения для пользователя (рис.1.9.):

- полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;

- изменить – означает возможность модификации файлов или папки, в зависимости от того, чем является защищаемый объект;

- чтение и выполнение – возможность чтения и исполнения файлов папки;

- список содержимого папки – доступ к списку содержимого папки;

- чтение – доступ на чтение содержимого папки;

- запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному пользователю, для которого рядом с этим правом доступа стоит флажок;

- особые разрешения – используются для уточнения набора прав, которым может обладать пользователь, для их редактирования следует нажать кнопку Дополнительно , выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить .

Администраторы имеют полные права на доступ к системной папке Windows . Аналогичные права имеет и пользователь SYSTEM , так как от его имени работает сама ОС Windows XP (рис.1.10.).

Рисунок 1.10. Права группы System

Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ .

SLIC . Упомянутые компоненты управляют использованием объектов, ресурсов, некоторых команд и атрибутов машины.

Профиль пользователя определяет следующие параметры:

класс пользователя - категорию, в зависимости от принадлежности к которой пользователь имеет особые права;
принадлежащие и доступные объекты - список объектов, которыми пользователь владеет и к которым имеет доступ;
права на объекты - права доступа к объектам из вышеуказанного списка;
привилегированные команды и специальные права - информация о всех привилегированных командах и специальных правах пользователя;
пароль - код, обязательный для входа в систему при всех уровнях защиты, кроме 10;
текущая библиотека - место, куда по умолчанию помещается новый объект, созданный пользователем;
начальная программа и меню - поле, задающее программу и меню, активизируемые сразу после входа пользователя в систему;
ограничение возможностей - параметр, запрещающий пользователю ввод команд и ограничивающий его возможности выбором пунктов меню;
ограничение сессий для устройства - параметр, ограничивающий устройство пользователя одной сессией;
максимальный объем памяти - поле, задающее общий объем дискового пространства для объектов, которыми владеет пользователь;
максимальный приоритет - поле, задающее максимальный приоритет планировщика, который может применяться пользователем (более подробно будет обсуждаться в "Управление процессами");
специальная среда - поле, задающее среду, в которой будет работать пользователь (например, System/36).

Назначение большинства приведенных атрибутов очевидно, но первые четыре требуют некоторых пояснений.

Класс пользователя

Какой именно уровень доступа к системе разрешен пользователю, определяют пять классов пользователей. От класса зависит, какие функции пользователь может выполнять, какие пункты меню и привилегированные команды ему доступны. Перечислим все пять классов, начиная с максимального уровня доступа:

начальник защиты - наивысший уровень пользователя системы; его обладатель выполняет все операции, связанные с защитой, включая разграничение других пользователей на классы;
администратор защиты отвечает за регистрацию пользователей и защиту системных ресурсов;
системный программист разрабатывает приложения для системы;
системный оператор выполняет функции обслуживания системы, например резервное копирование;
пользователь рабочей станции - пользователь прикладных программ, имеющий минимальный доступ к системе.

В новой AS/400 для каждого класса пользователей имеется по одному профилю. Заказчик сам решает, кто в его организации будет отвечать за каждой из участков работы. Очевидно, что один и тот же человек может совмещать несколько обязанностей.

Объекты, принадлежащие и доступные

Профиль пользователя содержит два списка. Первый - список всех объектов, которыми владеет данный пользователь, а второй - список объектов, к которым он имеет доступ. Владелец объекта - это пользователь, создавший его. Если профиль пользователя - член профиля группы (подробно будет обсуждаться далее), то в профиле может быть задано, что все созданные пользователем объекты принадлежат группе. Право владения объектом может передаваться. Владелец объекта или любой пользователь, имеющий права на управление этим объектом, может назначать явные (private) права доступа к объекту, а также установить общие (public) права на объект. В профиле пользователя перечислены только принадлежащие ему объекты и объекты со специальными правами.

Права доступа к объектам

К каждому объекту AS/400 может быть предоставлено восемь видов доступа, а именно:

право на оперирование объектом разрешает просматривать описание объекта и использовать объект соответственно имеющимся у пользователя правам 2Пользователь не имеющий данного права не может даже знать о существовании этого объекта. - Прим. консультанта. ;
право на управление объектом разрешает определять защиту объекта, перемещать или переименовывать его, а также добавлять (но не удалять!) разделы в файлы баз данных;
право определять существование объекта разрешает удалять объект, освобождать его память, выполнять операции сохранения/восстановления и передавать право на владение объектом;
право на управление списком прав разрешает добавлять, удалять и изменять права пользователей в списках прав к объекту;
право на чтение разрешает доступ к объекту;
право на добавление разрешает добавлять записи к объекту;
право на удаление разрешает удалять записи из объекта;
право на обновление разрешает изменять записи объекта.

Эти восемь прав объединены OS/400 в четыре комбинации, чтобы их было легче применять. Конечные пользователи могут использовать и другие сочетания, но большинство все же предпочитает следующие стандартные комбинации:

"все" (all) - объединяет все восемь прав;
"изменение" (change) - объединяет права на оперирование объектом, чтение, добавление, удаление и обновление;
"использование" (use) - объединяет права на оперирование объектом и чтение;
"исключение" (exclude) - не дает никаких прав на использование объекта; перекрывает наличие общих или групповых в связи с порядком проверки прав доступа (рассматривается далее).

Привилегированные команды и специальные права

Каждый профиль пользователя содержит информацию о привилегированных командах и специальных правах пользователя. Некоторые привилегированные команды MI могут выполняться только теми пользователями, профили которых разрешают это делать. Например, профиль для начальника защиты создается с возможностью исполнять команду "PWRDWNSYS" (Power Down System), останавливающую работу машины. По очевидным причинам эта привилегированная команда не доступна обычным пользователям. Также есть набор специальных прав, которые могут быть предоставлены лишь избранным пользователям. Эти специальные права связаны с такими операциями, как подвешивание объектов, управление процессами, выполнение операций загрузки/ дампа и использование низкоуровневых сервисных средств.

Хотя все привилегированные команды и специальные атрибуты могут быть заданы в профиле пользователя по отдельности, OS/400 объединяет команды и права в шесть групп специальных прав:

"все объекты" - разрешает доступ к любому системному ресурсу, независимо от того, оговорены ли особо права пользователя на такой доступ;
"администратор защиты" - разрешает создание и изменение профилей пользователя;
"сохранение системы" - разрешает сохранять, восстанавливать и освобождать память для любого объекта в системе, независимо от того, имеет ли пользователь право определять существование этого объекта;
"управление заданиями" - разрешает изменять, отображать, задерживать, возобновлять, отменять и удалять все задания, которые исполняются в системе, а также находятся в очередях заданий или в выходных очередях;
"обслуживание" - разрешает выполнять сервисные операции отображения/изменения/ дампа .
"управление спулом" - разрешает удалять, отображать, задерживать и отпускать спулфайлы, владельцами которых являются другие пользователи.

Профиль пользователя - это сердце системы защиты AS/400. Он управляет доступом практически ко всем ресурсам системы. Но даже если профиль пользователя не дает последнему прав на некоторый объект или ресурс системы, такие права можно получить иными способами. Далее мы рассмотрим два способа получения дополнительных прав: заимствование прав программой и права группы.

Заимствование прав программой

Во время исполнения программы профиль пользователя - владельца программы может служить дополнительным источником прав. Возможность заимствования прав позволяет программе выполнять операции , требующие полномочий, которыми пользователь непосредственно не обладает. Вместо того, чтобы предоставлять дополнительные права пользователю, пользовательская прикладная программа вызывает другую программу, владелец которой имеет соответствующие права . Таким образом, заимствование прав программой требует использования концепции стека вызовов . Такое заимствование всегда аддитивно и никогда не уменьшает прав доступа.

Заимствование - атрибут программы, задаваемый при ее создании. Если вызываемая программа допускает заимствование прав, то любая вызывающая программа может использовать права владельца во время выполнения вызываемой программы. Программы, работающие в системном состоянии, могут сами задать запрет на заимствование. Программа может также запретить дальнейшее распространение прав. Это означает, что вызывающая программа будет заимствовать права , но эти права не сохранятся для программ, расположенных дальше по цепи вызовов.

Ранее мы рассматривали только случаи, когда один пользователь имеет права на один объект . Однако, иногда нужно предоставить одинаковые права группе пользователей, или права на группу объектов.

Группирование прав

На AS/400 есть три метода группирования прав. Списки прав и профили групп упрощают администрирование защиты, устраняют необходимость индивидуального подхода к пользователям или объектам. Держатели прав ( authority holders ) были введены IBM еще в среде System/36.

При установке Kaspersky Security Center 10 автоматически формируются группы пользователей KLAdmins и KLOperators, которым предоставляются права на подключение к Серверу администрирования и на работу с его объектами.

KLAdmins и KLOperators создаются:

В домене, в который входит Сервер администрирования, и на Сервере администрирования, если Kaspersky Security Center 10 устанавливается под учетной записью пользователя, входящего в домен.
На Сервере администрирования, если Kaspersky Security Center 10 устанавливается под учетной записью системы.

Для просмотра групп KLAdmins и KLOperators и изменения прав пользователей групп KLAdmins и KLOperators используйте стандартные средства администрирования операционной системы.

Группе KLAdmins предоставлены все права. Набор прав для KLAdmins недоступен для изменения. Пользователи из группы KLAdmins - администраторы Kaspersky Security Center.

Группе KLOperators предоставлены права на чтение и выполнение. Пользователи из группы KLOperators - операторы Kaspersky Security Center.

Права администратора Kaspersky Security Center предоставляются локальным администраторам устройств, на которых установлен Сервер администрирования.

После установки программы администратор Kaspersky Security Centerможет:

Изменять права для групп KLOperators.
Определять права доступа к функциям программы Kaspersky Security Center другим группам пользователей и отдельным пользователям, которые зарегистрированы на рабочем месте администратора.
Определять права доступа пользователей к работе в каждой группе администрирования.

Как предоставить права доступа

Откройте свойства группы администрирования или объекта Сервера администрирования и перейдите в раздел Безопасность .
Снимите флажок Наследовать параметры Сервера администрирования или группы верхнего уровня .
Выберите пользователя или группу пользователей.
Перейдите на вкладку Права . Установите флажки напротив функций, к которым необходимо предоставить права доступа.

Чтобы отследить действия пользователя:

Откройте Kaspersky Security Center 10.
Перейдите в Сервер администрирования → События .
Выберите События аудита .
Записи о действияx пользователя начинаются со слова Аудит .

Набор прав доступа в Kaspersky Security Center 10

В Kaspersky Security Center 10 для большинства функций поддерживается стандартный набор прав доступа:

Чтение. Разрешается просматривать параметры объектов. Запрещается выполнять операции, создавать новые и изменять существующие объекты. Для подключения к Серверу администрования пользователь должен иметь разрешение на чтение.
Изменение. Разрешается изменять параметры, создавать новые объекты. Запрещается выполнять операции над объектами.
Выполнение. Разрешается выполнять операции над объектами. Запрещается создавать новые и изменять существующие объекты.
Выполнение операций для выборок устройств. Разрешается создавать, изменять параметры и выполнять операции с выборками устройств. Для объектов:
- Задачи для выборок устройств.
- Отчеты с выборками устройств.
- Правила перемещения устройств в группы администрирования.
- Правила автоматического назначения тегов устройствам.

Наиболее распространённый способ доступа пользователей к данным - доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.

Права доступа к файловой системе NTFS позволяют определять уровень доступа пользователей к размещённым в сети, или локально на вашем компьютере Windows 7 файлам.

Права доступа - разрешение на выполнение операций с определённым объектом, например файлом. Права могут быть предоставлены владельцем или другим имеющим на это право пользователем. Как правило, это администраторы в системе. Если вы являетесь владельцем объекта, то можете предоставить права доступа к этому объекту любому пользователю или группе пользователей.

К каждому контейнеру и объекту в сети прилагается набор информации о контроле доступа к нему. Эта информация называемая дескриптором безопасности управляет типом доступа пользователям и группам. Права доступа, которые определены в дескрипторе безопасности объекта, связаны или назначаются конкретным пользователям и группам.

Права доступа к файлам и папкам определяют тип доступа, который предоставляется пользователю, группе или конкретному компьютеру на файл или папку. Например, можно позволить одному пользователю читать содержимое файла, другому вносить в него изменения, а всем остальным пользователям запретить доступ к файлу. Так же можно устанавливать права доступа к папкам.

Существует два уровня прав доступа:

Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

Существует два типа доступа по NTFS:

Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

Права на наследование.

Существует два типа прав доступа:

Прямые права доступа: если объект создаётся действием пользователя, доступ, установлен по умолчанию на не дочерние объекты.
Унаследованный доступ: доступ распространяется на объект от родительского объекта. Наследованный доступ облегчает управление разрешениями и обеспечивает единообразие доступа для всех, находящихся в данном контейнере, объектов.

Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.

Также, не изменяя оригинального назначения доступом, можно установить разрешения на папки и файлы ниже начального пункта наследования. Это сделано для того, чтобы иметь возможность предоставить определённому пользователю или группе пользователей другой доступ к файлу, отличающийся от основного унаследованного доступа.

Существует три способа изменения унаследованного доступа:

Внести изменения в родительской папке, а затем файлы или папки, унаследуют эти права доступа.
Изменить доступ на противоположный (разрешить или запретить), чтобы отменить унаследованный доступ.
Выбрать "не наследовать права доступа от родительского объекта", а затем внести изменения в права или удалить группу или пользователя из списка прав доступа к файлу или папке.

В большинстве случаев, если папка наследует конфликтующие параметры от разных родителей, команда "Запретить" переопределяет команду "Разрешить". В этом случае, ближайший к объекту в поддереве наследуемый от родительского элемента параметр, будет иметь приоритет.

Дочерними объектами наследуются только наследуемые права доступа. Когда установлены права доступа к родительскому объекту, в дополнительных настройках безопасности вам нужно установить, могут ли папки или подпапки их наследовать.

Примечание: Если объект имеет прямое право - "Разрешить", запрет на унаследованное право доступа не препятствует доступу к объекту. Прямые права доступа имеют приоритет над унаследованными правами, даже над унаследованным запретом.

Блокировка наследуемых прав доступа.

После установки прав доступа на родительскую папку, созданные в ней новые файлы и папки, наследуют эти права. Для ограничения доступа к этим файлам и папкам наследование прав доступа может быть заблокировано. Например, все пользователи бухгалтерии могут иметь права на папку УЧЕТА "Изменить". На подпапке ЗАРАБОТНАЯ ПЛАТА, наследуемые права доступа могут быть заблокированы, и предоставлены только некоторым определённым пользователям.

Примечание: Когда наследованные права доступа заблокированы, есть возможность скопировать существующие права, либо создать новые. Копирование существующих прав доступа упрощает процесс настройки ограничений для определённой группы или пользователя.

С объектом разграничения доступа связывается дескриптор безопасности SD (security descriptor), содержащий следующую информацию:

o идентификатор безопасности (SID) владельца объекта;

o идентификатор безопасности первичной группы владельца;

o дискреционный список контроля доступа (discretionary access control list, DACL);

o системный список контроля доступа (system access control list, SACL).

Списки управления доступом

o Список SACL управляется администратором системы и предназначен для аудита безопасности.

o Список DACL управляется владельцем объекта и предназначен для идентификации пользователей и групп, которым предоставлен или запрещен определенный тип доступа к объекту.

Элементы списков управления доступом

Каждый элемент списка DACL (access control entry, ACE) определяет права доступа к объекту одному пользователю или группе. Каждый ACE содержит следующую информацию:

o идентификатор безопасности SID субъекта, для которого определяются права доступа;

o маска доступа (access mask, AM), которая специфицирует контролируемые данным ACE права доступа;

o признак наследования прав доступа к объекту, определенных для родительского объекта.

Элементы списка DACL могут быть двух типов – элементы, запрещающие определенные в них права доступа (Access-allowed ACE), и элементы, запрещающие определенные в них права доступа (Access-denied ACE). Элементы для запрещения субъектам использования определенных прав доступа должны размещаться в «голове» списка, до первого из элементов, разрешающих использование субъектом тех или иных прав доступа.

Права доступа (разрешения)

o В операционной системе Windows различаются специальные, стандартные и общие (родовые, generic) права доступа к объектам. Специальные права доступа определяют возможность обращения к объекту по свойственному только данной категории объектов методу – чтение данных из объекта, запись данных в объект, чтение атрибутов объекта, выполнение программного файла и т.д.

o Стандартные права доступа определяют возможность доступа к объекту по методу, применимому к любому объекту, – изменение владельца объекта, изменение списка DACL объекта, удаление объекта и т.д.

Права доступа (разрешения)

Каждое из общих прав доступа представляет собой комбинацию специальных и стандартных прав и предоставляет возможность обращения к объекту с помощью некоторого набора методов доступа. Примеры общих прав доступа:

o чтение , включающее в себя чтение DACL объекта, чтение данных из объекта, чтение его атрибутов и расширенных атрибутов, использование объекта для синхронизации;

o запись , включающая в себя чтение DACL объекта, запись и добавление данных в объект, запись его атрибутов и расширенных атрибутов, использование объекта для синхронизации;

o выполнение , включающее в себя чтение DACL объекта, чтение его атрибутов, выполнение программного файла и использование объекта для синхронизации.

Разграничение доступа к объектам

Маркер доступа субъекта, обращающегося к некоторому объекту, поступает в локальную службу безопасности LSA. От LSA маркер доступа поступает к монитору безопасных ссылок (security reference monitor, SRM), который просматривает DACL из дескриптора безопасности SD соответствующего объекта и принимает решение R о предоставлении доступа субъекту или отказе в доступе. Получив от SRM результат R, LSA передает его субъекту, запросившему доступ к объекту.

Алгоритм проверки прав доступа к объекту

1. Если SID из маркера доступа субъекта AT не совпадает с SID, содержащемся в элементе ACE списка контроля доступа к объекту, то осуществляется переход к следующему ACE, иначе переход к п. 2.

2. Если в элементе ACE запрещается доступ к объекту для субъекта с данным SID, но этот субъект является владельцем объекта и запрашиваемая маска доступа содержит только попытку доступа к объекту по методу «чтение (или) изменение дискреционного списка контроля доступа к объекту» (чтение или смена разрешений, запись DAC), то доступ субъекта к объекту разрешается, иначе осуществляется переход к п.3.

3. Если в элементе ACE запрещается доступ к объекту для субъекта с данным SID, то сравниваются запрашиваемая маска доступа и маска доступа, определенная в ACE. Если при сравнении находится хотя бы один общий метод доступа, то попытка доступа субъекта к объекту отклоняется, иначе происходит переход к следующему ACE.

4. Если в элементе ACE разрешается доступ к объекту для субъекта с данным SID, то также сравниваются запрашиваемая маска доступа и маска доступа, определенная в ACE. Если при этом маски доступа полностью совпадают, то доступ субъекта к объекту разрешается, иначе происходит переход к следующему ACE.

5. Если достигнут конец списка DACL из дескриптора безопасности объекта, то попытка доступа субъекта к объекту отклоняется.

Следствия из рассмотренного алгоритма

o Если DACL объекта пуст, то любой доступ к нему запрещен всем субъектам, за исключением владельца объекта, которому разрешены чтение и (или) изменение списка контроля доступа к объекту.

o Если у объекта нет дескриптора безопасности (например, у папок и файлов, размещенных на дисках под управлением файловой системы FAT), то любые пользователи и группы могут получить любые права доступа к данному объекту.