Санкт-Петербургский государственный политехнический университет
Факультет технической кибернетики
—————————
Кафедра информационной безопасности компьютерных систем
ОТЧЕТ
по лабораторной работе № 10
«Контроль доступа »
По курсу «Основы информационной безопасности»
| Студент: | Виноградова М.М. |
| гр. 1088/4 | |
| Преподаватель: | Калинин М.О. |
Санкт-Петербург
Формулировка задания
Ознакомление со структурой и принципами работы механизма контроля доступа на примере управления правами пользователей относительно файловых ресурсов в операционной системе Windows.
Использованные теоретические сведения
Система контроля доступа в операционной системе Windows отличается высокой степенью гибкости, которая достигается за счет разнообразия субъектов и объектов доступа, a также детализации операций доступа.
Все основные информационные ресурсы хранятся в древовидных иерархических структурах, элементами которых являются объекты-ветви (например, каталоги) и объекты-листья (например, файлы). Контроль доступа для объектов любого типа выполняется централизованно c помощью компонента операционной системы — монитора безопасности (англ. Security Reference Monitor), работающего в привилегированном режиме. Централизация функций контроля доступа повышает
эффективность средств защиты информации операционной системы.
Для подсистемы безопасности операционной системы Windows характерно наличие большого количества различных предопределенных (встроенных) субъектов доступа — как отдельных пользователей, так и групп. Так, в системе имеются стpоенные пользователи, такие как Администратор (Administrator), Гость (Guest), System, a также группы Пользователи (Users), Администраторы (Administrators), Все (Everyone) и т.д. Встроенные пользователи и группы наделены некоторыми заданными по умолчанию полномочиями, что облегчает администратору работу по созданию эффективной системы разграничения доступа. При добавлении нового пользователя администратор решает, к какой группе или группам его отнести. Администратор может создавать новые гpуппы и
устанавливать права как встроенным, так и новым группам и пользователям для реализации политики распределения прав достyпа.
Права доступа — множество операций, которые определяются для субъектов доступа (например, пользователей, групп) по отношению к объектам доступа (например, файлам, каталогам, принтерам, секциям памяти). Примерами прав являются чтение файла, удаление каталога, печать документа. Права, данные группе, автоматически предоставляются ее членам, позволяя администратору рассматривать множество
пользователей как учетную единицу и минимизировать свои действия.
При входе пользователя в систему для него создается так называемый маркер доступа (access token), включающий идентификатор пользователя и идентификаторы всех групп, в которые он входит. B маркере также хранится список привилегий пользователя, учитываемых при выполнении системных действий.
Всем именованным объектам доступа, включая файлы, потоки, процессы и пр., при создании присваивается дескриптор безопасности. Дескриптор безопасности содержит список контроля доступа (Access Control List, ACL) (рис. 10.1). Владелец объекта, обычно пользователь, который его создал, обладает правом избирательного управления доступом к объекту, всегда может изменять ACL объекта чтобы позволить или не позволить другим пользователям осуществлять доступ к объекту.
B простейшем представлении при запросе процессом некоторой операции доступа к объекту управление передается монитору безопасности, который сравнивает идентификaторы пользователя и групп пользователей из маркера доступа c идентификаторами, хранящимися в элементах ACL объекта. Список контроля доступа состоит из многих элементов — записей контроля доступа (Access Control Епнгу, АСЕ). Процесс в течение своего существовaнии может иметь доступ ко многим объектам, a количество активных процессов и проверяемых АСЕ в каждый момент времени довольно большое, поэтому проверка выполняется только при каждом открытии, a не при каждом использовании объекта.
Рассмотрим работу механизма контроля доступа на примере объектов файловой системы операционной системы Windows. Управление доступом пользователей к файловым объектам возможно только в рамках разделов диска, в которых установлена фaйловaя система NTFS. доступ к каталогам и файлам контpолируется за счет установки соответствующих прав пользователей и групп.
Список ACL, сопоставленный объекту, определяет множество прав пользователей системы к этому объекту. Каждая из входящих в ACL 
запись может быть одного из двух типов: разрешающая и запрещающая. В
зависимости от типа АСЕ определяются разрешения или запреты к
объекту. Если АСЕ определена для группы, она считается определенной
для всех членов группы. В рамках одного ACL могут быть заданы
несколько АСЕ, определяющих права одного пользователя или группы
(например, разрешающая пользователю чтение, разрешающая группе пользователя запись и чтение и запрещающая пользователю удаление), которые в общем случае могут быть противоречивы. В связи c этим производится вычисление эффективных прав, определяемого на множестве АСЕ.
Алгоритм вычисления множества эффективных прав имеет вид:
1.)Из всех разрешающих АСЕ для данного пользователя составить рaзрешенное множество прав, которое может быть пустым множеством.
2.)Из всех запрещающих АСЕ для данного пользователя составить запрещенное множество прав, которое мажет быть пустым множеством.
З.) Результирующее множество прав определяется путем вычитания
множества запрещенных прав из множества разрешенных прав.
Таким образом, запрещающие АСЕ обладают большим приоритетом, чем разрешающие. Если для пользователя или группы не установлено прав, то доступ запрещен. Если для пользователя или группы не определен ACL, то это эквивалентно разрешению всех видов доступа.
Для того чтобы изменять список доступа объекта надо либо иметь право доступа "Изменение разрешений" (Change Permissions), либо быть владельцем объекта.
На вкладке "Безопасность" в свойствах объекта представлен упрощенный интерфейс управления списком контроля доступа. После нажатия на кнопку "Дополнительно" появляется окно дополнительных параметров безопасности, в котором также можно изменять владельца файла, более тонко настраивать список контроля доступа, включая наследование прав и получать для конкретного пользователя список
разрешения, действующих на файловый объект.
Результаты работы