Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Всё о работе в Интернет" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Секреты Windows: статьи о реестре, rundll32.exe, программах
Глава 6. Администрирование Windows Vista. 6.1. Настройка разрешений и аудит доступа - Реализация защиты Полезные ссылкиЕсли не предпринять правильных действий, секретность Вашей личной информации на компьютере совсем не гарантируется. Ваши файлы предельно доступны даже для просто любителей чужой информации, не говоря уже о профессиональных взломщиках компьютеров. Реальная конкурентоспособность любой компании нередко определяется тем, насколько внимательно в ней относятся к защите конфиденциальной информации. Программа”LABITAP_Cryptograph” обеспечит Ваш компьютер такой защитной системой, которая по стандартам сравнима с системой ФБР. Подробности: http://sites.google.com/site/labitap/Home В предыдущих разделах данной книги мы с вами рассмотрели основные программы операционной системы Windows Vista, оснастки, а также службы данной операционной системы. Сейчас же будут более подробно рассмотрены способы решения некоторых задач, которые могут возникнуть перед администратором Windows Vista. По сравнению с предыдущими версиями операционных систем Windows, настройка разрешений на доступ к файлам и ветвям реестра в операционной системе Windows Vista совершенно не изменилась: диалоги операционной системы остались те же, механизмы изменения также, настройки безопасности по прежнему основаны на SID учетной записи пользователя. SID представляет собой 48-битный код, который идентифицирует такие объекты операционной системы, как учетные записи пользователей, группы, компьютеры, домены и члены доменов. SID компьютера генерируется при инсталляции операционной системы и используется при генерации SID учетных записей локального компьютера: для создания SID учетной записи к SID компьютера добавляется уникальный на компьютере RID. При этом существует несколько RID, которые на любом компьютере идентифицируют одну и ту же учетную запись. Например, RID 500 идентифицирует учетную запись администратора, а RID 501 — учетную запись гостя. Каждый SID начинается с буквы S, после которой указываются следующие элементы, разделенные дефисом: номер версии (как правило, 1), код агента идентификатора (как правило, 5), четыре кода субагентов, идущие подряд, и, на последнем месте, RID. Однако теперь права администраторов на доступ к файлам и ветвям реестра по умолчанию несколько урезаны. Подсистема защиты в операционных системах семейства Windows основана на SID, маркерах и дескрипторах защиты. Описание SID было приведено выше, сейчас же мы рассмотрим реализацию двух других терминов. Маркер доступаМаркер доступа представляет собой набор сведений, которые присваиваются любому процессу при его создании, и определяют те операции, которые процесс может выполнять. Он содержит в себе следующую информацию:
Поскольку маркер содержит переменные сведения (набор привилегий и групп), его длина не является постоянной. Начальный маркер доступа создается во время входа пользователя в систему, и присваивается начальному процессу userinit.exe. Данный процесс запускает все основные процессы пользователя, а поскольку маркер доступа родительского процесса передается и процессам, которые он создает (дочерним процессам), все процессы, создаваемые пользователем, имеют один и тот же маркер доступа. Кроме основных маркеров доступа и маркеров олицетворения, в операционных системах семейства Windows могут использоваться ограниченные маркеры. Ограниченным называется такой маркер, выданный дочернему процессу, в котором отсутствует какая-нибудь привилегия родительского маркера. Дескрипторы защитыЕсли маркер доступа выдается процессу, и определяет те права, которыми обладает запущенный процесс, то дескриптор защиты выдается объектам операционной системы (файлы, каталоги) и определяет тех пользователей, которые могут получить доступ к объекту, а также права, которыми эти пользователи обладают. Дескриптор защиты состоит из следующих элементов.
DACL и SACL являются составными частями списка управления доступом (ACL). Данный список (а также DACL и SACL), состоит из элементов, называемых ACE. Работа с DACL и SACL в операционной системе Windows Vista будет описана ниже. Привилегии и праваПри описании маркеров доступа мы определили, что они могут содержать в себе информацию о привилегиях, предоставляемых процессу. Привилегии, это права определенной учетной записи (или службы, о чем было описано в главе данной книги, посвященной службам), позволяющие ей выполнять те операции в операционной системе, которые по умолчанию выполнять запрещено. Мы с вами уже сталкивались с привилегиями, когда рассматривали оснастку РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ, хотя тогда мы упомянули о них лишь мельком, даже не говоря о том, что это привилегии. Привилегии операционной системы Добавлять и удалять привилегии можно как с помощью API-функций, так и с помощью оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ. Для этого применяется подраздел оснастки COMPUTER CONFIGURATION/WINDOWS SETTINGS/SECURITY SETTINGS/LOCAL POLICIES/USER RIGHTS ASSIGNMENT. Данный подраздел содержит следующие элементы (сначала указано системное название привилегии, потом ее название в оснастке, и, в самом конце, ее описание).
Если же вам необходимо узнать, какие привилегии предоставлены текущему пользователю, тогда можно воспользоваться новой программой командной строки операционной системы Windows Vista Whoami.exe. Для этого применяется следующий синтаксис программы: Whoami /priv. Права учетной записи Также подраздел Computer Configuration/Windows Settings/Security Settings/Local Policies/User Rights Assignment оснастки GROUP POLICY OBJECT EDITOR содержит в себе набор прав, которые могут предоставляться пользователю. Список большинства этих прав приведен ниже.
Продолжение следует Рейтинг: 5.00 [ 1 ]
Оцените: 1 2 3 4 5 moemesto.ru bobrdobr.ru
- добавить в социальные закладки
В начало записиОригинал статьи: http://www.onestyle.com.ua/txt.php?u=508
|
В избранное | ||