Управление доступом к объектам

Cистема контроля доступа состоит из участника безопасности (пользователи, группы пользователей, службы, компьютеры), маркера доступа, объектов доступа, дескрипторов безопасности и алгоритма проверки прав. Теперь поговорим подробнее об элементах системы.

Субъектами доступа выступают пользователи (однозначно определенные своей учетной записью в каталоге с соответствующим Security Identifier (SID) пользователя), привилегии (возможность выполнять ту или иную операцию на компьютере, индивидуально для каждого пользователя) и права (запреты и разрешения на выполнение тех или иных действий с объектом, с привязкой к объекту).

Маркер доступа субъекта формируется для каждого субъекта системы. Маркер доступа состоит из дескриптора безопасности конкретного пользователя, дескрипторов безопасности групп пользователей, в которые он входит, а так же привилегии тех групп в которые он не входит.

К объектам доступа относятся файлы, папки (объекты файловой системы). А так же пользователи, компьютеры, принтеры и контейнеры входящие в состав каталога Active Directory.

Дискрипторы безопасности - это список запретов и разрешений (Discretionary Access Control List, DACL), установленных для данного объекта, список назначений аудита (System Access Control List, SACL) и назначение прав для каждого конкретного SID (Access Control Entry, ACE, при этом список назначений аудита объекта Active Directory может содержать строки ACE, назначенные отдельным атрибутам).

Если говорить о наследовании прав и привилегий, то, например, пользователь входящий в группу "администраторы" автоматически наследует права и привилегии, доступные данной группе. Применительно к объектам доступа можно сказать, что вложенные в каталог другие папки (подкаталоги), наследуют те же права и привилегии что и корневой каталог (в котором распологаются эти подкаталоги). Данную функцию можно отключить в настройках доступа и изменять права доступа для каждого объекта отдельно.

Алгоритм проверки прав доступа выполняется следующим образом:

• Пользователь (имеющий, например SID 101 - чтение и SID 187 - изменение, редактирование) пытается получить доступ к объекту с запросом о каком то конкретном действии - удалении объекта
• Система проверяет SID записи объекта доступа (имеющий, например SID 101 - чтение и SID 187 - изменение, редактирование, SID 592 - удаление), и SID записи пользователя
• Проанализировав запрос пользователя на удаление объектка, система дает отказ в выполнении данной операции (по причине отсутствия у пользователя права на удаление этого объекта, то есть, отсутствие SID 592 - удаление)

В случае если у пользователя имеются соответствующие права и привилегии, запрошенная операция будет выполнена.

Так же применяют групповую политику. Это набор правил, в соответствии с которыми производится настройка рабочей среды. Групповые политики создаются в домене и реплицируются в их рамках. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных элемента: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти компоненты содержат в себе информацию о параметрах рабочей среды, которая входит в состав объекта групповой политики.

Групповая политика, это так же принудительная реализация политики безопасности организации для всех субъектов, создание унифицированной среды пользователя, централизованная установка приложений и поддержка концепции IntelliMirror (технология, разработанная Microsoft и предназначена для упрощения и ускорения процесса конфигурирования рабочих станций на основе операционных систем симейства Windows).