Модель контроля и управления доступом операционной системы Microsoft Windows 2000

Защита данных в ОС Windows 2000 построена весьма эффективно и гарантируется многоуровневой схемой защиты. Концепции, лежащие в основе безопасности ОС Windows 2000, нельзя назвать революционными основные идеи достались ей в наследство от системы Windows NT 4.0.

Как известно, при разработке Windows 2000 учитывалось то, что она, как и Windows NT, должна удовлетворить уровню безопасности С2, разработанному оборонными ведомствами США. Эти требования учтены при проектировании Windows 2000, поэтому она поддерживает объектную модель защиты. Объектная модель защиты подразумевает, что любой ресурс рассматривается системой Windows 2000 как объект. Это означает, что ресурс обладает своими собственными свойствами (атрибутами), которые могут описывать его поведение с точки зрения безопасности. Кроме того, ресурс включает данные и функции манипулирования этими данными.

В терминах Windows 2000 присутствует понятие «участники безопасности», которое характеризует сущности ОС, участвующие в организации КУД, Известны два основных участника безопасности пользователи и группы пользователей. С каждым пользователем связанна учетная запись, которая позволяет ему войти в систему и которая содержит персональную информацию, Эти данные ОС использует для проверки подлинности пользователя и для его авторизации при доступе к ресурсам компьютера. Группы являются сущностями, которые могут содержать учетные записи пользователей и других групп. Объединение в группы используется для упрощения администрирования системы.

При создании пользователя или группы им присваивается уникальный идентификатор безопасности. Идентификатор безопасности (SID) — структура данных переменной длины, уникальным образом определяющая учетные записи пользователей и групп для системы безопасности ОС Windows 2000. При выполнении КУД внутренние процессы Windows обращаются к учетным записям по их идентификаторам безопасности, а не по именам.

На изолированном компьютере под управлением ОС Windows 2000 выделяют несколько типов объектов, из которых наиболее критичными с точки зрения безопасности являются элементы файловой системы и реестр.

Специальная файловая система NTFS предназначена для обеспечения упорядоченного хранения и безопасности информации. NTFS имеет древовидную структуру, элементами которой являются логические диски, каталоги (иначе: директории, папки) и файлы. Она обладает характеристиками защищенности, поддерживая привилегии владельца, информации и КУД к данным, позволяя управлять разрешениями на доступ к каждому элементу.

Системный реестр Windows 2000 представляет собой централизованную базу данных, служащую для хранения сведений о конфигурации компьютера, ОС и приложений. Реестр имеет древовидную структуру и состоит из пяти корневых разделов. Каждый раздел может содержать вложенные разделы, а также элементы данных, которые называются параметрами. Каждый параметр характеризуется именем, типом данных и значением. ОС Windows 2000 поддерживает управление доступом к разделам реестра.

С каждым пользователем, чья учетная запись существует в системе, ассоциирован перечень задач, которые пользователю разрешено выполнять, т. е. список прав пользователя. Существует два типа прав, привилегии и права на вход в систему. Оба типа разрешений назначаются администраторами отдельным пользователям или группам как часть настроек безопасности.

Привилегия — право пользователя выполнять конкретную задачу, обычно действующее не для конкретного объекта, а для системы в целом. Некоторые привилегии имеют более высокий приоритет, чем разрешения объекта. Пример привилегии_:— право на выключение системы.

Право на вход в систему — право, присвоенное пользователю и определяющее способы его входа в систему. Пример такого права — право на удаленное подключение.

Контроль и управление доступом к объектам в ОС Windows 2000 производится с помощью дескрипторов безопасности, приписанных всем объектам. Дескриптор содержит два списка контроля доступа:

• • дискреционный список контроля доступа, содержащий перечисление учетных записей пользователей, групп и компьютеров, которым разрешен (или запрещен) доступ к объекту;
• • системный список контроля доступа, определяющий, для каких событий должен вестись аудит.

С точки зрения КУД интерес представляет дискреционный список контроля доступа, состоящий из записей контроля доступа, которые содержат разрешения для пользователя или группы.

Каждый пользователь имеет определенный набор прав доступа к конкретному объекту. Кроме того, с каждым объектом ассоциирована учетная запись пользователя, или группы, которая является его владельцем. Владелец управляет правами доступа к данному объекту, т. е. всегда имеет право на их изменение. Возможны следующие пути получения объекта во владение:

• • изначально владельцем объекта является его создатель;
• • от текущего владельца может быть получено разрешение взять объект во владение;
• • администратор имеет возможность взять любой объект во владение.

Права доступа определяют разрешенные пользователю или группе виды доступа к объему. Права доступа могут быть разрешающими в ли запрещающими. Множество прав зависит от типа объекта.

В ОС Windows 2000 существуем два вида прав доступа;

• • явно заданные, которые ассоциируются непосредственно с объектом и задаются во время его создания. Они могут быть изменены пользователем;
• * унаследованные, которые получаются «в наследство» от родительского объекта и изменяются при модификации прав родительского объекта.

Последний способ позволяет обеспечить необходимые права дочерним объектам при изменении прав родительского объекта, что упрощает администрирование. По умолчанию при создании объект наследует все права родительского объекта. Для каждых директории и раздела реестра в Windows 2000 можно указать область действия прав, т. е. какие права следует распространить на какие дочерние объекты. Для каждого объекта Windows 2000 можно запретить наследование прав.

Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения в отношении конкретного объекта образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Под косвенными разрешениями понимаются разрешения, которые имеют группы. Например, если пользователь имеет прямо назначенное разрешение на чтение каталога, а как члену группы ему дано разрешение на запись, то пользователь может и читать, и записывать в каталоге. Поскольку запрещающие права доступа имеют приоритет над разрешающими, достаточно прямого или косвенного запрещения, чтобы отказать пользователю в доступе к объекту независимо от имеющихся разрешающих прав. Общее правило КУД в ОС Windows 2000 таково: пользователю разрешен доступ тогда и только тогда, когда он или хотя бы одна из групп, к которым он принадлежит, имеет разрешение на данный вид доступа, и при этом ни сам пользователь, и ни одна из групп, к которым он принадлежит, не имеют запрещения на данный вид доступа. Права доступа для файлов и папок определены следующие: обзор папок / выполнение файлов, содержание папки / чтение данных, чтение атрибутов, чтение дополнительных атрибутов, создание файлов / запись данных, создание папок / дозапись данных, запись атрибутов, запись дополнительных атрибутов, удаление подпапок и файлов, удаление, чтение разрешений, смена разрешений, смена владельца. Для элементов реестра: запрос значения, задание значения, создание подраздела, перечисление подразделов, уведомление, создание связи, удаление, запись БАС, смена владельца, чтение разрешений.

Для выполнения большинства операций над объектом недостаточно иметь разрешение на соответствующий вид доступа. Например, для того, чтобы прочитать информацию из некоторого файла, необходимо иметь разрешения на чтение, чтение атрибутов, чтение расширенных атрибутов, чтение разрешении. Для разрешения некоторых операций немалую роль играют права доступа субъекта к родительской для объекта директории или разделу реестра. Владелец объекта Windows 2000 всегда имеет разрешение на чтение и изменение разрешений на доступ к нему. Каждый член группы Administrators всегда имеет разрешение на взятие по владение любого объекта.