четверг, 14 июня 2018 г.

Базовые сведения о безопасности в Windows


В безопасности, на самом базовом уровне, всё сводится к субъектам и объектам. Объект - это то, что вы защищаете. Субъект - это то, от кого вы защищаете. Субъекты и объекты используются в аутентификации (authentication) - проверка кто вы; авторизации (authorization) - предоставление доступа к чему-либо и аудите (auditing) - отслеживание, кто получил доступ. Примером субъекта - служит пользователь. Объектом - файл.

Существует такое понятие как принципал безопасности (security principal). В книге Windows Server 2008 Security Resource Kit, от Microsoft Press, даётся такое определение: A security principal is anything that can be assigned a security identifier (SID) and that can be given permission to access something (Принципал безопасности - это всё, чему может быть назначен SID и предоставлены права доступа к чему-либо).
 В Windows принципалами безопасности являются Пользователи (Users), Компьютеры (Computers) и Группы (Groups). А начиная с Windows Vista принципалом безопасности так же является Служба (Service), которая теперь тоже имеет SID.


SID - (Security ID, идентификатор безопасности)
Числовое представление принципала безопасности.

Access Control List (ACL) - Список контроля доступа (ACL) - Это список записей управления доступом (access control entries, ACE). Каждый ACE в ACL идентифицирует доверенное лицо (trustee) и указывает права доступа, разрешенные или запрещенные для этого доверенного лица (trustee). Дескриптор безопасности для защищаемого объекта может содержать два типа ACL: DACL и SACL.

SACL - System Access Control List
Содержит ACE используемые механизмом логирования событий

DACL - Discretionary Access Control List
Список избирательного управления доступом. Используется для управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Состоит из набора ACE.

ACE - Access Control Entries
Запись управления доступом (ACE) является элементом в списке управления доступом (ACL). ACL может иметь ноль или более ACE. Каждый ACE контролирует или отслеживает доступ к объекту определенным доверенным лицом (субъектом).