Каждый ………. включает маску доступа, которая…………………………………………………………………………………………………………………………….
Каждый тип объекта может иметь до 16 специфических типов доступа.
Для файлов:
ü Чтение данных
ü Запись данных
ü Добавление данных
ü Выполнение
ü Чтение атрибутов
ü Запись атрибутов
Для синхронизации – SYNCHRONIZE.
Для назначения владельца записи – WRITE_OWWER.
Для предоставления или отклонения доступа на запись для контрольной ACL – WRITE_PAC.
Для предоставления или отклонения доступа чтения дескрипторов или владельца – READ_CONTROL.
Для предоставления или отклонения доступа на удаление – DELETE.
Запрашиваемая маска доступа создается для субъекта на основании типа доступа, который пользователь пытается получить. Сравнивается с ACL объекта.
Каждый ACE в ACL оценивается следующим образом:
1) Идентификатор безопасности ACE сравнивается с набором идентификатором безопасности в МД пользователя. Если нет соответствия, данные ACE пропускаются. Дальнейшая обработка основывается на типе ACE. ACE …………… находятся раньше, чем ACE……….
2) В случае отклонения доступа система проверяет запрашиваемую маску доступа на наличие содержания. READ_CONROL или WRITE_PAC. Если так, система проводит определение, является ли запрашиваемый пользователь владельцем объекта. Если да – доступ предоставляется.
3) Для ACE ……………………………………….доступ в маске ACE сравнивается с запрашиваемой маской доступа. Если одинаковый доступ присутствует обеих масках, дальнейшей обработки не происходит и доступ откланяется. Если нет, обработка продолжается со следующей запрашиваемой ACE.
4) Для ACE ……………….доступ в CAE сравнивается с перечисленным запрашиваемой маской доступа. Если все доступы в запрашиваемой маске доступа совпадает с ACE, обработка продолжается и доступ предоставляется. Далее следующая обработка запрашиваемой ACE.
NT позволяет отслеживать события, связанные с ОС или приложениями. Контролирование события распознается системой по имени вызвавшегося события в модуле.
В дополнение в отображение событий по идентификаторам, журнал безопасности перечисляет их по следующим категориям:
1. Account Management (управление пользователем или группой; данное событие описывает изменение БД бюджета пользователя)
2. Detailed Inarching (отслеживание процесса)
3. Logon/ logoff (процесс входа / выхода из системы; отслеживаются успешные и неуспешные попытки)
4. Object Access (доступ к объекту; успешный или неуспешный доступ к объекту)
5. Policy Change (изменение политики безопасности, изменение БД политики безопасности (назначение привилегий))
6. Privilege User (использование прав пользователя; описывает успешные и неуспешные использования попытки привилегий)
Пример 1:
Пользователь имеет идентификатор User 1. Пытается получить доступ на чтение и запись к файлу с именем file 1. МД в User 1 содержит информацию о том, что он является пользователем двух групп: Users и Friends. Users и Friends имеют права полного доступа к file 1.
NT делает:
Ø Читает маску доступа для User 1 и определяет, что он пытается получить доступ на чтение и запись.
Ø NT читает ACE Access Allowed для User 1 и находит соотношение с разрешением чтения в запрашиваемой маске доступа.
Ø NT читает ACE Access Allowed для Friends и находит соотношение с разрешением записи в запрашиваемой маске доступа.
Пример 2:
User 1 пытается получить доступ на чтение и запись к файлу с именем file 1. То же самое, только Friends имеет право только на чтение.
NT делает:
Ø Читает маску доступа для User 1 и определяет, что он пытается получить доступ на чтение и запись.
Ø NT читает ACE Access Denied, которая отклоняет доступ на запись для группы Friends. После этого обработка ACE завершается, доступ не предоставляется.
Пример 3:
Если User 1 является владельцем объекта, при тех условиях доступ предоставлен не будет, но будет предоставлен доступ READ_CONTROL и WRITE_OWWER.
