Учётные записи и группы пользователей в Windows XP

Страницы работы

7 страниц (Word-файл)

Фрагмент текста работы

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ УКРАИНЫ

ХАРЬКОВСКИЙ НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ РАДИО ЭЛЕКТРОНИКИ

Кафедра БИТ

Реферат

На тему: «Учётные записи и группы пользователей в Windows XP»

Выполнил:

Ст. Гр. ЗИОДм-08-1

Шпак Д.М.

Проверил:

Харьков 2008

Безопасность WindowsXP. Общие сведения

В операционной системе Windows NT существует единая система для идентификации, проверки подлинности, контроля доступа и записи информации о событиях, связанных с безопасностью. В рамках данной архитектуры все объекты и все процессы Windows NT подчиняются требованиям системы безопасности. Последняя включает в себя несколько основных компонентов.

Рис.1 Компоненты системы безопасности

Процессы входа в систему (logon processes) обрабатывают запросы пользователей о входе в систему.

Локальный администратор безопасности (Local Security Authority, LSA) — проверяет, есть ли у пользователя необходимые полномочия для входа в систему. Этот компонент создает маркеры доступа, управляет локальными правилами безопасности (local security policy), обеспечивает службы интерактивной проверки подлинности.

Пакет проверки подлинности (Authentication package) проверяет подлинность пользователя.

Диспетчер учетных записей (Security Account Manager, SAM) поддерживает базу данных учетных записей (Security Account Database). В ней хранятся все учетные записи пользователей и групп. Эта база является частью реестра операционной системы и недоступна обычным пользователям в ходе нормальной работы, SAM обеспечивает службы подтверждения подлинности пользователя, используемые администратором локальной безопасности.

Монитор безопасности (Security Reference Monitor, SRM) проверяет, имеет

ли пользователь достаточные права для доступа к объекту. В отличие от других компонентов системы безопасности он работает в режиме ядра. Компоненты ядра и пользовательские процессы обращаются к Монитору безопасности, чтобы выяснить, имеют ли право пользователи и процессы получить доступ к объекту.

Субъектом (subject) доступа в операционной системе Windows NT является

комбинация процесса (process), т. с. исполняющейся программы пользователя, с маркером доступа (access token). Маркер доступа представляет собой структуру данных, содержащую, в частности, идентификаторы безопасности, связанные с пользователем, и его привилегии.

Чтобы однозначно идентифицировать пользователя или группу, система

безопасности Windows NT использует структуру данных, называемую

идентификатором безопасности (Security Identifier, SID). При создании новой

учетной записи Windows NT генерирует очередной уникальный SID, который в дальнейшем будет применяться как идентификатор учетной записи в маркере доступа и списках контроля доступа, При этом для обеспечения уникальности SID система использует имя домена или компьютера, текущую дату и время, а также другую информацию. Уникальность в данном случае означает, что идентификаторы безопасности будут гарантированно различны, даже если они созданы на разных компьютерах. Кроме того, эти идентификаторы никогда не используются в Windows NT повторно.

Для разных доменов значения SID перечисленных в таблице учетных записей отличаются, однако при этом относительные идентификаторы для соответствующих учетных записей равны предопределенным значениям на всех установках Windows NT.

Обычно разрешение на выполнение тех или иных действий выдается по результатам сравнения списка контроля доступа, связанного с объектом, с идентификаторами безопасности пользователя и групп, членом которых является пользователь.

Однако некоторые действия пользователя не связаны с объектами Windows

NT. Например, чтобы определенные сотрудники могли делать резервные копии дисков сервера, они должны иметь право копировать файлы независимо от того, есть ли у них разрешение на это в списке контроля доступа, В этом случае пользователям предоставляются специальные права (User Rights).

Списки пользователей и групп, которым предоставлены те или иные права, хранятся в защищенной части реестра операционной системе внутри ветви HKEY_LOCAL_MACHINE\SECURITY и применяются Локальным администратором безопасности в процессе создания маркера доступа.

Диспетчер учетных записей SAM

Похожие материалы

Информация о работе