jeton de acces - este un obiect care încapsulează descriptorul de securitate al procesului [1]. Atașat la procesul de securitate identifică descriptor obiect de proprietate [2] [3]. În timp ce token-ul este utilizat pentru a reprezenta singurele informații de siguranță, este liber punct de vedere tehnic a conținutului său și poate conține date. jeton de acces utilizat de Windows. Atunci când un proces încearcă să interacționeze cu obiecte, care descriptori de securitate necesită un control de acces [1]. Indicativul de acces este reprezentat de un tip de obiect sistem de token. Datorită faptului că markerul - de obicei acces obiect de sistem la markerul poate fi controlată prin utilizarea unui descriptor de securitate, dar este de obicei făcut niciodată în practică.
Indicativul de acces este generat de intrarea de serviciu în sistem atunci când utilizatorul se conectează în, iar autenticitatea sa este instalat cu succes, definirea drepturilor utilizatorilor în descriptorul de securitate, deținut în marcatorul. Markerul este atașat fiecărui proces creat de către utilizator (procesele deținute de către utilizator) sesiune [1]. Ori de câte ori un astfel de proces nu se cere nici o resursă la care accesul este controlat, Windows arată în descriptorul de securitate în token-ul de acces, în cazul în care utilizatorul este proprietarul procesului, dreptul de acces la date, și dacă da, ce acțiuni (a se citi, scrie / schimbare) el a permis. În cazul în care operațiunea este legală în contextul unui anumit utilizator, Windows permite să continue procesul, dacă nu, atunci refuză accesul.
Tipurile de securitate token-uri
Există două tipuri de jetoane de securitate:
jeton primar
Markerii de acces primar poate fi asociată numai cu procesul și constituie un subiect al siguranței procesului. Crearea unui markeri primari și asocierea lor cu procesul este o operațiune privilegiată, care necesită două privilegii diferite (pentru separarea privilegiilor) - un scenariu tipic vede crearea unui identificare serviciu jeton de securitate și intrarea de serviciu în sistem, asociindu-l cu carcasa sistemului de operare. Procesul moștenește inițial o copie a marker primar al procesului părinte. markeri de acces Impersonaliziruyuschie poate fi asociată numai cu fluxuri și constituie un proces client de directori de securitate.
indicativ de acces Impersonaliziruyuschie
Impersonalizatsiya - un concept de securitate inerente numai pentru Windows NT. care permite aplicației server pentru a temporar „pentru a fi“ accesul clientului la obiect protejat. Impersonalizatsiya este format din trei niveluri posibile: de identificare, permițând serverul autentifică impersonalizatsiya client care permite unui server pentru a rula în numele clientului, iar delegația, la fel ca impersonalizatsiya extinsă doar pentru a lucra cu sistemele de la distanță, la care un server. Clientul poate alege cel mai înalt nivel posibil impersonalizatsii pe setările de conectare server. Operațiuni privilegiate - Delegația și impersonalizatsiya.
Componentele token-ul de acces
Indicativul de acces constă dintr-o varietate de domenii, incluzând, dar fără a se limita la acestea, următoarele:
Proprietarul implicit, grupul primar și ACL-ul pentru obiectele create entități asociate cu jeton utilizatorului.