Pages Menu
Categories Menu

Опубликовано | Нет комментариев

Безопасность

С самого начала Windows разрабатывалась с прицелом на безопасность и на соответствие различным официальным правительственным и промышленным требованиям к безопасности, таким как спецификация под названием «Общие критерии оценки безопасности информационных систем» — Common Criteria forInformationTechnologySecurityEvaluation (CCITSE).

Достижение уровней безопасности, утвержденных правительством, позволяет операционной системе быть конкурентоспособной в сфере правительственных закупок. Разумеется, многие из соответствующих этим требованиям возможностей являются предпочтительными свойствами для любой многопользовательской системы.

безопасностьОсновные возможности в сфере обеспечения безопасности Windows включают в себя:

  • защиту, предоставляемую на усмотрение (узкого круга лиц), а также обязательную защиту целостности для всех общих системных объектов (файлов, каталогов, процессов, потоков и т. д.);
  • контроль безопасности (для возможности идентификации субъектов, или пользователей, и инициированных ими действий);
  • аутентификацию пользователей при входе в систему и предотвращение доступа одного пользователя к неинициализированным ресурсам (таким как свободное пространство памяти или дисковое пространство), освобожденным другим пользователем.

В Windows имеются три формы управления доступом к объектам. Первая форма — управление избирательным доступом (discretionary access control) — представляет собой защитный механизм, который многими и воспринимается в качестве системы безопасности операционной системы.

Этот метод позволяет владельцам объектов (таких как файлы и принтеры) предоставлять доступ или отказывать в доступе всем остальным пользователям. При входе пользователей в систему им дается набор прав доступа, или контекст безопасности. При попытке доступа к объектам их контекст безопасности сравнивается со списком управления доступом (access control list) объекта, к которому осуществляется попытка доступа, чтобы определить, есть ли у того или иного пользователя права на осуществление запрошенной операции.

Когда управления избирательным доступом недостаточно, необходимо управление привилегированным доступом (privileged access control). Оно представляет собой метод, гарантирующий чей-либо доступ к защищенным объектам в отсутствие их владельца. Например, если работник уходит из компании, администратору нужен способ получения доступа к файлам, которые могут быть доступны только этому работнику. В случае, когда работа ведется под управлением Windows, администратор может стать владельцем файла и, если это необходимо, распорядиться правами доступа к этому файлу.

И наконец, когда требуется дополнительный уровень безопасности для защиты тех объектов, которые доступны в пределах прав одной и той же учетной записи пользователя, нужен обязательный контроль целостности. Он используется как для изоляции браузера Internet Explorer, работающего в защищенном режиме, от пользовательской конфигурации, так и для защиты объектов, созданных при работе с правами учетной записи администратора с расширенными привилегиями, от доступа к ним со стороны пользователей, работающих с правами учетной записи администратора, не имеющего расширенных привилегий.

Безопасность осуществляется и в интерфейсе Windows API. Безопасность на основе объектов реализуется в подсистемах Windows точно так же, как это делается в самой операционной системе. Подсистемы Windows защищают общие Windows-объекты от неавторизованного доступа путем размещения в них дескрипторов безопасности.

При первой попытке приложения получить доступ к общему объекту подсистема Windows проверяет наличие у приложения прав на подобное действие.

Если проверка безопасности проходит успешно, подсистема Windows позволяет приложению продолжить свое действие.

Оставить комментарий

Ваш адрес email не будет опубликован.

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.

↓