Элементы системы безопасности Windows nt/2000/2003/xp. Функции средств: Local Security Authority, Security Account Manager, Security Reference Monitor.

Система защиты ОС Windows состоит из следующих компонентов:

• Процедура регистрации (Logon Processes), которая обрабатывает запросы пользователей на вход в систему. Она включают в себя начальную интерактивную процедуру, отображающую начальный диалог с пользователем на экране, и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT. Процесс Winlogon реализован в файле Winlogon.exe и выполняется как процесс пользовательского режима.

• Подсистема локальной авторизации (Local Security Authority, LSA - часть операционной системы отвечающей за авторизацию локальных пользователей отдельного компьютера), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент - центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа.

• Менеджер учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей.

RPC-сервер Windows, оперирующий базой данных учетных записей.

{Удалённый вызов процедур (или Вызов удалённых процедур) (Remote Procedure Call (RPC)) — класс технологий, позволяющих компьютерным программам вызывать функции или процедуры в другом адресном пространстве (как правило, на удалённых компьютерах).}

SAM выполняет следующие задачи:

1) Идентификация субъектов (трансляции имен в идентификаторы (SID'ы) и обратно);

2) Проверка пароля, авторизация (участвует в процессе входа пользователей в систему);

3) Хранит статистику (время последнего входа, количества входов, количества некорректных вводов пароля);

4) Хранит настроки политики учетных записей и приводит их в действие (политика паролей и политика блокировки учетной записи);

5) Хранит логическую структуру группировки учетных записей (по группам,доменам,алиасам);

6) Контролирует доступ к базе учетных записей;

7) Предоставляет программный интерфейс для управления базой учетных записей.

• Диспетчер доступа (Security Reference Monitor, SRM), проверяющий, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо.

Реализация модели дискреционного контроля доступа связана с наличием в системе одного из ее важнейших компонентов - монитора безопасности. Это особый вид субъекта, который активизируется при каждом доступе и в состоянии отличить легальный доступ от нелегального и не допустить последний. Монитор безопасности входит в состав диспетчера доступа (SRM), который, согласно описанию, обеспечивает также управление ролевым и привилегированным доступом.