Маркер доступу. Контекст користувача
Як уже відзначалося, найбільш важливою характеристикою суб’єкта є маркер доступу. Зазвичай маркер створюється при інтерактивному вході користувача в систему і зберігає відомості про контекст користувача. Спочатку маркер зв’язується з процесом-оболонкою Windows Explorer, а потім усі процеси, породжені користувачем під час сеансу роботи, одержують дублікат даного маркера. Важливо розуміти, що самостійно створити маркер додаток користувача не може. Це може зробити тільки служба LSASS.
Принцип мінімальних привілеїв рекомендує виконання всіх операцій із мінімальними привілеями, необхідними для досягнення результату. Це дозволяє зменшити втрати від спроб навмисного збитку й уникнути випадкових втрат даних. Наприклад, користувачу не рекомендується реєструватися як адміністратор системи без необхідності. (В крайньому випадку, можна вдатися до послуг штатної утиліти runas, яка дозволяє запускати застосування від імені іншого облікового запису.)
Для безпечної роботи в дусі принципу мінімуму привілеїв ОС Windows підтримує механізми створення маркерів з обмеженими привілеями і запозичення маркера. Перший дозволяє вилучити з маркера певні привілеї, наявність яких при виконанні даної операції не потрібна, а другий дозволяє запускати застосування від імені іншого облікового запису. API системи дозволяє впливати на перелік діючих привілеїв маркера, дублювати маркер, щоб його міг запозичувати інший процес, розв’язувати проблеми запозичення прав і створення обмежених маркерів.
- Основні поняття та визначення захисту інформації. Захист інформації це діяльність спрямована забезпечення
- Властивості інформації, що підлягають захисту.
- Класифікація загроз інформації
- 5. Посередництво (Man-In-Middle).
- 6. Зловживання довірою
- 7. Комп’ютерні віруси:
- 8. Атаки на рівні застосувань:
- Причини виникнення загроз
- Структура політики безпеки
- 1) Таблиця збитків:
- 2) Таблиця імовірності атаки:
- 3) Таблиця ризиків:
- V) Реакція системи на вторгнення
- VI) Опис повноважень користувачів системи
- Політика інформаційної безпеки та її основні поняття. Моделі керування безпекою.
- Захист інформації від витоку технічними каналами. Поняття небезпечного сигналу. Класифікація технічних каналів витоку інформації. Типи захисту від витоку інформації технічними каналами.
- Захист інформації від витоку технічними каналами. Пасивний та активний захист.
- 1) Пасивні методи:
- 2) Активні методи:
- Методи захисту комп’ютерної техніки від витоку інформації технічними каналами.
- Формальні моделі доступу
- Захист інформації в комп’ютерних системах від несанкціонованого доступу. Критерії оцінки захищеності інформації від нсд.
- Захист інформації в комп’ютерних системах від несанкціонованого доступу.
- Аналіз захищеності сучасних універсальних ос. Основні завдання захисту ос. Принципи керування доступом сучасних універсальних ос. Аутентифікація, авторизація та аудит.
- I. Протокол „виклик-відповідь”
- II. Використання одноразових паролів.
- IV. Протокол Kerberos.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту в ос Windows nt/2000/xp. Політика безпеки
- Основні компоненти системи безпеки ос Windows
- Аутентифікація користувача. Вхід у систему
- Маркер доступу. Контекст користувача
- Запозичення прав
- Контроль доступу. Маркер доступу. Ідентифікатор безпеки sid. Структура ідентифікатора безпеки
- Ролевий доступ. Привілеї
- 5. Заборона використання usb-дисків.
- 7. Блокування мережевих загроз.
- 9. Захисник Windows.
- Аналіз захищеності сучасних універсальних ос. Особливості підсистеми захисту ос типу *nix.
- 2. Підтримка шифрувальних файлових систем у зазначених ос.
- Захищені протоколи. Протокол ssl.
- Методи підсилення стандартних засобів захисту. Електронні засоби ідентифікації та аутентифікації. Біометричні засоби ідентифікації.
- 2. Біометричні засоби ідентифікації