4. Umumiy ruxsatlar va foydalanuvchi huquqlarini sozlash.
1. Umumiy tushunchalar
Windows 9x liniyasining tizimlari ko'p foydalanuvchili emas, chunki ular resurslarga kirishni cheklashga ruxsat bermaydi, faqat profilni tanlashga imkon beradi - ma'lum bir foydalanuvchi sozlamalariga muvofiq ma'lumotlarni ko'rsatish usuli. Linux va Windows NT liniya tizimlarida ob'ektlarga kirish operatsion tizim tomonidan boshqariladi . Kirish cheklanishi mumkin bo'lgan ob'ektlar ro'yxati ma'lum OS turiga bog'liq. Masalan, Windows-da himoyalanadigan ob'ektlar fayllar, qurilmalar, kanallar, ishlar, jarayonlar, oqimlar, sinxronizatsiya ob'ektlari, kiritish-chiqarish portlari, umumiy xotira bo'limlari, tarmoq resurslari, ro'yxatga olish kitobi kalitlari va boshqalar bo'lishi mumkin.
Kirish nazorati foydalanuvchilarga, guruhlarga va kompyuterlarga OT ob'ektlariga kirish uchun maxsus ruxsatlarni berishdan iborat.
Ruxsat - bu OT ob'ekti bilan bog'liq bo'lgan qoida bo'lib, u qaysi foydalanuvchilarga va qaysi turdagi ob'ektga kirishga ruxsat berilishini belgilaydi.
Belgilangan ruxsatlar ob'ekt turiga bog'liq. Masalan, Windows-da faylga tayinlanishi mumkin bo'lgan ruxsatlar ro'yxatga olish kitobi kalitiga tayinlanishi mumkin bo'lgan ruxsatlardan farq qiladi.
Ob'ektga egalik
Ob'ekt yaratilganda, unga egasi tayinlanadi . Odatiy bo'lib, ob'ektning egasi uning yaratuvchisi hisoblanadi. Ob'ekt uchun qanday ruxsatlar o'rnatilgan bo'lishidan qat'i nazar, ob'ekt egasi har doim bu ruxsatlarni o'zgartirishi mumkin.
Meros mexanizmi administratorlarga ruxsatlarni belgilash va boshqarishni osonlashtiradi. Ushbu mexanizm orqali konteyner uchun o'rnatilgan ruxsatlar avtomatik ravishda ushbu konteynerdagi barcha ob'ektlarga tarqaladi. Masalan, papkada yaratilgan fayllar jildning ruxsatlarini meros qilib oladi.
2. Windows tizimida kirishni boshqarish
1-sonli l / r-da aytib o'tilganidek, tizim har bir ro'yxatdan o'tgan foydalanuvchi uchun o'z hisobini yaratadi. Barcha foydalanuvchilarning hisoblari ba'zi tizim ma'lumotlar bazasida saqlanadi . Soddalashtirilgan, bu 1-rasmda sxematik tarzda ko'rsatilgan jadval.
Guruch. 1. Hisob-kitoblarning ma'lumotlar bazasi
Har bir hisob uchun tizim nomlar, parollar va noyob identifikatorlarni saqlaydi - SID (Security Identifier). Ikkinchisi tizim tomonidan kelajakda ma'lum bir hisobga aniq murojaat qilish kerak bo'lgan joyda qo'llaniladi. Hisob qaydnomalari ma'lumotlar bazasi nafaqat foydalanuvchilar, balki SIDga ega bo'lgan foydalanuvchilar guruhlari (masalan, "Administratorlar") haqida ham ma'lumotlarni o'z ichiga oladi. Guruhlar bir nechta foydalanuvchilarga umumiy foydalanish huquqlarini o'rnatishga imkon beradi . Guruhlar yordamida hisoblarni boshqarish foydalanuvchilarning resurslarga kirishini nazorat qilish bo'yicha administratorning ishini soddalashtiradi.
Har bir OT ob'ekti yoki resursi uchun kirishni boshqarish ro'yxati (ACL) saqlanadi. U ushbu ob'ektga kirishga ruxsat berilgan, shuningdek rad etilgan foydalanuvchilarning ro'yxatini belgilaydi.
Har bir kirishni boshqarish ro'yxati (ACL) kirishni boshqarish yozuvlari to'plamidir (ACE).
2-rasm. ACL va ACE
ACE ikki xil (ruxsat berish va rad etish) va uchta maydonni o'z ichiga olishi kerak:
· Ushbu qoida qo'llaniladigan foydalanuvchi yoki guruhning SID;
· Ushbu qoida qo'llaniladigan kirish turi;
· ACE turi - ruxsat berish yoki rad etish.
Shunday qilib, 2-rasmda ko'rsatilgan ACL quyidagi qoidalarni o'rnatadi: foydalanuvchiga SID1 ob'ektni o'qishga ruxsat berish, lekin yozish huquqini rad etish va foydalanuvchi SID2 - ob'ektga to'liq kirish imkonini beradi.
Bundan tashqari, xavfsizlik deskriptoriga quyidagi qoidalar qo'llaniladi:
- Agar ACL bo'lmasa, u holda ob'ekt himoyalanmagan hisoblanadi, ya'ni hamma unga cheksiz kirish huquqiga ega;
- Agar ACL mavjud bo'lsa, lekin hech qanday ACE bo'lmasa, ob'ektga kirish hamma uchun yopiq.
Nazariy jihatdan, ikkita ACE bir-biriga zid bo'lgan vaziyat bo'lishi mumkin. Masalan, bitta ACE ma'lum bir guruh a'zolariga to'liq kirish huquqini beradi, boshqasi esa ushbu guruhdan ma'lum bir foydalanuvchiga kirishni rad etadi. Ushbu foydalanuvchi ob'ektga kirish huquqiga ega bo'ladimi, ACE'larning joylashuv tartibiga bog'liq.
Jarayon himoyalangan ob'ektga kirishning ma'lum bir turini talab qilganda, tizim quyidagi algoritmga muvofiq harakat qiladi:
· ACLdagi barcha ACElar birinchidan oxirigacha ko'rib chiqiladi. Birinchi duch kelgan element hal qiluvchi rol o'ynaydi, bu foydalanuvchiga so'ralgan xizmatdan foydalanishga imkon beradi yoki uni rad etadi.
· Agar so'ralgan ruxsat turlaridan kamida bittasi berilmasa (taqiqlangan yoki ACLning oxiriga erishilgan bo'lsa), tizim ob'ektga kirishni rad etishga qaror qiladi. Bundan xulosa qilishimiz mumkinki, taqiqlovchi elementlarni ACL ning pastki qismiga joylashtirishning ma'nosi yo'q, chunki ularning oldida tegishli ruxsat beruvchi elementlar bo'lmasa, kirish hali ham rad etiladi. Elementlarni rad etish odatda ro'yxatning yuqori qismiga joylashtiriladi, ayniqsa siz uni guruh a'zoligi yordamida olishi mumkin bo'lgan ma'lum bir foydalanuvchiga kirishni rad etishingiz kerak bo'lsa. Windows XP da rad etish elementlari avtomatik ravishda ACL yuqori qismiga joylashtiriladi.
Windows fayl tizimi obyektlari uchun asosiy ruxsatlar 1-jadvalda keltirilgan.
1-jadval Fayl va papkalar uchun asosiy ruxsatlar
Do'stlaringiz bilan baham: |