Внутреннее устройство Microsoft Windows (гл. 8-11) | страница 19

На первую страницу

Разница между ACE типа «разрешенный объект» и «доступ разрешен», а также между ACE типа «запрещенный объект» и «доступ отклонен» заключается в том, что эти типы используются только в Active Directory. ACE этих типов имеют поле глобально уникального идентификатора (globally unique identifier, GUID), которое сообщает, что данный ACE применим только к определенным объектам или под объектам (с GUID-идентификаторами). Кроме того, необязательный GUID указывает, что тип дочернего объекта наследует ACE при его (объекта) создании в контейнере Active Directory, к которому применен АСЕ. (GUID — это гарантированно уникальный 128-битный идентификатор.)

За счет аккумуляции прав доступа, сопоставленных с индивидуальными АСЕ, формируется набор прав, предоставляемых ACL-списком. Если в дескрипторе защиты нет DACL (DACL = null), любой пользователь получает полный доступ к объекту. Если DACL пуст (т. е. в нем нет АСЕ), доступа к объекту не получает никто.

АСЕ, используемые в DACL, также имеют набор флагов, контролирующих и определяющих характеристики АСЕ, связанные с наследованием. Некоторые пространства имен объектов содержат объекты-контейнеры и объекты-листы (leaf objects). Контейнер может включать другие контейнеры и листы, которые являются его дочерними объектами. Примеры контейнеров — каталоги в пространстве имен файловой системы и разделы в пространстве имен реестра. Отдельные флаги контролируют, как ACE применяется к дочерним объектам контейнера, сопоставленного с этим АСЕ. Часть правил наследования ACE представлена в таблице 8–3 (полный список см. в Platform SDK).

SACL состоит из ACE двух типов: системного аудита (system audit ACE) и объекта системного аудита (system audit-object АСЕ). Эти ACE определяют, какие операции, выполняемые над объектами конкретными пользователями или группами, подлежат аудиту. Информация аудита хранится в системном журнале аудита. Аудиту могут подлежать как успешные, так и неудачные операции. Как и специфические для объектов ACE из DACL, ACE объектов системного аудита содержат GUID, указывающий типы объектов или под-объектов, к которым применим данный АСЕ, и необязательный GUID, контролирующий передачу ACE дочерним объектам конкретных типов. При SACL, равном null, аудит объекта не ведется. (Об аудите безопасности мы расскажем позже.) Флаги наследования, применимые к DACL АСЕ, применимы к ACE системного аудита и объектов системного аудита.

Упрощенная схема объекта «файл» и его DACL представлена на рис. 8–4.

Книги, похожие на Внутреннее устройство Microsoft Windows (гл. 8-11)
Внутреннее устройство Microsoft Windows (гл. 1-4) - Марк Руссинович, Дэвид Соломон
Околокомпьютерная литература
Внутреннее устройство Microsoft Windows (гл. 8-11) - Марк Руссинович, Дэвид Соломон
Журнал «Компьютерра» 2006 № 37 (657) 10.10.2006 - Журнал «Компьютерра»
Околокомпьютерная литература
Внутреннее устройство Microsoft Windows (гл. 8-11) - Марк Руссинович, Дэвид Соломон
Журнал «Компьютерра» 2007 № 07 (675) 20.02.2007 - Журнал «Компьютерра»
Околокомпьютерная литература
Внутреннее устройство Microsoft Windows (гл. 8-11) - Марк Руссинович, Дэвид Соломон
Компьютерра, 2005 № 45 (617) - Журнал «Компьютерра»
Газеты и журналы
Внутреннее устройство Microsoft Windows (гл. 8-11) - Марк Руссинович, Дэвид Соломон
Цифровой журнал «Компьютерра» 2012 № 04 (104) - Журнал «Компьютерра»
Газеты и журналы
Внутреннее устройство Microsoft Windows (гл. 8-11) - Марк Руссинович, Дэвид Соломон