Käyttöoikeustunnus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 24. helmikuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 6 muokkausta .

Käyttöoikeustunnus on Microsoft Windows -luokan  käyttöjärjestelmien ohjelmaobjekti, joka sisältää istunnon suojaustietoja ja identifioi käyttäjän, käyttäjäryhmän ja käyttöoikeudet.

Yleiskatsaus

Käyttöoikeustunnus on objekti, joka kapseloi prosessin suojauskuvaajan [1] . Prosessiin sovellettu suojauskuvaaja tunnistaa objektin omistajan [2] [3] . Niin kauan kuin merkkiä käytetään edustamaan vain turvallisuustietoja, se on teknisesti vapaa sisällöltään ja voi sisältää mitä tahansa tietoja. Windows käyttää pääsytunnusta, kun prosessi yrittää olla vuorovaikutuksessa objektien kanssa, joiden suojauskuvaajat vaativat pääsyn hallinnan [1] . Käyttöoikeustunnusta edustaa Token -tyyppinen järjestelmäobjekti . Koska token on tavallinen järjestelmäobjekti, itse tunnukseen pääsyä voidaan ohjata suojauskuvaajan avulla, mutta käytännössä näin ei yleensä tehdä.

Kirjautumispalvelu luo pääsytunnuksen, kun käyttäjä rekisteröityy, ja se todennetaan onnistuneesti määrittämällä käyttäjän oikeudet tunnuksen sisällä olevassa suojauskuvauksessa. Tunnus liitetään jokaiseen käyttäjän istunnon luomaan prosessiin (käyttäjän omistamat prosessit) [1] . Aina kun tällainen prosessi pyytää mitä tahansa käyttöoikeusohjattua resurssia, Windows etsii käyttöoikeustunnisteen suojauskuvauksesta nähdäkseen, onko käyttäjällä, prosessin omistajalla, pääsy tietoihin, ja jos on, mitä toimintoja (lukea, kirjoittaa/ muokata) hän on sallittu. Jos toiminto on sallittu tietyn käyttäjän yhteydessä, Windows sallii prosessin jatkumisen, jos ei, se estää pääsyn.

Käyttöoikeustunnustyypit

Käyttötunnuksia on kahdenlaisia:

Primary Access Token

Ensisijaiset käyttöoikeudet voidaan liittää vain prosessiin, ja ne ovat prosessin suojauskohde. Ensisijaisten tokenien luominen ja niiden yhdistäminen prosessiin ovat etuoikeutettuja toimintoja, jotka vaativat kaksi erilaista oikeutta (oikeuksien erottamiseen). Tyypillisessä tilanteessa identiteettipalvelu luo tunnuksen ja kirjautumispalvelu liittää sen käyttäjän käyttöjärjestelmän kuoreen . Luodessaan uudet prosessit perivät kopion pääprosessin ensisijaisesta tunnuksesta.

Toisena käyttöoikeustunnuksia

Toisena henkilönä esiintyminen on Windows NT :lle ainutlaatuinen suojauskonsepti , jonka avulla palvelinsovellus voi tilapäisesti "olla" asiakas käyttää suojattua objektia. Toisena henkilönä esiintyminen koostuu kolmesta mahdollisesta tasosta: tunnistaminen, jonka avulla palvelin voi todentaa asiakkaan, toisena henkilönä esiintyminen, jonka avulla palvelin voi toimia asiakkaan puolesta, ja delegointi, joka on sama kuin toisena henkilönä esiintyminen, joka laajenee toimimaan vain etäjärjestelmissä, joita palvelin kommunikoi kanssa. Asiakas voi valita yhteysparametrista suurimman mahdollisen toisena henkilönä esiintymisen tason palvelimella. Delegointi ja toisena henkilönä esiintyminen ovat etuoikeutettuja toimintoja. Toisena esiintyviä käyttöoikeuksia voidaan liittää vain säikeisiin , ja ne ovat asiakasprosessin turvallisuuskohteita. Impersonation tokenit luodaan ja liitetään tavallisesti nykyiseen säikeeseen implisiittisesti käyttämällä IPC - mekanismeja, kuten DCE RPC , DDE ja nimettyjä putkia .

Käyttöoikeustunnuksen komponentit

Käyttöoikeustunnus koostuu useista kentistä, mukaan lukien mutta ei rajoittuen seuraavista:

  • tunniste ;
  • liittyvän kirjautumisistunnon tunniste. Identiteettipalvelu ylläpitää istuntoa, ja se on täytetty identiteettipaketteilla, jotka sisältävät kokoelman kaikista käyttäjän kirjautumisen aikana antamista tiedoista (tunnistetiedot). Toimeksiantoa käytetään etäjärjestelmiin pääsyyn ilman tarvetta tunnistaa asiakas uudelleen edellyttäen, että kaikki mukana olevat järjestelmät jakavat identiteettitiedot.
  • käyttäjätunnus. Tämä kenttä on tärkein ja kirjoitussuojattu.
  • niiden ryhmien tunniste, joihin käyttäjä (tai tarkemmin sanottuna subjekti) kuuluu. Ryhmätunnuksia ei voi poistaa, mutta ne voidaan poistaa käytöstä. Korkeintaan yhdelle ryhmistä on määritetty istunnon tunniste, mielivaltainen kirjautumisistuntoa edustava ryhmä, joka mahdollistaa pääsyn istuntoon liittyviin erilaisiin objekteihin.
  • rajoittavat ryhmätunnisteet (kenttä on valinnainen). Tämä on ylimääräinen joukko ryhmiä, jotka eivät anna lisäkäyttöoikeuksia, mutta rajoittavat niitä: pääsy objektiin on avoin vain, jos se on avoin myös jollekin näistä ryhmistä. Tämän tyyppistä ryhmää ei voi poistaa tai poistaa käytöstä.
  • oikeuksia, eli käyttäjän erityisominaisuuksia. Useimmat oikeudet on oletuksena poistettu käytöstä, jotta estetään huonosti suojattujen ohjelmien aiheuttamat vahingot. Windows XP Service Pack 2:sta ja Windows Server 2003 :sta alkaen käyttöoikeudet voidaan poistaa käyttövaltuutuksesta kutsumalla AdjustTokenPrivileges() -attribuutilla SE_PRIVILEGE_REMOVE.

Oletusomistaja, ensisijainen ryhmä ja ACL kohteille, jotka on luotu käyttäjätunnukseen liitetyn subjektin avulla.

Muistiinpanot

  1. 1 2 3 pääsytunnukset arkistoitu 21. heinäkuuta 2012 Wayback Machinessa  
  2. Suojauskuvaukset Arkistoitu 5. elokuuta 2011 Wayback Machinessa  
  3. Suojattavat objektit Arkistoitu 5. elokuuta 2011 Wayback Machinessa