Bezpečnostní technologie I

Slides:



Advertisements
Podobné prezentace
Obecně o operačních systémech
Advertisements

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-02.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
XII/2007 Gepro, spol. s r.o. Ing. Stanislav Tomeš Struktura výkresu - titulní strana Struktura výkresu WKOKEŠ.
Vzdělávací materiál / DUMVY_32_INOVACE_02B4 Systém uživatelských účtů AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník.
Přístupová práva, maska přístupových práv Jiří Hořejší.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Adresářová služba Active directory
Architektura databází Ing. Dagmar Vítková. Centrální architektura V této architektuře jsou data i SŘBD v centrálním počítači. Tato architektura je typická.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Relační databáze.
Informatika pro ekonomy II přednáška 10
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Katedra elektrotechniky a automatizace Technická fakulta, ČZU Praha Roboty a manipulátory - - přednášky.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-20.
Uživatelské profily, vlastnosti uživatelského účtu
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Technická fakulta ČZU Laboratoř výpočetních aplikací.
Práce se šablonami v MS Word 2007
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Systém a zabezpečení možnosti napájení, zálohování
Databázové systémy II Přednáška č. 9. Transakce je logická jednotka práce sestávající z jednoho nebo více SQL příkazů, které jsou atomické z hlediska.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Ovládací panely Uživatelské účty I.
Základy uživatelských a skupinových účtů
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_13 CZ.1.07/1.5.00/ Moderní škola.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
STRUKTURA POČÍTAČOVÝCH SÍTÍ. Co to je PC síť  PC síť - propojení dvou a více PC za účelem sdílení dat nebo komunikace.
Databázové modelování
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Systém souborů. Množina souborů různých typů – Data – Spustitelné programy – Konfigurační a pomocné informace – I/O zařízení Způsob organizace množiny.
Global network of innovation Identity a Access Management v heterogenním prostředí Marta Vohnoutová 19. dubna 2015.
Miroslav Skokan IT Security Consultant
Ovládací panely Uživatelské účty II. Název a adresa školy: Střední odborné učiliště stavební, Opava, příspěvková organizace, Boženy Němcové 22/2309, 746.
Pohled uživatele.
Systém souborů. Množina souborů různých typů – Data – Spustitelné programy – Konfigurační a pomocné informace – I/O zařízení Způsob organizace množiny.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Řízení přístupu Manželka pošle svého manžela informatika nakoupit se slovy: "Kup chleba a když budou mít rohlíky,
Databázové systémy Datové modely.
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Skupinové politiky.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
STRUKTURA POČÍTAČOVÝCH SÍTÍ učební texty pro deváté ročníky ZŠ
TinWeb v12 Nové rysy TinWeb v12 RNDr. Vladimír Pávek
E- MAIL Ing. Jiří Šilhán. E LEKTRONICKÁ POŠTA NEBOLI vývoj od počátku sítí – původní návrh pouze pro přenos krátkých textových zpráv (ASCII) základní.
Databáze MS ACCESS 2010.
Tento projekt je financován z Operačního programu Vzdělávání pro konkurenceschopnost prostřednictvím Evropského sociálního fondu a státního rozpočtu ČR.
Úvod do databází zkrácená verze.
Bezpečnostní popisovače ACL. Popisovač zabezpečení  Popisovač zabezpečení – sada informací o řízení přístupu - zabezpečení, spojené se zabezpečeným objektem.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
PŘEDCHŮDCI POČÍTAČOVÝCH SÍTÍ … od telegrafu k wifině.
Výukový materiál zpracovaný v rámci projektu: Střední zdravotnická škola ÚO – šablony Registračn í č í slo projektu: CZ.1.07/1.5.00/ Š ablona: III/2.
Moduly.
Vlastnosti souborů Jaroslava Černá.
Soubor Soubor v informatice označuje pojmenovanou sadu dat uloženou na nějakém datovém médiu, se kterou lze pracovat nástroji operačního systému jako.
Souborové systémy 2 Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
Práva uživatelů Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
Identity management v UIS
SOUBOR Souborový systém (anglicky file system) je v informatice označení pro způsob organizace dat ve formě souborů (a většinou i adresářů) tak, aby k.
Informatika pro ekonomy přednáška 8
Zabezpečení www stránek
Správa disků
TELNET, FTP.
Adresace v Internetu (1)
Systém souborů 1.
Souborové systémy 1 Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
Transkript prezentace:

Bezpečnostní technologie I Téma Č. 8: Přístupová známka a bezpečnostní deskriptory mjr. Ing Milan Jirsa, PhD. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Bezpečnostní identifikátor - SID Ve Windows se uživatelé i některé další objekty (lokální a globální skupiny, počítače, domény) označují jedinečnými identifikátory (SID – Security Identifier). SID je numerický řetězec s proměnlivou délkou, který se skládá z několika částí: označení autority a podautority, která SID vytvořila, 48-bitový identifikátor, relativní identifikátor (RID, např. účet Administrátor má RID = 500).

Bezpečnostní identifikátor - SID Pokud je SID někde v systému zobrazen, obsahuje navíc prefix S a jeho jednotlivé části jsou odděleny pomlčkou: S-1-5-21-1463437245-1224812800-863842198-1128. SIDy jsou dostatečně dlouhé a operační systém je generuje dostatečně náhodně, aby nedošlo k duplicitě ani na počítači ani v doméně. Při instalaci Windows vytvoří instalační program SID počítače. Operační systém dále přiděluje SID každému lokálnímu účtu, přičemž tento SID je založen na SIDu počítače a na konci má specifický RID. RIDy pro uživatelské účty a skupiny začínají od hodnoty 1000 a zvětšují se o jedničku.

Well-known SID Ne všechny SIDy jsou skutečně jedinečné. Existují tzv. dobře známé SIDy (well-known SIDs), které jsou naopak na všech počítačích stejné. Také standardní systémové účty a skupiny mají pevně přidělené RIDy (SID počítače je samozřejmě jedinečný). Tak například RID = 500 má účet Administrator, RID = 501 účet Guest.

Přístupová známka (Access Token) Modul SRM používá k identifikaci bezpečnostního kontextu procesu zvláštní datovou strukturu zvanou přístupová známka (access token). Bezpečnostní kontext je tvořen informací o privilegiích, uživatelských účtech a skupinách, které jsou s procesem spojeny. Přístupová známka je vytvořena na konci přihlašovacího procesu. V okamžiku, kdy dojde k ověření jména a hesla, je Winlogon schopen potřebnou informaci získat ze SAM databáze, z databáze politiky Lsass, případně z aktivního adresáře, podle toho, zda se uživatel hlásí prostřednictvím lokálního nebo doménového účtu. Winlogon vytvoří přístupovou známku a spustí Explorer, kterému ji předá. Všechny programy, které uživatel spustí, obdrží kopii přístupové známky.

Přístupová známka Bezpečnostní mechanismus Windows využívá jednotlivé části přístupové známky k tomu, aby určil, zda může proces získat přístup k některému ze zabezpečených objektů, jako například k souboru na NTFS disku. Konkrétně se jedná o pole SID uživatelova účtu a SIDy skupin, jejichž je uživatel členem. Také pole privilegií určuje, co může proces v systému provádět. Pole privilegií představuje seznam práv spojených s přístupovou známkou. Příkladem privilegia může být právo vypnout počítač, nastavit systémový čas apod.

Bezpečnostní deskriptor Další důležitou datovou strukturou jsou bezpečnostní deskriptory, které jsou spojeny s objekty operačního systému jako je soubor, adresář, tiskárna, sdílený adresář, položka registru a objekt v aktivním adresáři. Bezpečnostní deskriptor obsahuje následující informace: Číslo verze. Příznaky – volitelné parametry modifikující vlastnosti deskriptoru. SID vlastníka. SID skupiny identifikující tzv. primární skupinu objektu. DACL (Discretionary access-control list) určuje, kdo bude mít přístup k objektu. SACL (System access-control list) určuje, jaké operace a jakých uživatelů budou zaznamenány do bezpečnostního logu (viz audit).

Seznam přístupových práv - DACL Seznam přístupových práv (ACL – Access Control List) obsahuje záhlaví a několik položek pro řízení přístupu (ACE – Acces Control Entry). DACL má ACE položky obsahující SID a přístupovou masku, které mohou být čtyř typů: access allowed, access denied, allowed-object a denied-object. První typ – podle očekávání – zaručuje uživateli přístup k objektu, druhý typ mu přístup k objektu zakazuje. Třetí a čtvrtý typ se chová podobně jako první a druhý, ale používá se jen v aktivním adresáři, přičemž objekty, se kterými je spojen, identifikuje pomocí globálně jedinečných identifikátorů (GUID). Přístupové právo uživatele k objektu vzniká složením všech ACE položek v seznamu DACL. Pokud v deskriptoru DACL není, bude mít k objektu úplný přístup každý (člen skupiny Everyone). Pokud tam DACL je, ale neobsahuje žádnou ACE položku, nebude moci k objektu přistupovat nikdo.

Seznam přístupových práv - SACL Seznam SACL obsahuje jen dva typy ACE položek: system audit a system audit-object. Pomocí těchto položek lze určit, které operace s objektem a pro které uživatele se mají zaznamenat do auditu, konkrétně do tzv. bezpečnostního log souboru. Zaznamenávat se mohou operace úspěšné i neúspěšné. Příznaky dědičnosti v případě SACL fungují stejně jako v případě seznamu DACL.