Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnostní technologie I

ZveřejnilKvětoslava Sedláčková

Podobné prezentace

Prezentace na téma: "Bezpečnostní technologie I"— Transkript prezentace:

1 Bezpečnostní technologie I
Téma Č. 8: Přístupová známka a bezpečnostní deskriptory mjr. Ing Milan Jirsa, PhD. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )

2 Bezpečnostní identifikátor - SID
Ve Windows se uživatelé i některé další objekty (lokální a globální skupiny, počítače, domény) označují jedinečnými identifikátory (SID – Security Identifier). SID je numerický řetězec s proměnlivou délkou, který se skládá z několika částí: označení autority a podautority, která SID vytvořila, 48-bitový identifikátor, relativní identifikátor (RID, např. účet Administrátor má RID = 500).

3 Bezpečnostní identifikátor - SID
Pokud je SID někde v systému zobrazen, obsahuje navíc prefix S a jeho jednotlivé části jsou odděleny pomlčkou: S SIDy jsou dostatečně dlouhé a operační systém je generuje dostatečně náhodně, aby nedošlo k duplicitě ani na počítači ani v doméně. Při instalaci Windows vytvoří instalační program SID počítače. Operační systém dále přiděluje SID každému lokálnímu účtu, přičemž tento SID je založen na SIDu počítače a na konci má specifický RID. RIDy pro uživatelské účty a skupiny začínají od hodnoty 1000 a zvětšují se o jedničku.

4 Well-known SID Ne všechny SIDy jsou skutečně jedinečné. Existují tzv. dobře známé SIDy (well-known SIDs), které jsou naopak na všech počítačích stejné. Také standardní systémové účty a skupiny mají pevně přidělené RIDy (SID počítače je samozřejmě jedinečný). Tak například RID = 500 má účet Administrator, RID = 501 účet Guest.

5 Přístupová známka (Access Token)
Modul SRM používá k identifikaci bezpečnostního kontextu procesu zvláštní datovou strukturu zvanou přístupová známka (access token). Bezpečnostní kontext je tvořen informací o privilegiích, uživatelských účtech a skupinách, které jsou s procesem spojeny. Přístupová známka je vytvořena na konci přihlašovacího procesu. V okamžiku, kdy dojde k ověření jména a hesla, je Winlogon schopen potřebnou informaci získat ze SAM databáze, z databáze politiky Lsass, případně z aktivního adresáře, podle toho, zda se uživatel hlásí prostřednictvím lokálního nebo doménového účtu. Winlogon vytvoří přístupovou známku a spustí Explorer, kterému ji předá. Všechny programy, které uživatel spustí, obdrží kopii přístupové známky.

6 Přístupová známka Bezpečnostní mechanismus Windows využívá jednotlivé části přístupové známky k tomu, aby určil, zda může proces získat přístup k některému ze zabezpečených objektů, jako například k souboru na NTFS disku. Konkrétně se jedná o pole SID uživatelova účtu a SIDy skupin, jejichž je uživatel členem. Také pole privilegií určuje, co může proces v systému provádět. Pole privilegií představuje seznam práv spojených s přístupovou známkou. Příkladem privilegia může být právo vypnout počítač, nastavit systémový čas apod.

7 Bezpečnostní deskriptor
Další důležitou datovou strukturou jsou bezpečnostní deskriptory, které jsou spojeny s objekty operačního systému jako je soubor, adresář, tiskárna, sdílený adresář, položka registru a objekt v aktivním adresáři. Bezpečnostní deskriptor obsahuje následující informace: Číslo verze. Příznaky – volitelné parametry modifikující vlastnosti deskriptoru. SID vlastníka. SID skupiny identifikující tzv. primární skupinu objektu. DACL (Discretionary access-control list) určuje, kdo bude mít přístup k objektu. SACL (System access-control list) určuje, jaké operace a jakých uživatelů budou zaznamenány do bezpečnostního logu (viz audit).

8 Seznam přístupových práv - DACL
Seznam přístupových práv (ACL – Access Control List) obsahuje záhlaví a několik položek pro řízení přístupu (ACE – Acces Control Entry). DACL má ACE položky obsahující SID a přístupovou masku, které mohou být čtyř typů: access allowed, access denied, allowed-object a denied-object. První typ – podle očekávání – zaručuje uživateli přístup k objektu, druhý typ mu přístup k objektu zakazuje. Třetí a čtvrtý typ se chová podobně jako první a druhý, ale používá se jen v aktivním adresáři, přičemž objekty, se kterými je spojen, identifikuje pomocí globálně jedinečných identifikátorů (GUID). Přístupové právo uživatele k objektu vzniká složením všech ACE položek v seznamu DACL. Pokud v deskriptoru DACL není, bude mít k objektu úplný přístup každý (člen skupiny Everyone). Pokud tam DACL je, ale neobsahuje žádnou ACE položku, nebude moci k objektu přistupovat nikdo.

9 Seznam přístupových práv - SACL
Seznam SACL obsahuje jen dva typy ACE položek: system audit a system audit-object. Pomocí těchto položek lze určit, které operace s objektem a pro které uživatele se mají zaznamenat do auditu, konkrétně do tzv. bezpečnostního log souboru. Zaznamenávat se mohou operace úspěšné i neúspěšné. Příznaky dědičnosti v případě SACL fungují stejně jako v případě seznamu DACL.

Stáhnout ppt "Bezpečnostní technologie I"

Podobné prezentace

Obecně o operačních systémech

Obecně o operačních systémech
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-4-02.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-02.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.

ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Www.gepro.cz© XII/2007 Gepro, spol. s r.o. Ing. Stanislav Tomeš Struktura výkresu - titulní strana Struktura výkresu WKOKEŠ.

XII/2007 Gepro, spol. s r.o. Ing. Stanislav Tomeš Struktura výkresu - titulní strana Struktura výkresu WKOKEŠ.
Vzdělávací materiál / DUMVY_32_INOVACE_02B4 Systém uživatelských účtů AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník.

Vzdělávací materiál / DUMVY_32_INOVACE_02B4 Systém uživatelských účtů AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník.
Přístupová práva, maska přístupových práv Jiří Hořejší.

Přístupová práva, maska přístupových práv Jiří Hořejší.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.

Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Adresářová služba Active directory

Adresářová služba Active directory
Architektura databází Ing. Dagmar Vítková. Centrální architektura V této architektuře jsou data i SŘBD v centrálním počítači. Tato architektura je typická.

Architektura databází Ing. Dagmar Vítková. Centrální architektura V této architektuře jsou data i SŘBD v centrálním počítači. Tato architektura je typická.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-4-14.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Relační databáze.

Relační databáze.
Informatika pro ekonomy II přednáška 10

Informatika pro ekonomy II přednáška 10
Celní služby 2000 Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz.

Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Katedra elektrotechniky a automatizace Technická fakulta, ČZU Praha Roboty a manipulátory - - přednášky.

Katedra elektrotechniky a automatizace Technická fakulta, ČZU Praha Roboty a manipulátory - - přednášky.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-4-20.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-20.
Uživatelské profily, vlastnosti uživatelského účtu

Uživatelské profily, vlastnosti uživatelského účtu
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Technická fakulta ČZU Laboratoř výpočetních aplikací.

Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Technická fakulta ČZU Laboratoř výpočetních aplikací.
Práce se šablonami v MS Word 2007

Práce se šablonami v MS Word 2007
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.

Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Systém a zabezpečení možnosti napájení, zálohování

Systém a zabezpečení možnosti napájení, zálohování

Podobné prezentace

Reklamy Google