Разрешения на доступ к каталогам и файлам

• Доступ к каталогам и файлам контролируется за счет установки соответствующих разрешений.

• Разрешения в Windows бывают индивидуальные и стандартные. Индивидуальные разрешения относятся к элементарным операциям над каталогами и файлами, а стандартные разрешения являются объединением нескольких индивидуальных разрешений.

Для файлов в Windows определено четыре стандартных разрешения: No Access, Read, Change и Full Control, которые объединяют индивидуальные разрешения

Тип разрешения Смена владельца по умолчанию присвоен группе Администраторы.

Создатель файла всегда считается его владельцем, который имеет права Полный доступ, даже в том случае, если учетная запись владельца не указана на вкладке Безопасность файла

Существует ряд правил, которые определяют действия разрешений:

1. Пользов. Не могу работать с каталогом/файлом, если не имеют явного разрешения.

2. Разрешения имеют накопительный эффект, за исключением No Access, которое отменяет все имеющиеся разрешения.

2 основных подхода к определению прав доступа:

1.Избирательный доступ - каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту. Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы. Субъект с определённым правом доступа может передать это право любому другому субъекту

2.Мандатный доступ - разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.

Пример: субъект «Пользователь № 2», имеющий допуск уровня «не секретно», не может получить доступ к объекту, имеющему метку «для служебного пользования». В то же время, субъект «Пользователь № 1» с допуском уровня «секретно» право доступа к объекту с меткой «для служебного пользования» имеет.