РАЗРАБОТКА И ПРИМЕНЕНИЕ ПАРОЛЕЙ ДЛЯ ОГРАНИЧЕНИЯ ДОСТУПА К ОПЕРАЦИОННЫМ СИСТЕМАМ, ПАПКАМ И ФАЙЛАМ

Минимальные теоретические сведения. Для разграничения прав доступа между пользователями в Windows используются идентификаторы безопасности (SID), которые присваиваются каждой учетной записи. При входе в систему проверяется имя пользователя и его пароль, после этого система создает маркер доступа (security ac­cess token). Он содержит имя пользователя, его SID и информацию о группах безопас­ности, к которым принадлежит учетная запись этого пользователя. Любая запускаемая программа от имени пользователя получает ко­пию этого маркера безопасности.

Если доступ будет разрешен – ресурс будет доступен, в противном случае увидим какое-то со­общение о недоступности ресурса.

Чтобы определить, кого следует пропускать, а кого нет, Windows обра­щается к списку управления доступом (ACL) данного ресурса. Список управления доступом - список идентификаторов безопасно­сти и связанных с ними привилегий доступа. Любой ресурс, для которого подра­зумевается управление доступом, имеет свой список ACL.

В операционной системе Windows существует два типа привилегий доступа: разрешения и права. Разре­шение - это возможность определенного типа доступа к конкретно­му объекту (запись в файл или изменение очереди принтера и т.д.). Право - способность совершать определенные действия системного масштаба (входить в систему или изменять системное время и т.д.). Администраторы устанавливают права посредством консоли Локальной политики безопасности в папке Администрирование.

Идентификатор безопасности - значение переменной длины, содержащее данные о версии, 48-разрядный код идентификатора авторизации и некоторое количество 32-разрядных вспомогательных зна­чений авторизации. Система безопасности Windows XP основана на возможности идентификации пользователей, так в процессе установки ад­министратор компьютера создает учетные записи для всех пользователей. Учет­ная запись определяется именем пользователя и его паролем, который вводится пользователем в момент входа в систему. В Windows есть две спе­циальные учетные записи, обладающие заранее установленным набором разрешений и прав, свя­занных с ними: Администратор и Гость. Учетная запись Администратор обладает всеми правами на данном компьютере, может создавать учетные записи других пользователей. Учетная запись Гость предназначена для предоставления доступа редким или временным пользователям (таким, как посетители). Вход в систему производится без пароля, а возможности ее использования сильно ограничены.

В Windows домен обозначает сеть, в которой на одном из компьютеров работает сервер Windows .NET Server, Windows 2000 Server или Windows NT Server, вы­ступающий в качестве контроллера домена. Контроллером домена называется компьютер, на котором хранится база данных безопасности, со­держащая доменные учетные записи пользователей и группы. Доменная учетная запись позволяет входить на любой компьютер домена (в зависимости от ваших привилегий в домене и на каждом отдельном компью­тере) и обращаться ко всем сетевым ресурсам, для которых имеются разрешения.

Группы - средство для администратора, упрощающее при­своение одинаковых привилегий лицам с одинаковыми требованиями к режиму доступа.

Любая учетная запись в Windows XP принадлежит к одному из четырех пред­определенных типов:

Администраторы компьютера, которые могут: создавать, изменять и удалять учетные записи и группы; устанавливать программы; устанавливать общий доступ к папкам; назначать разрешения; обращаться ко всем файлам; становиться владельцами файлов; выделять права другим учетным записям и самим себе; устанавливать и удалять устройства; входить в систему в защищенном режиме.

Ограниченные учетные записи. По умолчанию учетные записи такого типа имеют право: изменять пароль, изображение и соответствующий паспорт .NET для своей учетной записи; пользоваться установленными на компьютере программами; просматривать разрешения (если отключен простой общий доступ к фай­лам); создавать, изменять и удалять файлы в своих папках документов; просматривать файлы в общих папках документов.

Гости по умолчанию совпадают с привилегиями ограниченных учетных записей. Пользователь, вошедший под учетной запи­сью Гость, не может установить пароль для своей учетной записи.

Неизвестные. Тип записи, не принадлежащей к группам Админи­страторов, Пользователей или Гостей, считается неизвестным.