Маркер доступа

Маркер доступа

Маркер доступа (англ. Access token) — программный объект операционных систем класса Microsoft Windows, содержит информацию по безопасности сеанса и идентифицирует пользователя, группу пользователей и пользовательские привилегии.

Содержание

Обзор

Маркер доступа — это объект, инкапсулирующий дескриптор безопасности процесса[1]. Прилагаемый к процессу, дескриптор безопасности идентифицирует собственника объекта[2][3]. Пока маркер используется для представления только информации по безопасности, он технически свободен по своему содержанию и может содержать любые данные. Маркер доступа используется Windows, когда процесс пытается взаимодействовать с объектами, дескрипторы безопасности которых требуют контроль доступа[1]. Маркер доступа представлен системным объектом типа Token . По причине того, что маркер — обычный системный объект, доступ к самому маркеру может быть проконтролирован с помощью дескриптора безопасности, но это обычно никогда не делается на практике.

Маркер доступа генерируется сервисом входа в систему, когда пользователь регистрируется и его подлинность успешно установлена, определяя права пользователя в дескрипторе безопасности, заключенном в маркер. Маркер прилагается к каждому процессу, созданному сессией пользователя (процессы, собственником которых является пользователь)[1]. Когда бы такой процесс ни запрашивал любой ресурс, доступ к которому контролируется, Windows смотрит в дескрипторе безопасности в маркере доступа, имеет ли пользователь, владелец данного процесса, право доступа к данным, и, если да, какие операции (чтение, запись/изменение) ему дозволены. Если операция дозволена в контексте данного пользователя, Windows позволяет процессу её продолжать, если нет, то отказывает в доступе.

Типы маркеров доступа

Существует два типа маркеров доступа:

Первичный маркер доступа

Первичные маркеры доступа могут быть ассоциированы только с процессом и представляют собой субъект безопасности процесса. Создание первичных маркеров и их ассоциация с процессом являются привилегированными операциями, нуждающимися в двух различных привилегиях (для разделения привилегий) — типичный сценарий видит создающий маркер доступа сервис идентификации и сервис входа в систему, ассоциирующий его с оболочкой операционной системы. Процесс изначально наследует копию первичного маркера родительского процесса. Имперсонализирующие маркеры доступа могут быть ассоциированы только с потоками и представляют собой субъекты безопасности клиентского процесса.

Имперсонализирующие маркер доступа

Имперсонализация — это концепт безопасности присущий только Windows NT, что позволяет серверному приложению временно «быть» клиентом для доступа к охраняемому объекту. Имперсонализация состоит из трёх возможных уровней: идентификация, позволяющий серверу проверять подлинность клиента, имперсонализация, позволяющая серверу работать от имени клиента, и делегация, то же, что и имперсонализация, только расширена на работу с удалёнными системами, с которыми связывается сервер. Клиент может выбрать максимально возможный уровень имперсонализации на сервере в параметре подключения. Делегация и имперсонализация — привилегированные операции.

Составляющие маркера доступа

Маркер доступа состоит из различных полей, включая, но не ограничиваясь, следующие:

  • идентификатор;
  • идентификатор ассоциированной сессии входа в систему. Сессия обслуживается сервисом идентификации и заполняется идентификационными пакетами с коллекцией всей информации (мандат), сообщенной пользователем во время входа в систему. Мандат используется для доступа к удаленным системам без необходимости переидентифицировать клиента, предусматривающий, что все вовлеченные системы делятся информацией по идентификации.
  • идентификатор пользователя. Это поле наиболее важное и защищено от записи.
  • идеитификатор групп, частью который является пользователь (или, точнее, субъект). Идентификаторы групп не могут быть удалены, но могут быть отключены. Как максимум, одна из групп назначается идентификатором сессии, произвольная группа, представляющая собой сессию входа в систему, позволяющая получить доступ к различным объектам, ассоциированным с сессией.
  • ограничивающие идентификаторы группы (поле не обязательно). Это дополнительное множество групп не дающее дополнительного доступа, но ограничивающее его: доступ к объекту открыт только если он также открыт для одной из этих групп. Данный вид групп не может быть ни удалён, ни отключён.
  • привилегии, то есть специальные возможности пользователя. Большинство привилегий по умолчинию отключены, чтобы исключить возможные повреждения от плохо защищённых программ. Начиная с Windows XP Service Pack 2 и Windows Server 2003, привилегии могут быть удалены из маркера доступа вызовом AdjustTokenPrivileges() ас атрибутом SE_PRIVILEGE_REMOVE.

Владелец по умолчанию, первичная группа и ACL для объектов, созданных субъектом, ассоциированным с маркером пользователя.

Примечания

  1. 1 2 3 Access Tokens  (англ.)
  2. Security descriptors  (англ.)
  3. Securable objects  (англ.)

Wikimedia Foundation. 2010.

Игры ⚽ Нужен реферат?

Полезное


Смотреть что такое "Маркер доступа" в других словарях:

  • маркер доступа с ограничением по времени — маркер доступа с контролем времени (в сетях FDDI) — [Л.Г.Суменко. Англо русский словарь по информационным технологиям. М.: ГП ЦНИИС, 2003.] Тематики информационные технологии в целом Синонимы маркер доступа с контролем времени (в сетях… …   Справочник технического переводчика

  • WMI — Windows Management Instrumentation (WMI) в дословном переводе  это инструментарий управления Windows. Если говорить более развернуто, то WMI  это одна из базовых технологий для централизованного управления и слежения за работой… …   Википедия

  • PROFIBUS — (Process Field Bus) (читается «профи бас») открытая промышленная сеть, прототип которой был разработан компанией Siemens AG для своих промышленных контроллеров SIMATIC, на основе этого прототипа Организация пользователей PROFIBUS разработала… …   Википедия

  • Profibus — (Process Field Bus) (читается «профи бас»)  открытая промышленная сеть, прототип которой был разработан компанией Siemens AG для своих промышленных контроллеров Simatic. На основе этого прототипа Организация пользователей Profibus… …   Википедия

  • Профибас — PROFIBUS ((PROcess FIeld BUS)) (читается Профи бас) открытая промышленная сеть, прототип которой был разработан компанией Siemens AG для своих промышленных контроллеров Европе, особенно в машиностроении и управлении промышленным оборудованием.… …   Википедия

  • ЭВМ — в физике. Используется в следующих осн. направлениях: автоматизация эксперимента и управление процессами в реальном времени (см. Автоматизация эксперимента), численный анализ, аналитич. вычисления, компьютерный эксперимент, визуализация данных… …   Физическая энциклопедия

  • SPKM — (англ. The Simple Public Key GSS API Mechanism  простой механизм[1] GSS API на основе инфраструктуры с открытым ключом)  сетевой протокол, обладающий инфраструктурой с открытым, а не симметричным ключом. Протокол применяется для… …   Википедия

  • P-NET — P NET  это промышленная сеть, которая была создана для объединения отдельных компонент вычислительного процесса, а именно: компьютера, датчиков, исполнительных устройств, устройств ввода/вывода, центрального и периферийного контроллеров… …   Википедия

  • ИНТЕРНЕТ И ДРУГИЕ КОМПЬЮТЕРНЫЕ СЕТИ — Компьютерная сеть это группа компьютеров, которые соединены между собой таким образом, чтобы был возможен обмен данными между ними. Работу компьютерных сетей обеспечивают компоненты трех основных типов: 1) компьютеры; 2) средства передачи, такие …   Энциклопедия Кольера

  • ГОСТ 19619-74: Оборудование радиотелеметрическое. Термины и определения — Терминология ГОСТ 19619 74: Оборудование радиотелеметрическое. Термины и определения оригинал документа: 34. Адаптация телеметрической системы к объекту Адаптация к объекту Е. Telemetry system adaptation to object Процесс автоматического… …   Словарь-справочник терминов нормативно-технической документации


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»