чтение или изменение дискреционного списка контроля доступа к объекту то доступ субъекта к объекту разре
Работа добавлена на сайт samzan.net:
Если в элементе АСЕ запрещается доступ к объекту для субъек
та с данным SID, но этот субъект является владельцем объекта
(его идентификатор безопасности совпадает с SID владельца из
дескриптора безопасности SD объекта) и запрашиваемая маска
доступа содержит только попытку доступа к объекту по методу
«чтение (или) изменение дискреционного списка контроля дос
тупа к объекту», то доступ субъекта к объекту разрешается, в про
тивном случае — осуществляется переход к п. 3.
Если в элементе АСЕ запрещается доступ к объекту для субъек
та с данным SID, то сравниваются запрашиваемая маска доступа 1
и маска доступа, определенная в АСЕ. Если при сравнении нахо- §
дится хотя бы один общий метод доступа, то попытка доступа
субъекта к объекту отклоняется, в противном случае — происхо
дит переход к следующему АСЕ.
Если в элементе АСЕ разрешается доступ к объекту для субъек
та с данным SID, то также сравниваются запрашиваемая маска
доступа и маска доступа, определенная в АСЕ. Если при этом маски
доступа полностью совпадают, то доступ субъекта к объекту раз
решается, в противном случае — происходит переход к следую
щему АСЕ.
Если достигнут конец списка DACL из дескриптора безопасно
сти объекта, то попытка доступа субъекта к объекту отклоняется.
Из приведенного алгоритма ясно, что если DACL объекта пуст, то любой доступ к нему запрещен всем субъектам, за исключением владельца объекта, которому разрешены чтение и (или) изменение списка контроля доступа к объекту. Эта особенность может быть использована для защиты от несанкционированного доступа к объекту с конфиденциальной информацией со стороны запущенных пользователем программ (например, компьютерных игр), которые не должны иметь доступ к данному объекту, но содержат вредоносные закладки, пытающиеся прочитать и сохранить данные из объектов, чьим владельцем является запустивший их на выполнение пользователь. Для предотвращения подобной угрозы владелец объекта должен исключить из списка DACL данного объекта все элементы (или явно запретить любые права доступа к объекту для всех субъектов, включая самого себя). После этого любой запущенной им программе, содержащей закладку, будет отказано в доступе к объекту. При необходимости же получить действительно необходимый доступ к данному объекту его владелец сможет снова внести изменения в его DACL.
К сожалению, рассмотренный способ защиты от несанкционированного доступа не предотвратит угрозы, исходящей из закладки, внедренной в программу, использующую информацию из защищаемого объекта (например, в бухгалтерскую программу).
Если у объекта КС нет дескриптора безопасности (например, у папок и файлов, размещенных на дисках под управлением файло-
Свойства: Мальцев
Общи^Доступ | Безопасность Настройка[ Группы или пользователи:
З Администраторы (84TBGFYQ78M39RR\AflMHHMcrpaTO.. Амисимов Алексей Васильевич (84TBGPYQ78M39RR\... ПавелBopncoBH4XopeB(84TBGPYQ78M39RR4Khofev)
Разрешения для SYSTEM
Полный доступ
Изменить
Чтение и выполнение
Список содержимого папки
Чтение
Запись
Чтобы задеть особые разрешения или параметры, нажмите эту кнопку:
Дополнительно
Рис. 3.17. Определение прав доступа к папке
Дополнительные параметры безопасности для Мальцев
Разрешения Аудит Владелец Действующие разрешения \
Для просмотра сведений об особых разрешениях выберите элемент разрешения и нажмите кнопку "Изменить".
Элементы разрешений:
! Тип Имя
Разрешение Унаследован... ; Применять к
Разве..: SYSTEM
даояныйдсе™ <неикаеледое,.;
<неунаследов... <не унаследов... <не унаследов... <не унаследов... <не унаследование унаследов... <не унаследов... СЛУчебныем...
Администраторы (8... Анисимов Алексей... ПавелБорисовичХ... Павел БорисовичХ... Пользователи (&ЧТ... Пользователь ком... Терентьев Юрий А... Анисимов Алексей...
Полный доступ Полный доступ Полный доступ Полный доступ Полный доступ Полный доступ Чтение и выло... Полный доступ Полный достчп
| Разре... | Разре...
Разре...
Разре...
Разре,..
Разре... I Разре...
Разре...
Для этой папки, ее Для этой папки, ее Для этой папки, ее Для этой папки, ее Для этой папки, ее... Для этой папки, ее... Дляэтой папки, ее... Для этой папки, ее... Зля этой папки, ее...
Удалить
Добавить...
Изменить...
pi Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя ик к явно заданным в этом окне.
j—| Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, '—' применимыми к дочерним объектам.
Рис. 3.18. Просмотр и редактирование любых прав доступа к объекту
2. Становление теории и практики маркетинга- концепции управления маркетингом
3. Тема 8. Основы трудового права
4. синдром ответа на повреждение как таковое
5. 2012 1 Вопросы 1 и19 2 Вопросы 2 и 19 3 Вопросы 3 и 20
6. ТЕМА ПЕРВАЯ ИСТОРИЯ ИЗУЧЕНИЯ ПЕРВОБЫТНЫХ РЕЛИГИОЗНЫХ ВЕРОВАНИЙ Духовная культура зарождается на ранних э
7. Брэдбери не дядюшке и не двоюродному брату но вне всякого сомнения издателю и другу
8. вариантов Максимальная Ширина Mximum Width для столбца может быть выбрана
9. I Окружающие глазницу ткани Костный орбитальный край
10. ГОСУДАРСТВЕННОЕ УСТРОЙСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ НАЦИОНАЛЬНОГОСУДАРСТВЕННОЕ УСТРОЙСТВО РОССИЙСКОЙ ФЕДЕ
11. Вариант I Некоторые историки считают нэп полной противоположностью военному коммунизму другие про
12. Постановления Правительства РФ как источники земельного права
13. 24 августа 2012 г
14. О деградации СМИ
15. вариант Насос ~ это устройство которое пр
16. ТПК- взаимосвязанное и взаимообусловленное сочетание отраслей материального производства на конкретной те
17. Шерлок Холмс Дыхание Бога
18. Вильямс 2002 704 с
19. Лабораторная работа 21
20. компьютер является более широким чем электронновычислительная машина ЭВМ поскольку в последнем явн