В безопасности Windows , на самом базовом уровне, всё сводится к субъектам и объектам. Объект — это то, что вы защищаете. Субъект— это то, от кого вы защищаете. Субъекты и объекты используются в аутентификации (authentication) — проверка кто вы; авторизации (authorization) — предоставление доступа к чему-либо и аудите (auditing) — отслеживание, кто получил доступ. Примером субъекта — служит пользователь. Объектом — файл.
Существует такое понятие как принципал безопасности (security principal). В книге Windows Server 2008 Security Resource Kit, отMicrosoft Press, даётся такое определение: A security principal is anything that can be assigned a security identifier (SID) and that can be given permission to access something (Принципал безопасности — это всё, чему может быть назначен SID и предоставленыправа доступа к чему—либо).
В Windowsпринципалами безопасности являются Пользователи (Users), Компьютеры (Computers) и Группы (Groups). А начиная с WindowsVistaпринципалом безопасности так же является Служба (Service), которая теперь тоже имеет SID.
SID — (Security ID, идентификатор безопасности)
Числовое представление принципала безопасности.
Access Control List (ACL) — Список контроля доступа (ACL) — Это список записей управления доступом (access control entries, ACE). Каждый ACE в ACL идентифицирует доверенное лицо (trustee) и указывает права доступа, разрешенные или запрещенные для этого доверенного лица (trustee). Дескриптор безопасности для защищаемого объекта может содержать два типа ACL: DACL и SACL.
SACL — System Access Control List
Содержит ACE используемые механизмом логирования событий
DACL — Discretionary Access Control List
Список избирательного управления доступом. Используется для управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Состоит из набора ACE.
ACE — Access Control Entries
Запись управления доступом (ACE) является элементом в списке управления доступом (ACL). ACL может иметь ноль или более ACE. Каждый ACE контролирует или отслеживает доступ к объекту определенным доверенным лицом (субъектом).
Помогите Setiwik.ru создавать больше глубоких обзоров и новостей. Один клик и ваш вклад помогает держать серверы включёнными и авторов мотивированными!
Я Назар. Уже больше десяти лет я работаю с Linux и Windows системами каждый день. Это моя основная профессия и большая часть жизни.
Всё, что ты читаешь на Setiwik.ru, начинается с официальной документации, мануалов и технических спецификаций. Я их изучаю очень внимательно. Но ценность статей появляется именно тогда, когда я беру эту базу и пропускаю через десятки реальных ситуаций: ночные аварии, странные баги, которые не гуглятся с первого раза, выстраданные конфиги и проверенные обходные пути.
Я не обещаю истину в последней инстанции. Но если мой опыт поможет тебе сэкономить хотя бы пару часов нервов и перезагрузок, значит всё это было не зря. Здесь только практика: от тонкой настройки серверов до самых неожиданных ситуаций, которые официальные руководства обычно обходят стороной.
Setiwik.ru это место, где IT становится понятнее и спокойнее. Заходи почаще. Будем разбираться вместе.
А ещё с этого года я официально помогаю малому бизнесу Новороссийска не тратить время и деньги на постоянные IT-проблемы.
Под брендом Novoross-IT предлагаю абонентское обслуживание компьютеров: профилактика, резервные копии, настройка сетей, быстрое решение любых сбоев и ежемесячные отчёты.
Сейчас я могу приехать к тебе в офис на бесплатный аудит и показать реальное состояние твоей техники и сетей. Часто после такого аудита владельцы удивляются, сколько мелких рисков они уже носили в себе.