Файл: Основы работы с операционной системой Windows 7 (УПРАВЛЕНИЕ ПРОЦЕССАМИ ОС WINDOWS 7).pdf
Добавлен: 26.06.2023
Просмотров: 83
Скачиваний: 3
Это сделано для того, чтобы ресурсы, создаваемые пользователем, были доступны другим членам группы, к которой принадлежит этот пользователь. Структура каждого ACL состоит из набора элементов, которые называются входами управления доступом (AccessControlEntry, ACE), а каждая запись в свою очередь содержит: SID субъекта, которому разрешен или запрещен доступ к охраняемому объекту;
маску доступа, которая определяет права доступа субъекта к охраняемому объекту;
флаг, определяющий тип элемента ACE;
флаги, определяющие свойства наследования данного элемента ACE;
флаги, управляющие аудитом доступа к охраняемому объекту.
В списке ACL есть записи ACE двух типов – разрешающие (ACCESS_ALLOWED_ACE) и запрещающие доступ (ACCESS_DENIED_ACE). Разрешающая запись содержит SID пользователя или группы и битовый массив (маска доступа), определяющий набор операций, которые процессы, запускаемые этим пользователем, могут выполнять с данным объектом. Запрещающая запись действует аналогично, но в этом случае процесс не может выполнять перечисленные операции. Битовый массив или маска доступа состоит из 32 битов и обычно формируется программным образом из предопределенных констант.
На примере, владелец объекта Александр имеет право на все операции с данным объектом, всем остальным обычно дается только право на чтение, а Ивану запрещены все операции. Таким образом, список DACL описывает все права доступа к объекту. Если этого списка нет, то все пользователи имеют все права; если этот список существует, но он пустой, права имеет только его владелец. Последняя компонента элемента списка управления доступом содержит флаги, которые задают свойства наследования данного элемента АСЕ. То есть эти флаги определяют, наследуется ли элемент АСЕ списка управления доступом для вновь создаваемого охраняемого объекта, который является дочерним по отношению к текущему охраняемому объекту.
Например, пусть в качестве охраняемого объекта выступает каталог, и элемент АСЕ списка управления доступов в дескрипторе безопасности этого объекта является наследуемым. Тогда копия этого элемента будет помещена в соответствующий список управления доступом вновь создаваемого подкаталога в рассматриваемом каталоге. Если же элемент АСЕ ненаследуемый, то этого не произойдет. [8]
Для управления наследованием элементов списка управления доступом используются следующие флаги: OBJECТ_INHERIТ_АСЕ – элемент наследуется неконтейнерным дочерним объектом. Если не установлен флаг NO_PROPAGATE_INHERIT_ACE, то элемент также наследуется и контейнерным дочерним объектом, но при этом в дочернем объекте устанавливается флаг INHERIT_ONLY_ACE; CONTAINER_INHERIT_ACE – элемент наследуется только контейнерным дочерним объектом; NO_PROPAGATE_INHERIT_ACE – элемент был унаследован от родительскою объекта, но флаги OBJECT_INHERIT_ACE И CONTAINER_INHERIT_ACE в элементе сбрасываются, что отменяет дальнейшее наследование этого элемента; INHERIT_ONLY_ACE – отмечает, что элемент был унаследован от родительского объекта; этот элемент не участвует в контроле доступа к объекту; INHERITED_ACE – отмечает, что элемент был унаследован от родительского объекта.
Кроме списка DACL дескриптор безопасности включает также список SAСL, который имеет такую же структуру, что и DACL, т.е. состоит из таких же ACE записей, только вместо операций, регламентирующих доступ к объекту, в нем перечислены операции, подлежащие аудиту. Операции с объектом процессов, запускаемых Максимом, описанные в соответствующем битовом массиве, будут регистрироваться в системном журнале.
Субъекты хранят информацию о стандартной защите, которая будет назначена создаваемым объектам, в своем маркере. Разумеется, в ОС Windows есть все необходимые средства для настройки стандартной защиты, в частности списка DACL «по умолчанию», в маркере доступа субъекта. Субъекты безопасности. Процессы, потоки.
Маркер доступа так же как и объекты, субъекты должны иметь отличительные признаки – контекст пользователя, для того чтобы система могла контролировать их действия.
Сведения о контексте пользователя хранятся в маркере доступа. При интерактивном входе в систему пользователь обычно вводит свое имя и пароль. Система (процедура Winlogon) по имени находит соответствующую учетную запись, извлекает из нее необходимую информацию о пользователе, формирует список привилегий, ассоциированных с пользователем и его группами, и все это объединяет в структуру данных, которая называется маркером доступа.
Маркер также хранит некоторые параметры сессии, например время окончания действия маркера. Таким образом, именно маркер является той визитной карточкой, которую субъект должен предъявить, чтобы осуществить доступ к какому-либо объекту. Вслед за оболочкой (WindowsExplorer) все процессы (а также все потоки процесса), запускаемые пользователем, наследуют этот маркер.
Когда один процесс создает другой, дочернему процессу передается дубликат маркера, который, таким образом, распространяется по системе.
Включая в маркер информацию о защите, в частности DACL, Windows упрощает создание объектов со стандартными атрибутами защиты. [9]
Как уже говорилось, если процесс не позаботится о том, чтобы явным образом указать атрибуты безопасности объекта, на основании списка DACL, присутствующего в маркере, будут сформированы права доступа к объекту по умолчанию. При этом, поскольку объекты в Windows отличаются большим разнообразием, в списке DACL «по умолчанию» можно указать только так называемые базовые права доступа, из которых система будет формировать стандартные права доступа в зависимости от вида создаваемого объекта.
Проверка прав доступа после формализации атрибутов защиты субъектов и объектов можно рассмотреть схему проверки прав доступа субъектов к объектам. Но для начала стоит напомнить о том, что в ОС Windows в качестве субъекта выступает процесс или поток, который исполняется от имени некоторого пользователя. С каждым процессом ассоциируется маркер доступа, который идентифицирует учетную запись пользователя, от имени которого выполняется этот процесс.
Маркер доступа связывается с потоком во время его запуска при входе пользователя в систему. Но фактически доступ к объектам осуществляет поток, который выполняется в контексте этого процесса. Каждый поток также имеет свой маркер доступа, который может быть первичным, т.е. совпадать с маркером доступа процесса, в контексте которого выполняется этот поток, или заимствованным у другого процесса, в случае если произошла подмена контекста безопасности.
Доступ к охраняемому объекту выполняется из потока. Поэтому под субъектом часто и понимается исполняемый поток, который при контроле доступа представляется маркером доступа этого потока. В свою очередь охраняемый объект, доступ к которому контролируется системой управления безопасностью, представляется при контроле доступа дескриптором безопасности этого объекта. [10]
Контроль доступа субъекта к охраняемому объекту выполняется следующим образом. При открытии субъектом доступа к охраняемому объекту, что обычно выполняется посредством функций типа Сreate или Open, система управления безопасностью просматривает список DACL этого охраняемого объекта для поиска элемента, в котором хранится идентификатор безопасности субъекта.
Если такой элемент в списке DACL не найден, то поток получает отказ в доступе к объекту. Если же такой элемент найден, то система проверяет тип этого элемента. Если SID субъекта совпадает с SID владельца объекта и запрашиваются стандартные права доступа, то доступ предоставляется независимо от содержимого DACL. Далее система последовательно сравнивает SID каждого ACE из DACL с SID маркера. Если обнаруживается соответствие, выполняется сравнение маски доступа с проверяемыми правами. [11]
Для запрещающих ACE даже при частичном совпадении прав доступ немедленно отклоняется. Для успешной проверки разрешающих элементов необходимо совпадение всех прав. Очевидно, что для процедуры проверки важен порядок расположения ACE в DACL. Поэтому Microsoft предлагает так называемый предпочтительный порядок размещения ACE. Например, для ускорения рекомендуется размещать запрещающие элементы перед разрешающими.
Заключение Система управления доступом является ядром системы защиты данных ОС Windows. С каждым субъектом (пользователем, процессом или потоком) связан маркер доступа, а у каждого защищаемого объекта (файла, папки и др.) в свою очередь имеется дескриптор безопасности. Проверка прав доступа происходит при открытии объекта и заключается в проверке соответствия прав субъекта списку прав доступа, хранящемуся в составе дескриптора безопасности объекта.
По мнению специалистов одним из больших недостатков операционной системы Windows считалось отсутствие встроенной в систему мощной командной оболочки, значительно улучшающих возможности автоматизации при администрировании настольных и серверных систем.
Мы знаем, что встроенная командная оболочка CMD операционных систем семейства Windows довольна проста - она позволяет выполнять только простейшие действия. Более расширенными возможностями обладают WindowsScriptHost, позволяющие создавать очень мощные скрипты, являющиеся фактически полноценными программами.
Но, со временем на смену встроенной командной оболочки CMD и WindowsScriptHost пришла новая оболочка командной строки, работающая под управлением Windows и специально предназначенная для системных администраторов – WindowsPowerShell. Оболочка WindowsPowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы и приложений, работающих в системе Windows.
WindowsPowerShell является свободно распространяемым приложением к семейству операционных систем Windows XP и выше, причем, начиная с Windows 7, WindowsPowerShell является встроенным компонентом.
Основным графическим элементом для управления процессами на локальном компьютере является утилита Диспетчер задач Windows. Чтобы запустить Диспетчер задач нажмите Ctrl+Alt+Del и выберите
Диспетчер задач или Ctrl+Shift+Esc. С помощью Диспетчера задач Windows можно просмотреть информацию о выполняющихся процессах и управлять ими.
В операционной системе Windowsначиная с Windows XP включены утилиты командной строки tasklist и taskkill. С помощью этих команд можно просмотреть список запущенных на компьютере процессов и остановить эти процессы. Просмотр списка процессов с помощью tasklistЧтобы получить полную информацию о команде tasklist введите tasklist /?.Команда taskkill позволяет завершить процессы. [12]
Например, откройте программу Paint. Теперь, для завершения процесса введите команду taskkill /IMmspaint.exe .
Завершение процесса с помощью taskkill ВPowerShellдля получения подробного списка запущенных процессов используется команд лет getprocess.
Выполнение команды get-process Следующая команда get-process С* позволяет отсортировать процессы и выведет все процессы, имена которых начинается на букву С.
Список процессов начинающихся на С Вместе командлетаtaskkill можно использовать stop-process. Например, следующая команда остановить процесс с идентификатором 5520.
Идентификаторы процессов можно посмотреть в столбце Id. 36 Для остановки процесса с использованием имени можно использовать параметр –nameкомандлетаstop-process. Чтобы вывести подтверждение для остановки процесса используется параметр –confirm.
Например, следующая команда выведет сообщение о подтверждении и остановить процесс с именем mspaint. Теперь будем рассматривать командлеты для управления сервисами.
Для получения статуса всех службзапущенных на локальном компьютере используется командлетget-service. Командлетstop-service с параметром–name используется для остановки запущенных служб.
Чтобы запустить службу можно использовать командлетstart-servicecпараметром –name. Для вывода информации о службе используется параметр -passthru. Например, следующая команда запускает службу и выводит на экран информацию об этой службе.
Актуальность изучения и использования PowerShell вызвана тем, что компания Microsoft в настоящее время позиционирует эту оболочку как основной инструмент управления операционной системой.
ВЫВОД К 1 ГЛАВЕ
Windows – это объектно-ориентированная среда. Все элементы интерфейса (окна, кнопки, пиктограммы и др.) – это объекты, каждый со своими свойствами и способами поведения.
Свойства бывают различимыми для ОС и неразличимыми. Жесткий диск, лежащий на столе, обладает такими свойствами масса, цена, дата выпуска. Но эти свойства неразличимы для ОС, и этот жесткий диск не является объектом. Тот же жесткий диск, установленный в компьютере и зарегистрированный в ОС, является объектом Windows, так как обладает различимыми для системы свойствами: именем, полным размером, размером свободного пространства, датой последней проверки и т.д.