32417

Аутентификация пользователей при входе в систему

Реферат

Информатика, кибернетика и программирование

Диспетчер учетной записи возвращает идентификатор безопасности пользователя и групп в который он входит. Если не разрешается сессия уничтожается если разрешается то создается маркер пользователя содержащий группы и привилегии. До начала интерактивной сессии подсистема win32 создает контроль пользователя. При создании нового пользователя с именем ранее удаленного пользователя будет сгенерирован новый шифр и новый пользователь не получит прав старого пользователя.

Русский

2013-09-04

20.03 KB

3 чел.

Аутентификация пользователей при входе в систему.

Пользователь при входе в систему указывает свое имя и пароль. Они могут сравниваться с базой учетных записей, которые могут находится либо на компьютере, входа при использовании локальной учетной записи ,либо выбрать домена. После успешной аутентификации становятся доступны ресурсы компьютера или домена.

Процесс интерактивного входа в систему состоит из этапов:

  1. Пользователь нажимает Ctrl+Alt+Del , даже если поле ввода пароля уже есть на экране. Это защищает от программ которые пытаются себя выдать за ОС и нелегально зафиксировать имя и пароль.
  2. Процесс входа вызывает подсистему локального администратора(LSA-Local Security Administration).
  3. Локальный администратор безопасности обращается к пакету аутентификации.
  4. Пакет аутентификации разбит на 2 части: одна выполняется на компьютере входа, вторая на компьютере базы учетной записи. По имени домена определяется, где находится база учетной записи. Если база далеко ,то с помощью пакета пересылается запрос на удаленный компьютер, где вторая часть пакета аутентификации производит проверку подлинности. Проверка проводится диспетчером учетной записи. Аутентификация проводится на базе учетной записи. Диспетчер учетной записи возвращает идентификатор безопасности пользователя и групп в который он входит.
  5. Пакет аутентификации создает сеанс входа и передает её ,а также все идентификаторы безопасности по локальному сайту безопасности. Тут проверяет администратор данный тип входа. Если не разрешается, сессия уничтожается, если разрешается то, создается маркер пользователя содержащий группы и привилегии. Передается на процесс входа.
  6. Процесс входа вызывает подсистему win32 и присоединяет полученный от LSA маркер доступа к созданному процессу, создавая маркер доступа.
  7. До начала интерактивной сессии подсистема win32 создает контроль пользователя.

Идентификатор безопасности (SID).

Создаются при создании учетной записи и используются как уникальный идентификатор в маркере доступа и списке контроля доступа. При переименовании учетной записи сведения изменяются.

При создании нового пользователя с именем ранее удаленного пользователя будет сгенерирован новый шифр  и новый пользователь не получит прав старого пользователя.

Структура SID:

SI-X-Y1-YN

           (RID)

SU – номер версии.  N- число подразделений (не указывается в поле), X- номер ведомства.

Y1…Yn – число подразделений.

Для уникальности SID используют текущую дату и время и исходную информацию.

SID учетной записи одного домена отличается последним подразделением.

Кроме обычных SID существую предопределенные (известные) SID.

К общеизвестным относятся SID с предопределенным подразделением : например, встроенная учетная запись администраторов имеет ранг 500.

Привилегии пользователей.

Разрешение на выполнение действия выдается после сравнения идентификатора безопасности.

Некоторые действия пользователя не связаны с объектом. Возможность резервного копирования не зависит от возможного разрешения на них.

Предоставляются специальные права пользователя:

  1.  Привилегия. Заносятся в маркер доступа. Могут выполнять ряд специфичных операций (резерв. копирование).
  2.  Вход в систему. Возможность пользователя входить в систему. Позволяют создавать маркер доступа. Локальный вход: вход по сети, в качестве службы, пакетного задания.

Начиная с Windows XP появилась пара прав связанных с терминальным доступом.

Маркер доступа(MD)

При входе пользователя в систему локальный администратор безопасности создает MD. В нем указываются поля:

  1.  SID пользователя и групп, в которые он входит.
  2. Набор привилегий пользователя.
  3.  SID владельца и редакционный список контроля доступа (DACL) , который будет присваиваться вновь созданному объекту.
  4. Уникальный локальный идентификатор, маркер, сессии и версии маркера.
  5. Тип маркера (первичный, в процесс олицетворения).
  6. Уровень олицетворения.
  7. Признак ограниченного маркера, идентификатор терминального сеанса.

Монитор безопасности – единственная система безопасности, которая работает на уровне ядра. Использует MD при попытке пользователя получить доступ.

Олицетворение.

Windows разрешает одному процессу взять атрибуты другого процесса по средствам олицетворения.

Сервер обычно использует контекст безопасности тех, чьи запросы выполняются.

При установки связи с сервером клиент может указать уровень олицетворения, которое следует использовать серверу.

Сервер создает новый маркер доступа.

Значения уровня олицетворения:

  1.  Security Anonymous  - процесс сервера не имеет права получать информацию впреть.
  2.  Security Identification – разрешает серверу запросить маркер доступа, связанный с клиентом и узнать SID пользователя и групп, но не позволяет серверу производить олицетворение.
  3.  Security Impersonation – сервер может пользоваться практически всеми правилами привилегиями клиента, но не может установить от имени пользователя новое сетевое соединение с другим компьютером.
  4.  Security Delegation – серверному процессу разрешено вступать от имени клиента как на локальном, так и на удаленном компьютере.

Редактор шаблонов.

Появилось с Windows 2000 для создания и редактирования конфигураций безопасности.

Шаблон настраивает следующие:  компонент политика учетной записи, компонент локальной политики, журнал событий, настройка групп с ограниченным доступом, настройка системных служб, системного реестра, безопасности файловой системы.

Applocker.

При построении защиты РС пользователем используется только доверенное ПО.

В Windows XP Server необходимо реализовать замкнутую программную среду.

В Windows 2003 это достигается политикой ограничения использования программ (файл для сертификата – наиболее надежный вид файла, ограничение доступа на основе ЭЦП).

Недостаток: границы широки.

TMP.

Модуль доверенной платформы. Микросхема устанавливается на матплате компьютера. Он обеспечивает доверенную загрузку компьютера. Он используется начиная с Vista. Обеспечивает хранение шифра ключей.

При использовании главного модуля необходимо выполнить инициализацию ключей. Создается пароль владельца и при необходимости его сброс. Пароль можно сохранить в виде файла .TMP

Модуль можно отключить.

Система шифрования диска появилась начиная с Vista Interprise. Она позволяет зашифровать весь логический диск.


 

А также другие работы, которые могут Вас заинтересовать

52739. Формування комунікативно-мовленнєвих умінь і навичок молодших школярів на уроках читання 165 KB
  Розвиток мовленнєвокомунікативних умінь та навичок учнів на нетрадиційних уроках читання. Формування зв’язного мовлення та навичок міжособистісного спілкування у процесі роботи з художнім текстом Уроки читання має великі можливості для реалізації мети розвитку комунікативної культури дітей. На уроках читання та позакласного читання учні вчаться усвідомлювати фактичний зміст твору переказувати прочитане виділяти основних персонажів обговорювати оповідання та стисло висловлювати своє ставлення до нього.
52740. Компетентностный подход к формированию личности средствами проектных технологий 470.5 KB
  Использование проектного метода делает студента самостоятельным приспособленным к жизни умеющим ориентироваться в разнообразных ситуациях способствует развитию познавательных творческих навыков умений самостоятельно конструировать свои знания умений ориентироваться в информационном пространстве; развитию критического мышления навыков информационной деятельности. Концепция компетенции выходит за рамки квалификации и представляет компетенцию как комбинацию знаний умений навыков и отношений соответствующих определенному содержанию...
52741. Диференційоване навчання в початковій школі 89.5 KB
  Працюючи в школі я впевнилась що особистісно–розвивальна спрямованість освіти реалізація якої є головним завданням сучасної школи неможлива без диференційованого навчання. Головне завдання вчителів початкової ланки – не забути жодної дитини дати можливість розкрити все краще закладене природою сім’єю школою. Враховуючи те що рівень готовності учнів до навчальної діяльності різний необхідно конструювати диференційовані завдання для школярів з різними навчальними можливостями. Такі завдання мають поєднувати навчальний процес усього...
52742. Формування предметно-культурологічних компетентностей учнів через моделювання культурно-освітнього середовища 139 KB
  предметнокультурологічних компетентностей учнів має особливу практичну значущість та дозволяє досягти нової якості освіти. Основна ідея досвіду її інноваційна значущість Формування компетентної особистості учня в процесі вивчення літератури здійснюється через моделювання культурноосвітнього середовища як дидактичної одиниці інноваційного освітнього процесу на засадах поєднання дІяльнісного особистісноорієнтованого компетентнісного підходів шляхом забезпечення міжпредметної інтеграції використання розвиваючих інтерактивних технологій...
52743. Орієнтоване читання як компонент технології розвитку критичного мислення учнів в системі 501.5 KB
  Ефективність – А працюють всі учні; Б розвивається логічне мислення; В використання опорних ключових слів в багаткратному повторенні під час уроку полегшує засвоєння матеріалу при виконанні домашніх завдань; Г для здібних учнів залишається простір для самостійного оволодіння додатковою інформацією. А на практиці є учні які приходять на урок без виконаного домашнього завдання які за своїм рівнем відстають від основної групи дітей. Пояснюють факти правила прогнозують наслідки які базуються на отриманих даних Які слова матері...
52744. Інтерактивні уроки історії в навчальному процесі 583 KB
  Втретіх виховується почуття колективізму відповідальності взаємодопомоги поваги до чужої думки бо інколи завдання які розглядаються на таких уроках можуть мати декілька альтернативних варіантів відповіді. Першим завданням як правило є кросворд або чайнворд. На виконання даної роботи відводиться певний час тому за раніше виконане завдання при наявності всіх правильних відповідей присуджується додаткове очко. Зазвичай учень який відповідає призначається вчителем тому навіть слабкі чи не підготовлені до цього уроку школярі...
52745. ІНТЕГРАЦІЙНІ ПРОЦЕСИ НА УРОКАХ СВІТОВОЇ ЛІТЕРАТУРИ 552.5 KB
  Інтеграційні процеси на уроках світової літератури. Автор досвіду ставив мету у даній роботі систематизувати та описати методологію впровадження інтеграційних процесів на уроках світової літератури. Практичне бачення інтеграційних процесів на уроках світової літератури автор відобразив схемами.
52746. Інноваційні технології у формуванні комунікативної компетенції учнів на уроках німецької мови як другої іноземної 378 KB
  В Інноваційні технології у формуванні комунікативної компетенції учнів на уроках німецької мови як другої іноземної У школі не повинні мати місце зайва теоретизація вербальне заучування граматичних положень та правил. Стрімкі зміни що відбуваються в українському суспільстві осучаснення освітньої системи досягнення в галузі практики викладання іноземної мови поставили перед кожним педагогом необхідність оновлення змісту і методів навчання іноземної мови. Це зумовило вибір теми педагогічного дослідження: Інноваційні технології у формуванні...
52747. Люди перестають мислити, коли перестають читати. Інтерактивне навчання 3.76 MB
  На сучасному етапі навчання літератури значну роль відведено вихованню вдумливого читача людини з розвиненим критичним мисленням здатної оцінювати себе і навколишній світ що не можливо без формування базових якостей особистості розвитку її активного начала. Над проблемою Критичне мислення як засіб розвитку творчої особистості учня в процесі соціалізації працюю з 2007 року. У дзеркалі соціології читання відображає наші цінності та погляди стереотипи свідомості та алгоритми мислення реакцію на своє оновлення та духовне...