Hozzáférési token

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2019. február 24-én felülvizsgált verziótól ; az ellenőrzések 6 szerkesztést igényelnek .

A  hozzáférési jogkivonat a Microsoft Windows osztályba tartozó operációs rendszerek programobjektuma , amely munkamenet-biztonsági információkat tartalmaz, és azonosítja a felhasználót, a felhasználói csoportot és a felhasználói jogosultságokat.

Áttekintés

A hozzáférési jogkivonat egy olyan objektum, amely egy folyamat biztonsági leíróját tartalmazza [1] . Egy folyamatra alkalmazva a biztonsági leíró azonosítja az objektum tulajdonosát [2] [3] . Mindaddig, amíg a jelölő csak biztonsági információk megjelenítésére szolgál, a tartalom technikailag ingyenes, és bármilyen adatot tartalmazhat. A hozzáférési jogkivonatot a Windows akkor használja, amikor egy folyamat olyan objektumokkal próbál kapcsolatba lépni, amelyek biztonsági leírói hozzáférés-szabályozást igényelnek [1] . A hozzáférési jogkivonatot egy Token típusú rendszerobjektum képviseli . Mivel a token egy szokványos rendszerobjektum, a tokenhez való hozzáférés egy biztonsági leíróval szabályozható, de ez a gyakorlatban általában soha nem történik meg.

A bejelentkezési szolgáltatás hozzáférési jogkivonatot hoz létre, amikor a felhasználó regisztrál, és sikeresen hitelesíti a felhasználó jogait a tokenben található biztonsági leíróban. A token minden, a felhasználó munkamenete által létrehozott folyamathoz csatolva van (a felhasználó tulajdonában lévő folyamatok) [1] . Amikor egy ilyen folyamat hozzáférés-vezérelt erőforrást kér, a Windows a hozzáférési jogkivonat biztonsági leírójában megnézi, hogy a felhasználó, a folyamat tulajdonosa hozzáfér-e az adatokhoz, és ha igen, milyen műveleteket hajt végre (olvasás, írás/írás). módosítani) megengedett neki. Ha az adott felhasználó környezetében engedélyezett a művelet, akkor a Windows engedélyezi a folyamat folytatását, ha nem, akkor megtagadja a hozzáférést.

Hozzáférési token típusok

Kétféle hozzáférési token létezik:

Elsődleges hozzáférési token

Az elsődleges hozzáférési jogkivonatok csak folyamatokhoz társíthatók, és a folyamat biztonsági tárgyai. Az elsődleges tokenek létrehozása és egy folyamathoz való társítása olyan privilegizált műveletek, amelyek két különböző jogosultságot igényelnek (a jogosultságok elkülönítéséhez). Egy tipikus forgatókönyv szerint az identitásszolgáltatás létrehoz egy tokent, és a bejelentkezési szolgáltatás társítja azt a felhasználó operációs rendszerhéjához . Létrehozáskor az új folyamatok öröklik a szülőfolyamat elsődleges jogkivonatának másolatát.

Hozzáférési tokenek megszemélyesítése

A megszemélyesítés a Windows NT egyedi biztonsági koncepciója, amely lehetővé teszi a kiszolgálóalkalmazások számára, hogy ideiglenesen kliensként „legyenek” egy védett objektum eléréséhez. A megszemélyesítés három lehetséges szintből áll: azonosítás, amely lehetővé teszi a szerver számára a kliens hitelesítését, a megszemélyesítés, amely lehetővé teszi a szerver számára, hogy a kliens nevében járjon el, és a delegálás, amely megegyezik a megszemélyesítéssel, csak olyan távoli rendszerekkel való együttműködésre terjeszthető ki, amelyeket a szerver. -vel kommunikál. Az ügyfél a kapcsolati paraméterben kiválaszthatja a megszemélyesítés maximális lehetséges szintjét a szerveren. A delegálás és a megszemélyesítés kiemelt műveletek. A megszemélyesítő hozzáférési jogkivonatok csak szálakhoz társíthatók, és az ügyfélfolyamat biztonsági tárgyai. A megszemélyesítési tokeneket általában implicit módon hozzák létre és társítják az aktuális szálhoz olyan IPC - mechanizmusok segítségével, mint a DCE RPC , DDE és az elnevezett csövek .

Hozzáférési token összetevői

A hozzáférési token különböző mezőkből áll, beleértve, de nem kizárólagosan, a következőket:

  • azonosító ;
  • a kapcsolódó bejelentkezési munkamenet azonosítója. A munkamenetet az identitásszolgáltatás tartja karban, és olyan identitáscsomagokkal tölti fel, amelyek a felhasználó által a bejelentkezés során megadott összes információ (a hitelesítő adatok) gyűjteményét tartalmazzák. A megbízás távoli rendszerekhez való hozzáférésre szolgál az ügyfél újbóli azonosítása nélkül, feltéve, hogy az összes érintett rendszer megosztja az azonosságinformációkat.
  • Felhasználói azonosító. Ez a mező a legfontosabb és írásvédett.
  • azoknak a csoportoknak az azonosítója, amelyeknek a felhasználó (pontosabban az alany) része. A csoportazonosítók nem távolíthatók el, de letilthatók. Legfeljebb az egyik csoporthoz van hozzárendelve egy munkamenet azonosító, egy tetszőleges csoport, amely a bejelentkezési munkamenetet reprezentálja, és lehetővé teszi a hozzáférést a munkamenethez kapcsolódó különféle objektumokhoz.
  • korlátozza a csoportazonosítókat (a mező nem kötelező). Ez egy további csoporthalmaz, amely nem ad további hozzáférést, hanem korlátozza azt: egy objektumhoz való hozzáférés csak akkor nyitott, ha az ezen csoportok valamelyike ​​számára is nyitva áll. Az ilyen típusú csoportokat nem lehet törölni vagy letiltani.
  • jogosultságokat, vagyis a felhasználó speciális képességeit. A legtöbb jogosultság alapértelmezés szerint le van tiltva, hogy elkerülje a gyengén védett programok esetleges károsodását. A Windows XP Service Pack 2-től és a Windows Server 2003 -tól kezdve a hozzáférési jogkivonatok jogosultságait az AdjustTokenPrivileges() SE_PRIVILEGE_REMOVE attribútummal történő meghívásával lehet eltávolítani.

A felhasználói tokenhez társított alany által létrehozott objektumok alapértelmezett tulajdonosa, elsődleges csoportja és ACL -je.

Jegyzetek

  1. 1 2 3 hozzáférési tokenek archiválva 2012. július 21-én a Wayback Machine -nél  
  2. Biztonsági leírók archiválva : 2011. augusztus 5. a Wayback Machine -nél  
  3. Biztonságos objektumok archiválva : 2011. augusztus 5. a Wayback Machine -nél