Professional Documents
Culture Documents
SRM 10 Sigurnost I Zastita Operativnih Sistema
SRM 10 Sigurnost I Zastita Operativnih Sistema
Tema:
Sigurnost i zaštita operativnih sistema
Dodatni resursi:
http://www.conwex.info/draganp/teaching.html
Knjige:
http://www.conwex.info/draganp/books.html
Za primenu:
Računarske mreže i protokoli
Operativni sistemi
Sistemsko programiranje
Mogućnost
da se izvrši operacija nad objektom
nazvaćemo pravo pristupa (engl. access right).
Globalna tabela
Mehanizam ključeva
Jednostavno rečeno,
lista sposobnosti jednog domena
opisuje operacije koje procesi tog domena
mogu izvršiti nad različitim objektima.
Upravljač objekta (Object Manager) koristi usluge koje pruža SRM – pre
izvršenja neke akcije, upravljač objekta konsultuje SRM i tako određuje ima
li proces pravo da izvrši datu akciju nad objektom.
SRM implementira nivo sigurnosti C2 :
vlasnik objekta određuje ko može pristupiti objektu
korisnici se identifikuju pomoću jedinstvenog korisničkog imena i lozinke
obezbeđuje mogućnost praćenja uspešnih i neuspešnih pokušaja pristupa
objektima
štiti sadržaj memorije i datoteka od neovlašćenog pristupa.
Sigurnost i zaštita operativnih sistema Slide 37 of 73
Security Subsytem
Sigurnosni podsistem (Security Subsytem) čine sledeće komponente:
1. Local Security Authority. LSA generiše pristupne žetone, tj.
informacije koje se dodaju procesima i koje određuju čemu sve korisnik
može da pristupi. LSA upravlja polisom praćenja pristupa resursima.
Komunicira sa Security Reference Monitorom i vodi evidenciju o
porukama vezanim za praćenje objekata koje šalje kernel.
2. Logon proces. Prihvata zahteve za prijavljivanje na sistem; komunicira
sa LSA kako bi odredio da li korisnik, koji želi da se prijavi na sistem, ima na
to pravo ili ne.
3. Security Account Manager. SAM upravlja bazom podataka u kojoj su
opisani korisnici i grupe i obezbeđuje pristup toj bazi.
Domenske Grupe
Administrators. Domenska lokalna grupa čiji su članovi korisnik
Administrator i globalna grupa Domain Admins.
Domain Admins. Globalna grupa u koju treba učlaniti sve korisnike koji
su administratori domena.
Full Control – uključuje sve atomarne dozvole; korisnik kome je data ova
dozvola ima sva prava nad objektom, uključujući i mogućnost dodele i
oduzimanja NTFS dozvola i preuzimanja vlasništva;
Svaki korisnik može biti član više grupa. Dozvole nad jednim objektom
sistema datoteka mogu biti dodeljene većem broju grupa čiji je dati korisnik
član. Efektivne dozvole korisnika formiraju se na sledeći način:
različite dozvole dodeljene grupama kojima korisnik pripada sabiraju se,
različite nasleđene i eksplicitno dodeljene dozvole sabiraju se i
zabrana dozvole nadjačava dodelu.
http://www.conwex.info/draganp/books_SRSiM.html
http://www.mk.co.yu/store/prikaz.php?ref=978-86-7555-305-2
Za predavanje 10:
Poglavlje 10: Sigurnost i zaštita operativnih sistema