Partilhar via

Partes do modelo de controle de acesso

  • Artigo

Há duas partes básicas do modelo de controle de acesso:

Quando um usuário faz logon, o sistema autentica nome de conta e senha do usuário. Se o logon for bem-sucedido, o sistema criará um token de acesso. Cada processo executado em nome deste utilizador terá uma cópia deste token de acesso. O token de acesso contém identificadores de segurança que identificam a conta do usuário e quaisquer contas de grupo às quais o usuário pertence. O token também contém uma lista dos privilégios de mantidos pelo usuário ou pelos grupos de usuários. O sistema usa esse token para identificar o usuário associado quando um processo tenta acessar um objeto protegível ou executar uma tarefa de administração do sistema que requer privilégios.

Quando um objeto protegível é criado, o sistema atribui a ele um descritor de segurança que contém informações de segurança especificadas por seu criador, ou informações de segurança padrão, se nenhuma for especificada. Os aplicativos podem usar funções para recuperar e definir as informações de segurança de um objeto existente.

Um descritor de segurança identifica o proprietário do objeto e também pode conter as seguintes listas de controle de acesso :

  • Um de lista de controle de acesso discricionário (DACL) que identifica os usuários e grupos com acesso permitido ou negado ao objeto
  • Uma lista de controle de acesso do sistema (SACL) que controla como o sistema audita tenta acessar o objeto

Uma ACL contém uma lista de entradas de controle de acesso (ACEs). Cada ACE especifica um conjunto de direitos de acesso e contém um SID que identifica um administrador para quem os direitos são permitidos, negados ou auditados. Um administrador fiduciário pode ser uma conta de utilizador, uma conta de grupo ou uma sessão de início de sessão .

Use funções para manipular o conteúdo de descritores de segurança, SIDs e ACLs em vez de acessá-los diretamente. Isso ajuda a garantir que essas estruturas permaneçam sintaticamente precisas e evita que futuras melhorias no sistema de segurança quebrem o código existente.

Os tópicos a seguir fornecem informações sobre partes do modelo de controle de acesso: