2018. június 24., vasárnap
A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 2. rész
Amikor bejelentkezünk, a Windows egy adott integritási azonosítót rendel a felhasználónkhoz. Ez
az azonosító tartalmazza mindazt az információt, amiből a rendszer megállapítja, hogy mely
területekhez van hozzáférésünk és melyekhez nincs. Nem csak a felhasználók, de a védeni kívánt
rendszerobjektumok, úgy mint fájlok, mappák, adatcsatornák, folyamatok (processzek),
folyamatszálak (thread-ek), az ablakkezelő, registry-kulcsok, szolgáltatások, nyomtatók,
megosztások, ütemezett feladatok, stb. is kapnak egy-egy saját szintazonosítót. Ezek az azonosítók
a System Access Control List-ben (SACL) tárolódnak, hasonlóan ahhoz, ahogy a fájlrendszerjogosultságok
az egyes fájlokhoz tartozó Access Control List-ekben (ACL).
2018. június 13., szerda
A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 1. rész
A következőkben bemutatásra kerülő védelmi eljárás még egy, az 1970-es években született
elgondoláson alapszik, megvalósítására azonban csak napjainkban került sor. Míg a fájlrendszerjogosultságok
könnyen kezelhető és hatékony védelmet nyújtanak az illetéktelen hozzáférésektől, a
technológia rendelkezik némi korlátoltsággal. Hiába védjük másoktól a fájlokat, ha magát a
tulajdonost is viszonylag könnyen rávehetjük, hogy lefuttasson egy-egy parancsot - természetesen
adminisztrátori jogokkal. A MIC alapelgondolása a következő: a csökkentett megbízhatósági
szinten dolgozó alanyok nem módosíthatnak magasabb szinten lévő objektumokat, a magasabb
szinten létező objektumok pedig nem kényszeríthetők, hogy megbízzanak alacsonyabb szintről
érkező utasításokban vagy adatokban. A kulcsszó itt a "megbízhatóság", a MIC pedig ezt az
információáramlási politikát valósítja meg a Windows Vista-ban.
Feliratkozás:
Bejegyzések (Atom)