2018. június 24., vasárnap

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 2. rész

Amikor bejelentkezünk, a Windows egy adott integritási azonosítót rendel a felhasználónkhoz. Ez az azonosító tartalmazza mindazt az információt, amiből a rendszer megállapítja, hogy mely területekhez van hozzáférésünk és melyekhez nincs. Nem csak a felhasználók, de a védeni kívánt rendszerobjektumok, úgy mint fájlok, mappák, adatcsatornák, folyamatok (processzek), folyamatszálak (thread-ek), az ablakkezelő, registry-kulcsok, szolgáltatások, nyomtatók, megosztások, ütemezett feladatok, stb. is kapnak egy-egy saját szintazonosítót. Ezek az azonosítók a System Access Control List-ben (SACL) tárolódnak, hasonlóan ahhoz, ahogy a fájlrendszerjogosultságok az egyes fájlokhoz tartozó Access Control List-ekben (ACL).

2018. június 13., szerda

A Windows Vista biztonsági szolgáltatásai - MIC - Mandatory Integrity Control 1. rész

A következőkben bemutatásra kerülő védelmi eljárás még egy, az 1970-es években született elgondoláson alapszik, megvalósítására azonban csak napjainkban került sor. Míg a fájlrendszerjogosultságok könnyen kezelhető és hatékony védelmet nyújtanak az illetéktelen hozzáférésektől, a technológia rendelkezik némi korlátoltsággal. Hiába védjük másoktól a fájlokat, ha magát a tulajdonost is viszonylag könnyen rávehetjük, hogy lefuttasson egy-egy parancsot - természetesen adminisztrátori jogokkal. A MIC alapelgondolása a következő: a csökkentett megbízhatósági szinten dolgozó alanyok nem módosíthatnak magasabb szinten lévő objektumokat, a magasabb szinten létező objektumok pedig nem kényszeríthetők, hogy megbízzanak alacsonyabb szintről érkező utasításokban vagy adatokban. A kulcsszó itt a "megbízhatóság", a MIC pedig ezt az információáramlási politikát valósítja meg a Windows Vista-ban.