M04 - Bezpečnost operačního systému a síťové komunikace
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
Nedílnou součástí bezpečnostní politiky je nastavení takových požadavků na
tvar hesla, aby uživatelé maximálně využili nabízených možností systému a ne-
degradovali jeho bezpečnostní potenciál. Tato pravidla jsou součástí strategie,
která se ve Windows souhrnně označuje jako bezpečnostní zásady. Patří mezi
ně rozsáhlá množina nastavení určených pro uživatele a počítače. Zásady lze
uplatňovat lokálně, ale vhodnější je jejich prosazování z úrovně správních jed-
notek, kterými se v sítích založených na operačním systému Windows označují
jako domény. Mezi těmito pravidly se nachází také možnost potlačit zpětnou
kompatibilitu, zejména ukládání kopií LM hesel, použití méně bezpečného šif-
rování algoritmem DES nebo dokonce uložení kopií hesel v otevřené podobě.
4.
Autorizace
Termín autorizace označuje proces ověřování oprávnění subjektu k provedení
určité akce. Tento proces obvykle navazuje na autentizaci, např. po úspěšné
autentizaci přidělí souborový server uživateli specifická oprávnění ke sdíleným
síťovým prostředkům. Základní informace, na kterých je založena autorizace
ve Windows, se nacházejí v datových strukturách přístupový záznam (access
token) a deskriptor zabezpečení objektů (složek, tiskáren, procesů atd.).
Přístupový záznam vytváří podsystém LSA po úspěšné autentizaci objektu.
Oprávnění, která záznam definuje, dědí všechny procesy a aplikace spuštěné v
relaci přihlášení. Záznam obsahuje informaci o identitě uživatele a jeho privi-
legiích – SID účtu uživatele, SID skupin, jejichž je členem, SID relace přihlá-
šení, seznam privilegií uživatele a skupin, atd. Deskriptor zabezpečení objektu
(složky, souboru, tiskárny, tiskové úlohy nebo fronty, procesu, služby atd.) ob-
15
Informatika
sahuje informace, které určují oprávnění pro získání přístupu k jeho vlastnos-
tem3. Obsahuje zejména seznam oprávnění pro řízení přístupu DACL (Access
Kontrol List, ACL), který definuje požadavky pro získání přístupu nebo pro
uskutečnění určité operace. Seznam je tvořen jednotlivými položkami (Access
Control Entry, ACE), které povolují (access–allowed) nebo zakazují (access–
denied) provedení určité operace.