JК
3.Внутреннее устройство Windows (гл. 8-11) :: Руссинович Марк
Страница: 28 из 255Каждый уровень позволяет серверу выполнять различный набор операций относительно контекста защиты клиента:
• SecurityAnonymous — самый ограниченный уровень; сервер не может олицетворять или идентифицировать клиент;
• SecurityIdentification — сервер может получать SID и привилегии клиента, но не получает право на олицетворение клиента;
• SecurityImpersonation — сервер может идентифицировать и олицетворять клиент в локальной системе;
• SecurityDelegation — наименее ограниченный уровень. Позволяет серверу олицетворять клиент в локальных и удаленных системах. Windows NT 4 и более ранние версии лишь частично поддерживают этот уровень олицетворения.
Если клиент не устанавливает уровень олицетворения, Windows по умолчанию выбирает SecurityImpersonation. Функция CreateFile также принимает модификаторы SECURITY_EFFECTIVE_ONLY и SECURITY_CONTEXT_TRACKING.
Первый из них не дает серверу включать/выключать какие-то привилегии или группы клиента на время олицетворения. A второй указывает, что все изменения, вносимые клиентом в свой контекст защиты, отражаются и на сервере, который олицетворяет этот клиент. Данный модификатор действует, только если клиентский и серверный процессы находятся в одной системе.
Ограниченные маркеры
Ограниченный маркер (restricted token) создается на базе основного или олицетворяющего с помощью функции CreateRestrictedToken и является его копией, в которую можно внести следующие изменения:
• удалить некоторые элементы из таблицы привилегий маркера;
• пометить SID-идентификаторы маркера атрибутом проверки только на запрет (deny-only);
• пометить SID-идентификаторы маркера как ограниченные.
Поведение SID с атрибутом проверки только на запрет (deny-only SID) и ограниченных SID (restricted SID) кратко поясняется в следующих разделах.
• SecurityAnonymous — самый ограниченный уровень; сервер не может олицетворять или идентифицировать клиент;
• SecurityIdentification — сервер может получать SID и привилегии клиента, но не получает право на олицетворение клиента;
• SecurityImpersonation — сервер может идентифицировать и олицетворять клиент в локальной системе;
• SecurityDelegation — наименее ограниченный уровень. Позволяет серверу олицетворять клиент в локальных и удаленных системах. Windows NT 4 и более ранние версии лишь частично поддерживают этот уровень олицетворения.
Если клиент не устанавливает уровень олицетворения, Windows по умолчанию выбирает SecurityImpersonation. Функция CreateFile также принимает модификаторы SECURITY_EFFECTIVE_ONLY и SECURITY_CONTEXT_TRACKING.
Первый из них не дает серверу включать/выключать какие-то привилегии или группы клиента на время олицетворения. A второй указывает, что все изменения, вносимые клиентом в свой контекст защиты, отражаются и на сервере, который олицетворяет этот клиент. Данный модификатор действует, только если клиентский и серверный процессы находятся в одной системе.
Ограниченные маркеры
Ограниченный маркер (restricted token) создается на базе основного или олицетворяющего с помощью функции CreateRestrictedToken и является его копией, в которую можно внести следующие изменения:
• удалить некоторые элементы из таблицы привилегий маркера;
• пометить SID-идентификаторы маркера атрибутом проверки только на запрет (deny-only);
• пометить SID-идентификаторы маркера как ограниченные.
Поведение SID с атрибутом проверки только на запрет (deny-only SID) и ограниченных SID (restricted SID) кратко поясняется в следующих разделах.