Access Control 모델의 일부
액세스 제어 모델의 두 가지 기본 부분이 있습니다.
사용자가 로그온하면 시스템은 사용자의 계정 이름과 암호를 인증합니다 . 로그온에 성공하면 시스템에서 액세스 토큰을 만듭니다. 이 사용자를 대신하여 실행되는 모든 프로세스 에는 이 액세스 토큰의 복사본이 있습니다. 액세스 토큰에는 사용자의 계정과 사용자가 속한 모든 그룹 계정을 식별하는 보안 식별자가 포함됩니다. 토큰에는 사용자 또는 사용자 그룹이 보유한 권한 목록도 포함됩니다. 프로세스에서 보안 개체에 액세스하거나 권한이 필요한 시스템 관리 작업을 수행하려고 할 때 시스템은 이 토큰을 사용하여 연결된 사용자를 식별합니다.
보안 개체를 만들 때 시스템은 생성자가 지정한 보안 정보를 포함하는 보안 설명자 또는 지정되지 않은 경우 기본 보안 정보를 할당합니다. 애플리케이션은 함수를 사용하여 기존 개체에 대한 보안 정보를 검색하고 설정할 수 있습니다.
보안 설명자는 개체의 소유자를 식별하고 다음 액세스 제어 목록을 포함할 수도 있습니다.
- 개체 에 대한 액세스 가 허용되거나 거부된 사용자 및 그룹을 식별하는 DACL(임의 액세스 제어 목록)
- 시스템 감사가 개체에 액세스하는 방법을 제어하는 SACL(시스템 액세스 제어 목록)
ACL에는 ACE( 액세스 제어 항목 ) 목록이 포함되어 있습니다. 각 ACE는 액세스 권한 집합을 지정하고 권한이 허용, 거부 또는 감사되는 수탁자를 식별하는 SID를 포함합니다. 수탁자는 사용자 계정, 그룹 계정 또는 로그온 세션일 수 있습니다.
함수를 사용하여 보안 설명자, SID 및 ACL의 내용을 직접 액세스하는 대신 조작합니다. 이렇게 하면 이러한 구조가 구문적으로 정확하게 유지되고 보안 시스템의 향후 개선 사항이 기존 코드를 위반하지 않도록 방지할 수 있습니다.
다음 topics 액세스 제어 모델의 일부에 대한 정보를 제공합니다.
- 액세스 토큰
- 보안 설명자
- Access Control 목록
- Access Control 항목
- 액세스 권한 및 액세스 마스크
- AccessCheck 작동 방식
- 중앙 집중식 권한 부여 정책
- 보안 식별자