Войти
В вычислениях определяется привилегия как делегирование полномочий на выполнение функций, связанных с безопасностью, в компьютерной системе. Привилегия позволяет пользователю выполнять действие с последствиями для безопасности. Примеры различных привилегий включают возможность создавать нового пользователя, устанавливать программное обеспечение или изменять функции ядра.
Пользователи, которым делегированы дополнительные уровни управления, называются привилегированными. Пользователи, которым не хватает большинства привилегий, определяются как непривилегированные, обычные или обычные пользователи.
Привилегии могут быть автоматически, предоставлено или заявлено.
Автоматическая привилегия существует, когда не требуется разрешение на выполнение действия. Например, в системах, где людям необходимо войти в систему, чтобы использовать ее, для выхода из системы не потребуется привилегия. Системы, в которых не реализована защита файлов - такие как MS-DOS - по существу предоставляют неограниченные привилегии для выполнения любых действий с файлом.
Предоставленная привилегия существует в результате предоставления некоторых учетных данных органу, предоставляющему привилегию. Обычно это достигается путем входа в систему с именем пользователя и паролем, и, если предоставленные имя пользователя и пароль верны, пользователю предоставляются дополнительные привилегии.
Привилегия запрашивается либо исполняемой программой, выдающей запрос на дополнительные привилегии, либо запуском некоторой программы для подачи заявки на дополнительные привилегии. Примером пользователя, подающего заявку на дополнительные привилегии, является команда sudo для запуска команды от имени пользователя root или система аутентификации Kerberos.
Современные процессорные архитектуры имеют несколько режимов ЦП, что позволяет ОС работать с разными уровнями привилегий. Некоторые процессоры имеют два уровня (например, пользователь и супервизор); Процессоры i386 + имеют четыре уровня (№0 с наибольшим числом, №3 с наименьшими привилегиями). Задачи помечаются уровнем привилегий. Ресурсы (сегменты, страницы, порты и т. Д.) И привилегированные инструкции помечаются с требуемым уровнем привилегий. Когда задача пытается использовать ресурс или выполнить привилегированную инструкцию, процессор определяет, есть ли у него разрешение (если нет, генерируется прерывание «отказ защиты»). Это предотвращает повреждение пользовательскими задачами ОС или друг друга.
В компьютерном программировании исключения, связанные с нарушениями привилегированных инструкций, могут быть вызваны, когда к массиву был осуществлен доступ вне пределов или когда недопустимый указатель был разыменован, когда недействительная ячейка памяти, на которую имеется ссылка, является привилегированной ячейкой, например, одним из управляющих устройство ввода / вывода. Это особенно часто встречается в языках программирования, таких как C, которые используют арифметику указателей или не проверяют границы массива автоматически.
В Unix-подобных системах суперпользователь (обычно известный как «root») владеет всеми привилегиями. Обычным пользователям предоставляется достаточно разрешений только для выполнения их наиболее распространенных задач. Системы UNIX имеют встроенные функции безопасности. Большинство пользователей не могут создать новую учетную запись или выполнить другие административные процедуры. Пользователь «root» - это специальный пользователь, так называемый суперпользователь, который может делать в системе все что угодно. Эта высокая степень мощности необходима для полного администрирования системы UNIX, но она также позволяет пользователю совершать ошибку и вызывать системные проблемы.
Обычно непривилегированные пользователи не могут:
В системах на базе Windows NT права делегируются в разной степени. Эти делегирования можно определить с помощью (SECPOL.MSC). Ниже приводится сокращенный список назначений по умолчанию:
Windows определяет ряд административных привилегий, которые могут быть назначены индивидуально пользователям и / или группам. Учетная запись (пользователь) имеет только привилегии, предоставленные ей прямо или косвенно через членство в группах. После установки создается ряд групп и учетных записей, и им предоставляются привилегии. Однако эти права доступа можно изменить позже или с помощью групповой политики . В отличие от Linux, неявно или навсегда определенные привилегии не предоставляются конкретной учетной записи.
Некоторые административные привилегии (например, владение или восстановление произвольных файлов) настолько мощны, что при использовании со злым умыслом могут позволить скомпрометировать всю систему. С помощью управления учетной записью пользователя (по умолчанию, начиная с Windows Vista) Windows удаляет токен пользователя этих привилегий при входе в систему. Таким образом, если пользователь входит в систему с учетной записью с широкими системными привилегиями, он / она все равно не будет работать с этими системными привилегиями. Всякий раз, когда пользователь хочет выполнить административные действия, требующие каких-либо системных привилегий, он / она должен будет сделать это из процесса с повышенными правами. При запуске процесса с повышенными правами пользователь получает информацию о том, что его / ее административные привилегии утверждаются посредством запроса, требующего его / ее согласия. Отсутствие привилегий до тех пор, пока они не потребуются, соответствует принципу наименьших привилегий.
Процессы с повышенными привилегиями будут выполняться с полными привилегиями пользователя, а не с полными привилегиями системы. Даже в этом случае привилегии пользователя могут быть больше, чем требуется для этого конкретного процесса, поэтому не полностью наименьшие привилегии.
Windows ME, Windows 98, Windows 95 на базе DOS и предыдущие версии не -NT Windows работала только с файловой системой FAT и не поддерживала разрешения файловой системы., И поэтому привилегии эффективно аннулируются в системах на основе Windows NT, которые не используют файловую систему NTFS.
Имена, используемые в исходном коде Windows, заканчиваются на «Privilege» или «LogonRight». Это привело к некоторой путанице в отношении того, как следует называть полный набор всех этих «Прав» и «Привилегий».
В настоящее время Microsoft использует термин «Права пользователя». В прошлом Microsoft также использовала некоторые другие термины, такие как «Права доступа», «Права пользователя для входа в систему» и «Права NT».
