13:51 Принцип наименьших привилегий | |
| В информационной безопасности , информатике и других областях принцип наименьших привилегий ( PoLP ), также известный как принцип минимальных привилегий или принцип наименьших полномочий , требует, чтобы в определенном уровне абстракции вычислительной среды каждый модуль ( например, процесс , пользователь или программа , в зависимости от предмета) должны иметь возможность доступа только к той информации и ресурсам , которые необходимы для его законного назначения.
Принцип означает предоставление учетной записи или процессу пользователя только тех привилегий, которые необходимы для выполнения его предназначенной функции. Например, учетная запись пользователя с единственной целью создания резервных копий не требует установки программного обеспечения: следовательно, она имеет права только на запуск резервного копирования и приложений, связанных с резервным копированием. Любые другие привилегии, такие как установка нового программного обеспечения, блокируются. Этот принцип применим также к пользователю персонального компьютера, который обычно работает с учетной записью обычного пользователя и открывает привилегированную защищенную паролем учетную запись (то есть суперпользователя ) только тогда, когда ситуация абсолютно этого требует. Применительно к пользователям также используются термины наименьший доступ пользователя или учетная запись с наименьшими привилегиями (LUA), ссылаясь на концепцию, согласно которой все учетные записи пользователей всегда должны работать с как можно меньшими привилегиями , а также запускать приложения с наименьшим количеством привилегии, насколько это возможно. Принцип наименьших привилегий широко признан в качестве важного конструктивного соображения при усилении защиты данных и функциональности от сбоев ( отказоустойчивость ) и злонамеренного поведения ( компьютерная безопасность ). Преимущества принципа включают в себя: Лучшая стабильность системы. Когда код ограничен в объеме изменений, которые он может вносить в систему, легче тестировать его возможные действия и взаимодействия с другими приложениями. Например, на практике приложения, работающие с ограниченными правами, не будут иметь доступа для выполнения операций, которые могут привести к сбою компьютера или негативно повлиять на другие приложения, работающие в той же системе. Лучшая система безопасности. Когда код ограничен в общесистемных действиях, которые он может выполнять, уязвимости в одном приложении нельзя использовать для эксплуатации остальной части машины. Например, Microsoft заявляет: «Работа в стандартном пользовательском режиме дает клиентам повышенную защиту от непреднамеренного повреждения на уровне системы, вызванного« мошенническими атаками »и вредоносными программами , такими как руткиты , шпионское ПО и не обнаруживаемые вирусы ». Простота развертывания. В общем, чем меньше привилегий требуется приложению, тем проще его развертывание в более крупной среде. Это обычно вытекает из первых двух преимуществ: приложения, которые устанавливают драйверы устройств или требуют повышенных привилегий безопасности, обычно имеют дополнительные шаги, связанные с их развертыванием. Например, в Windows решение без драйверов устройств может быть запущено напрямую без установки, в то время как драйверы устройств должны быть установлены отдельно с помощью службы установщика Windows, чтобы предоставить повышенные привилегии для драйвера. Ядро всегда работает с максимальными привилегиями , поскольку это операционная система ядра и имеет доступ к аппаратным средствам. Одной из основных обязанностей операционной системы, в частности многопользовательской операционной системы, является управление доступностью оборудования и запросов на доступ к нему из запущенных процессов . Когда ядро дает сбой, механизмы, с помощью которых оно поддерживает состояние, также перестают работать. Поэтому, даже если у ЦПУ есть способ восстановления без полной перезагрузки , безопасность продолжает применяться, но операционная система не может должным образом реагировать на сбой, поскольку не удалось обнаружить сбой. Это потому, что выполнение ядра либо остановлено, либопрограммный счетчик возобновил выполнение где-то в бесконечном и, как правило, нефункциональном цикле . Это было бы похоже на амнезию (сбой выполнения ядра) или нахождение в замкнутом лабиринте, который всегда возвращается в начальную точку (замкнутые циклы). Принцип наименьших привилегий демонстрируется кольцами привилегий для Intel x86 Если выполнение завершается после сбоя путем загрузки и запуска троянского кода , автор троянского кода может узурпировать контроль над всеми процессами. Принцип наименьших привилегий заставляет код работать с минимально возможным уровнем привилегий / разрешений. Это означает, что код, который возобновляет выполнение кода, будь то троян или просто выполнение кода, полученное из неожиданного местоположения, не сможет выполнять вредоносные или нежелательные процессы. Один метод, используемый для достижения этого, может быть реализован в аппаратном обеспечении микропроцессора . Например, в архитектуре Intel x86 производитель разработал четыре (от 0 до 3) режима «работы» с градуированными степенями доступа - очень похоже на разрешение безопасностисистемы в оборонных и спецслужбах. Как реализовано в некоторых операционных системах, процессы выполняются с потенциальным набором привилегий и активным набором привилегий . Такие наборы привилегий наследуются от родителя, как определено семантикой fork () . Исполняемый файл , который выполняет привилегированную функцию, таким образом , технически составляющий компонент TCB , и одновременно называют доверенную программу или процесс, может также быть маркирован с набором привилегий. Это логическое расширение понятий установленного идентификатора пользователя и установленного идентификатора группы . [ цитата нужна ]Наследование прав доступа к файлу процессом определяется семантикой семейства системных вызовов exec () . Точный способ взаимодействия потенциальных привилегий процесса, фактических привилегий процесса и привилегий файла может стать сложным. На практике практикуется наименьшее количество привилегий, когда процесс запускается только с теми привилегиями, которые необходимы для выполнения задачи. Приверженность этой модели довольно сложна и подвержена ошибкам. Критерии определения безопасности компьютерных систем концепция (TCSEC) из защищенной компьютерной базы (TCB) минимизации является гораздо более жестким требованием , что это применимо только к функционально сильным классам обеспечения, а именно. , B3 и A1 (которые очевидно различны, но функционально идентичны). Наименее привилегия часто ассоциируются с привилегией Брекетинга : то есть, если предположить , необходимые привилегии в последний момент и отвергая их , как только больше не является строго необходимым, поэтому якобы уменьшая выпадение из ошибочного кода , который непреднамеренно использует больше привилегий , чем заслуживают. Наименьшая привилегия также интерпретировалась в контексте распределения разрешений дискреционного управления доступом (DAC), например, утверждая, что предоставление пользователю U права на чтение / запись к файлу F нарушает наименьшую привилегию, если U может выполнять свои авторизованные задачи только с разрешением на чтение. | |
|
| |
| Всього коментарів: 0 | |