******* Sécurité & NT ******* Contrôle d'accès *******

3.2 Contrôle d'accès

Les contrôles d'accès sont effectués par le SRM (Security Reference Monitor).

Le SRM a 2 fonctions:

il vérifie systématiquement les droits d'accès aux objets
il génère les messages d'audit des accès.

Les objets ainsi contrôlés sont nombreux, mais on peut les classer en 2 catégories:

les objets visibles (fichiers, répertoires, imprimantes, registre, ...)
les objets invisibles qui constituent plutôt des élémets du système (processus, canal de communication, ...)

Prenons l'exemple d'un utilisateur qui souhaite accéder à un fichier sur un serveur sur lequel il se connecte par le réseau (c'est à dire avec Winlogon comme on l'a vu dans la partie: 3.1.2 Processus de Logon réseau).

Cet utilisateur ayant fourni un login et password corrects, un jeton lui a été créé et attribuer par le LSA sur le serveur. Celà signifie que le mécanisme de contrôle d'accès s'effectue sur le serveur sur lequel se trouve l'objet auquel l'utilisateur veut accéder.

Lors d'une tentative d'accès à un objet (ici le fichier), le SRM du serveur va effectuer une comparaison entre :

le jeton, créé localement par le LSA, et contenant
- le SID (Secure IDentificator) de l'utilisateur
- les SIDs des groupes auquel appartient l'utilisateur
- les droits et privilèges affectés

les permissions sur l'objet, définies dans une DACL (Discretionary Access Control List) qui contient elle-même des ACE (Access Control Entries)

<< PAGE PRECEDENTE

^ RETOUR EN HAUT ^

PAGE SUIVANTE >>