Реклама

Наш канал:

Таненбаум Э.- Архитектура компьютера. стр.382

Дескриптор безопасности (security descriptor) — это один из параметров, который дается любому объекту при его создании. Дескриптор безопасности содержит список элементов, который называется списком контроля доступа (Access Control List, ACL). Каждый элемент разрешает или запрещает совершать определенный набор операций с объектом какому-либо пользователю или группе. Например, файл может содержать дескриптор безопасности, который определяет, что Иванов не имеет доступа к файлу вообще, Петров может читать файл, Сидоров может читать и записывать файл, а все члены группы XYZ могут считать только размер файла.

Если процесс пытается выполнить какую-либо операцию с объектом, используя описатель, который он получил при открытии объекта, диспетчер безопасности получает маркер доступа данного процесса и начинает перебирать элементы списка контроля доступа по порядку. Как только он находит элемент, который соответствует нужному пользователю или одной из групп, найденная информация о разрешении или запрещении доступа принимается в качестве заданной. По этой причине элементы, запрещающие доступ, обычно помещаются в список контроля доступа перед элементами, разрешающими доступ (чтобы пользователь, у которого нет доступа, не смог получить его незаконно, будучи членом одной из групп, которой доступ разрешен). Дескриптор безопасности также содержит информацию, используемую для аудита доступов к объекту.

А теперь рассмотрим, как файлы и каталоги реализованы в Windows ХР. Каждый диск разделен на тома, такие же, как дисковые разделы UNIX. Каждый том содержит файлы, битовые карты каталогов и другие структуры данных. Каждый том организован в виде линейной последовательности кластеров. Размер кластера фиксирован для каждого тома. Он может составлять от 512 байт до 64 Кбайт, в зависимости от размера тома. Обращение к кластеру осуществляется по смещению от начала тома. При этом используются 64-разрядные числа.

Основной структурой данных в каждом томе является главная файловая таблица (Master File Table, MFT), в которой содержатся записи для каждого файла и каталога в томе. Эти записи аналогичны элементам индексного дескриптора (i-node) в UNIX. Главная файловая таблица является файлом и может быть помещена в любое место в пределах тома. Это устраняет проблему, возникающую при обнаружении испорченных дисковых блоков среди индексных дескрипторов.

Главная файловая таблица показана на рис. 6.28. Она начинается с заголовка, в котором дается информация о томе (указатели на корневой каталог, файл загрузки, список лиц, пользующихся свободным доступом и т. д.). Затем идет по одному элементу на каждый файл или каталог (1 Кбайт за исключением тех случаев, когда размер кластера составляет 2 Кбайт и более). Каждый элемент содержит все метаданные (административную информацию) о файле или каталоге. Допускается несколько форматов, один из которых показан на рис. 6.28.

Рис. 6.28. Главная файловая таблица в системе Windows ХР

Поле стандартной информации содержит информацию меток времени, необходимых стандартах POSIX, числе связей, битах «только чтение», битах архивирования и т. д. Это поле имеет фиксированную длину и является обязательным. Имя файла может иметь любую длину в пределах 255 Unicode-символов. Чтобы такие файлы стали доступными для устаревших 16-разрядных программ, они могут снабжаться дополнительным именем MS-DOS, состоящим максимум из 8 символов, за которыми следует точка и расширение из 3 символов. Если реальное имя файла соответствует правилу именования MS-DOS (8 + 3), второе имя в стиле MS-DOS не используется.