| [基礎解説] Windowsセキュリティ・メカニズム入門(前編) 3.トークンと特権的操作畑中 哲2006/06/01 |
 |
|
|
|
特権的操作のチェック
前述したとおり、オブジェクトにアクセスを認めるかどうかの情報は、オブジェクトのACLに記載されているが、具体的なオブジェクトが存在しない場合はどうなっているのだろうか。
例えば、コンピュータの時刻を変更する場合を考えてみよう。セキュアなOSでは、時刻を変更するかどうかも、必ずその変更が許されているかをチェックする必要がある。だが、Windows OSに「コンピュータの時刻」という特定のオブジェクトがあるわけではない。そのため、これに相当するACLも存在しない。
このような、特定のオブジェクトに属しない事項に対して誰に何を認めるかは、各オブジェクトにACLを持たせるというわけにはいかないので、Windowsシステムが一元的に管理している。
これを「特権(privileges)」または「権利(rights)」という(実際は特権と権利は区別して扱われるが、今回の説明では区別しない)。
プロセスが誰であるかはトークンに記載されているわけだが、プロセスに許されている特権もまた、プロセスのトークンに記載されている。特権が必要な操作をプロセスが行おうとすると、Windowsは、その特権がトークンに記載されているかをチェックする。
 |
| トークンと特権 |
| 「コンピュータの時刻を変更する」といった、特定のオブジェクトに属しない事項に対しては、Windowsシステムが一元的に管理している。これを特権(または権利)という。各トークンには、そのトークンで利用できる特権が記載されている。特権が必要な操作を行おうとすると、Windows OSはトークンに記載されている特権をチェックする。 |
プロセスと特権的操作の関係にも注意
現在、Windowsにログオンしているのが誰かということとは無関係に、オブジェクトへのアクセスは、プロセスのトークンによって判定されると説明した。これと同様に、特権操作の判定においても、Windowsにログオンしているのが誰か(ログオン画面に名前とパスワードを入力してログオンしたのがどのユーザーであるか)ということは、直接的にはまったく関係がない。特権的操作の判定に使われるのは、あくまで、いままさに特権的操作を実行しようとしている「そのプロセスのトークン」である。
トークンに記載される特権
特権を付与するかどうかは、Windows OS上のほかのさまざまな権限と同様に、ユーザー/グループによって決まる。
特権を与えられたユーザー/グループのトークンには、与えられた特権がすべて記載される。
 |
| トークンと特権 |
| 特権が与えられるかどうかは、ユーザー/グループによって決まる。特権を与えられたユーザー/グループのトークンには、与えられた特権がすべて記載されている。この例のトークンには、自分がAliceである/Usersグループに属しているという情報のほか、AliceとUsersグループに与えられているすべての特権が記載されている。 |
特権の設定
誰に何の特権を与えるかは、[管理ツール]の[ローカル セキュリティ ポリシー]か、グループ・ポリシーの[コンピュータの構成]−[Windows の設定]の、[セキュリティの設定]−[ローカル ポリシー]−[ユーザー権利の割り当て]で決められている。
 |
||||||
| 特権のリスト | ||||||
| 誰に何の特権が与えられているかは、Windows 2000以降ならば、[管理ツール]の[ローカル セキュリティ ポリシー]か、グループ・ポリシーの[コンピュータの構成]−[Windows の設定]の、[セキュリティの設定]−[ローカル ポリシー]−[ユーザー権利の割り当て]で確認できる。Windows NT 4.0では、[ユーザー マネージャ]の[ユーザーの権利]で確認できる。 | ||||||
|
 |
 |
| INDEX | ||
| [基礎解説] | ||
| Windowsセキュリティ・メカニズム入門(前編) | ||
| 1.セキュアなOSに必要なこと | ||
| 2.プロセスとトークンとACL | ||
 |
3.トークンと特権的操作 | |
| 4.トークンの作成と書き換え | ||
| Windowsセキュリティ・メカニズム入門(後編) | ||
| 1.管理者権限でログオンするとは? | ||
| 2.トークンの内容を確認する | ||
| 3.トークンの内容を書き換えてみる | ||
| 4.別のユーザーとして実行する機能とWindows Vista | ||
 |
||
 |
基礎解説 |
ホワイトペーパー(TechTargetジャパン)
- WindowsTIPS (2010/3/12)
− 不要なアドオンを無効化してIE8の起動を高速化する
− IE8のソース表示エディタを変更する
− RRASのNATでポートマッピングを定義する - PowerShell 2.0で始めるWindowsシステム管理 (2010/3/11)
コマンド・プロンプトやWSHスクリプトはもう古い!? これからのWindowsシステム管理はPowerShellでスマートに片付けよう - Hyper-Vライブ・マイグレーションの運用ノウハウ (2010/3/10)
ライブ・マイグレーションの運用フェイズで役立つノウハウを解説。実用的なPowerShellスクリプトなども紹介する - 第211話 あとで読む (2010/3/9)
おっ、これいいねぇ。ああこっちも。いやあインターネットは情報の宝庫だね。いまは忙しいから、「あとで読む」ってことでメモメモ
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 New! |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜Java編〜
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 直属上司が海外にいるのエンジニアに見る 【実例】場所に捉われないワークスタイル |
| ◆ | 「仮想化工房」のマイスターが選んだのは VMware、Hyper-V、そしてVirtageだった! |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。