Маркер доступа Windows

Одной из основ защиты в Windows является то, что процесс Windows работа­ет от имени отдельной учетной записи, или пользовательской, или системной, и наследует привилегии и полномочия этой учетной записи. Но как операцион­ной системе отследить привилегии и полномочия, связанные с процессом? Она это делает с помощью объекта ядра (kernel object), который называется маркер (token), или маркер доступа (access token).

Маркер - это объект, который содержит информацию о профиле защиты от­дельной учетной записи, включающей SID-идентификатор пользователя, SID-идентификаторы групп, в которые входит данный пользователь и другую ин­формацию, связанную с защитой. Когда пользователь начинает сеанс работы с Windows, создается уникальный сеанс входа (logon session), идентифицирую­щий этого пользователя, и создается маркер, который ссылается на данный сеанс входа. Созданный маркер представляет собой контекст защиты, или « за­щитную» информацию (security information), учетной записи, которая только что вошла в систему.

Работа с Tokenmon

Tokenmon — программа с графическим интерфейсом, которая позволяет наблюдать в реальном времени за действиями с маркерами доступа на компьютере. Она позволяет анализировать SID-идентификатор пользователя, SID-идентификаторы групп, в которые входит данный пользователь и другую ин­формацию, связанную с защитой. Когда пользователь начинает сеанс работы с Windows, создается уникальный сеанс входа (logon session), идентифицирую­щий этого пользователя, и создается маркер, который ссылается на данный

Tokenmon требует, чтобы учетная запись, ассоциированная с работой этой программы, имела права администратора из-за ловушек (hooks) защиты, кото­рые эта программа использует в своей работе.

Экран Tokenmon разбит на три части, состоящих из строки меню (menu bar), инструментальной панели (toolbar) и окна с представлением данных в виде списка (listview). Строка меню содержит пункты для настройки выход­ных данных программы. Инструментальная панель предлагает быстрый дос­туп к выполняемым действиям, а в окне со списком выводятся результаты ра­боты программы. После запуска программы, по умолчанию, она начинает ав­томатически перехватывать все действия с маркерами.