O mecanismo de integridade do Windows tem o intuito de endereçar as necessidades para atender os seguintes objetos:
- Níveis de integridade devem ser atribuídos automaticamente para cada token de acesso de segurança (Security Access Token) durante a criação do token de acesso, para que cada processo (process) e thread tenham um nível de integridade eficaz para cada controle de acesso;
- O subsistema de segurança atribui automaticamente rótulos mandatórios (mandatory label) para diferentes tipos de objetos;
- O sistema deve usar o nível de integridade quando possível e manter uma arquitetura basicamente simples de entender;
- A política de integridade deve ser flexível para atender os requerimentos de diferentes objetos e permitir futuras expansões;
- O mecanismo de integridade deve integrar com a arquitetura de segurança existente para minimizar os impactos com os sistemas legados e aplicativos que depende da segurança do Windows;
- Não existe nenhum requisito para os administradores e usuários para configurar o nível de integridade para que o mecanismo funcione corretamente.
O mecanismo de integridade do Windows atende esses objetivos definindo um rótulo mandatório (Mandatory Label) do tipo ACE (Access Control List) atribuindo um nível de integridade para o objeto. Porém, o rótulo mandatório (Mandatory Label) do tipo ACE (Access Control List) define o nível de integridade do objeto sem alterar sua estrutura de descrição de segurança (Security Description) ou de sua lista de controle de acesso por Discretionary Access Control List - DACL.
O mecanismo de integridade do Windows é baseado em rótulo mandatório (Mandatory Label) sendo que o sistema operacional atribui para diferenciá-lo da lista de controle de acesso por dicionário. O controle de acesso por dicionário permite que o proprietário ou grupo que foi dado à permissão, permita alterá-lo. O Windows fornece uma interface gráfica para que o usuário avançado possa exibir ou modificar suas permissões de segurança nos objetos como arquivos e chaves de registro. Rótulos mandatórios são sempre atribuídos em objetos específicos, e existem controles em que o proprietário do objeto possa definir o rótulo na criação do objeto. Não existe nenhuma interface gráfica para gerenciar os rótulos de integridade, porque o gerenciamento dos rótulos é disponibilizado em áreas específicas.
Links Relacionados
http://technet.microsoft.com/pt-br/windowsvista/default.aspx
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
http://forums.microsoft.com/technet-br
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Espero que essas informações sejam úteis no dia-dia e aguarde o próximo artigo.
Vitor Nakano atua a 10 anos na área de infra-estrutura e segurança voltada à plataforma Microsoft e mentor do site www.winsec.org.
Atualmente é o coordenador do Setor de Segurança da Informação e Arquitetura do Grupo EcoRodovias, responsável pela implantação de importantes projetos de infra-estrutura e segurança e possui certificações Microsoft deste 2002. Em 2008 foi nomeado MVP na categoria Windows Security.
Você pode entrar em contato através do e-mail vitor@winsec.org