رمز الوصول في أنظمة الحواسيب يحتوي على أمن بيانات اعتماد تسجيل الدخول إلى الجلسة ويحدد المستخدم، مجموعات المستخدم، وامتيازات المستخدم، وفي بعض الحالات، تطبيق معين.

نظرة عامة

الرمز المميز للوصول هو كائن يغلف هوية أمان أو سلسلة رسائل عملية أو موضوع.[1] يستخدم رمز مميز لاتخاذ قرارات الأمان وتخزين معلومات غير قابلة للتزوير حول بعض كيانات النظام. بينما يتم استخدام رمز مميز بشكل عام لتمثيل معلومات الأمان فقط، فإنه قادر على الاحتفاظ ببيانات إضافية حرة الشكل يمكن إرفاقها أثناء إنشاء الرمز المميز. يمكن تكرار الرموز المميزة بدون امتياز خاص، على سبيل المثال لإنشاء رمز مميز جديد بمستويات أقل من حقوق الوصول لتقييد الوصول إلى التطبيق المطلق. يتم استخدام الرمز المميز للوصول بواسطة ويندوزعند محاولة عملية أو مؤشر ترابط التفاعل مع الكائنات التي تحتوي على واصفات الأمان (كائنات قابلة للتأمين). يتم تمثيل الرمز المميز للوصول بواسطة نظام كائن من نوع مميز.

يتم إنشاء رمز وصول عن طريق خدمة تسجيل الدخول عندما يقوم مستخدم بتسجيل الدخول إلى النظام ويتم مصادقة بيانات الاعتماد التي يوفرها المستخدم مقابل قاعدة بيانات المصادقة. تحتوي قاعدة بيانات المصادقة على معلومات بيانات الاعتماد المطلوبة لإنشاء الرمز المميز الأولي لجلسة تسجيل الدخول، بما في ذلك معرف المستخدم ومعرف المجموعة الأساسي وكل المجموعات الأخرى التي هي جزء منها ومعلومات أخرى. يتم إرفاق الرمز المميز بالعملية الأولية التي تم تكوينها في جلسة المستخدم والتي تم توارثها بواسطة العمليات اللاحقة التي تم إنشاؤها بواسطة العملية الأولية. عندما تفتح مثل هذه العملية مؤشرا لأي مورد يتم تمكين التحكم في الوصول إليه يقوم ويندوز بتوفيق البيانات في واصف الأمان الخاص بالكائن الهادف بمحتويات رمز الوصول الفعال الحالي.[2] تعتبر نتيجة تقييم التحقق من الوصول هذا مؤشرا على ما إذا كان أي وصول مسموح به، وإذا كان الأمر كذلك، ما هي العمليات (قراءة، كتابة/تعديل.... الخ) التي يسمح لتطبيق الاتصال بها.

أنواع الرموز

هناك نوعان من الرموز المتاحة:

الرمز الأساسي 

يمكن ربط الرموز المميزة الأساسية الا على العمليات، وهي تمثل عملية الأمن في هذا الموضوع. وهي تمثل موضوع أمان العملية. إن إنشاء الرموز المميزة الأولية وترابطها مع العمليات هي عمليات متميزة، تتطلب الحصول على امتيازين مختلفين في اسم فصل الامتياز - يرى السيناريو النموذجي خدمة المصادقة في إنشاء الرمز المميز، وخدمة تسجيل الدخول التي تربطه بقسم نظام التشغيل الخاص بالمستخدم. 

رمز انتحال الهوية 223-512 
 الانتحال هو مفهوم أمان تم تنفيذه في نظا التشغيل

Windows NT والذي يسمح لتطبيق الخادم مؤقتا  من وصول العميل إلى الكائنات الآمنة. لدى انتحال الهوية أربعة مستويات محتملة: مجهول، مما يمنح الخادم إمكانية وصول مستخدم مجهول / غير معروف، والتعرف، والسماح للخادم بفحص هوية العميل دون استخدام هذه الهوية للوصول إلى الكائنات، وانتحال الهوية، والسماح للخادم بالتصرف نيابة عن العميل، والتفويض، مثل انتحال الهوية ولكن يمتد إلى الأنظمة البعيدة التي يتصل بها الخادم (من خلال الحفاظ على بيانات الاعتماد). يمكن للعميل اختيار مستوى الانتحال الأقصى (إن وجد) المتاح للخادم كمعامل اتصال. التفويض وانتحال الهوية عمليتان متميزتان (لم تكن عملية التمثيل في البداية، ولكن الإهمال التاريخي في تنفيذ واجهات برمجة التطبيقات للعميل فشلت في تقييد المستوى الافتراضي، مما يسمح لخادم غير مسبوق بانتحال شخصية عميل غير راغب).عادة ما يتم إنشاء الرموز المميزة لانتحال الهوية  بواسطة آليات IPC مثل DCE RPC و DDE والأنابيب المسماة.

محتويات رمزية 

الرمز يتكون من مختلف المجالات، بما في ذلك:[3]

  • معرف.
  • معرف جلسة تسجيل الدخول المقترنة. تتم المحافظة على الجلسة بواسطة خدمة المصادقة، ويتم ملؤها بواسطة حزم المصادقة مع مجموعة من جميع المعلومات (بيانات الاعتماد) التي قدمها المستخدم عند تسجيل الدخول. يتم استخدام بيانات الاعتماد للوصول إلى الأنظمة البعيدة دون الحاجة إلى إعادة مصادقة المستخدم. (الدخول الموحد)، بشرط مشاركة جميع الأنظمة المعنية بسلطة مصادقة (مثل Kerberos تذكرة server)
  • معرف المستخدم. هذا المجال هو أهم وهو ممنوع للقراءة فقط.
  • معرفات مجموعات المستخدم هو جزء من مجموعة معرفات لا يمكن حذفها، ولكن يمكن تعطيل أو «إنكارها فقط». في معظم واحدة من المجموعات تعيين معرف جلسة العمل المتقلبة مجموعة تمثل جلسة عمل تسجيل الدخول، مما يتيح الوصول إلى متقلبة الكائنات المرتبطة بالدورة.
  • لا يمكن حذف معرفات المجموعة، ولكن يمكن تعطيلها أو جعلها «مانعة فقط». في معظم الحالات، يتم تعيين إحدى المجموعات كمعرف جلسة، وهي مجموعة متقلبة تمثل جلسة تسجيل الدخول، مما يسمح بالوصول إلى الكائنات المتقلبة المرتبطة بالجلسة.
  • الامتيازات، أي القدرات الخاصة لدى المستخدم. يتم تعطيل معظم الامتيازات بشكل افتراضي، لمنع حدوث تلف من البرامج غير الأمنية. يمكن البدء في Windows XP Service Pack 2 وامتيازات Windows Server 2003 بشكل دائم من رمز مميز بواسطة استدعاء AdjustTokenPrivileges () مع سمة SE_PRIVILEGE_REMOVED.
  • المالك الافتراضي والمجموعة الأساسية و ACL للكائنات التي تم إنشاؤها بواسطة الموضوع المرتبط بالرمز المميز. 

المراجع

  1. ^ "Access Tokens". شبكة مطوري مايكروسوفت. مؤرشف من الأصل في 2008-04-18. اطلع عليه بتاريخ 2007-10-08.
  2. ^ "AccessCheck". شبكة مطوري مايكروسوفت. مؤرشف من الأصل في 2017-11-15. اطلع عليه بتاريخ 2014-02-13.
  3. ^ "How Access Tokens Work". شبكة مطوري مايكروسوفت. مؤرشف من الأصل في 2017-09-30. اطلع عليه بتاريخ 2014-02-13.