System SID < sup> токени доступу можуть, обходити всі обмеження безпеки, засновані на облікових записах. SID дає системним службам дозвіл на здійснення тих; дій, які звичайна обліковий запис користувача (навіть обліковий запис Administrator (Адміністратор)) робити не може. Служби операційної системи запускаються ядром Windows 2000, а не процесом WinLogon , і ці служби отримують < sup> System SID від ядра при своєму запуску. В В В
4.2. Доступ до ресурсів
В
Потоки ( thread , окремі гілки виконання процесу) повинні надавати токен доступу при кожній спробі доступу до ресурсу. Потоки отримують токени доступу від батьківських процесів при своєму створенні. Користувальницький додаток, наприклад, зазвичай отримує свій токен доступу від процесу WinLogon . Процес WinLogon запускається від порушеної користувачем переривання (переривання клавіатури Ctrl + Alt + Del < sup>) і може створити новий токен доступу, запитуючи або локальний диспетчер облікових записів безпеки ( SAM ), або Directory Services Agent (агент служб каталогу, DSA ) на контролері домену Active Directory .
За допомогою цього методу кожен потік, запущений після входу користувача в систему, буде мати токен доступу, що представляє користувача. Оскільки потоки користувацького режиму повинні завжди надавати цей токен для доступу до ресурсів, у звичайних обставинах не існує способу обійти безпеку ресурсів Windows 2000.
Основу безпеки Windows 2000 утворює переміщуваний вхід в систему ( mandatory logon < sup>). В відміну від інших мережевих систем , користувач нічого НЕ може зробити в Windows 2000, НЕ надавши ім'я < sup> облікової запису користувача і пароль . Хоча можна вибрати автоматичний вхід в систему з ідентифікаційними даними , наданими реєстром , вхід в систему <...
