Модель безопасности Windows NT представлена монитором безопасности (Security Reference Monitor), а также двумя другими компонентами: процессом входа в систему (Logon Process) и безопасными защищенными подсистемами. В многозадачной операционной системе, каковой является Windows NT, приложения совместно используют ряд ресурсов системы, включая память компьютера, устройства ввода-вывода, файлы и процессор(ы) системы. Windows NT включает набор компонентов безопасности, которые гарантируют, что приложения не смогут обратиться к этbм ресурсам без со­ответствующего разрешения.

Монитор безопасности отвечает за проведение в жизнь политики проверки правильности доступа и контроля, определенной локальной подсистемой без­опасности. Монитор безопасности обеспечивает услуга по подтверждению до­ступа к объектам, проверке привилегий пользователя н генерации сообщений как для привилегированного режима, так и для режима пользователя. Монитор безопасности, подобно другим частям операционной системы, выполняется в привилегированном режиме.

Процесс входа в систему (в пользовательском режиме) и безопасные защищен­ные подсистемы - два других компонента модели безопасности Windows NT. Подсистема безопасности известна также как интегральная подсистема (в отличие от подсистем среды), т. к. она воздействует на всю операционную систему Windows NT.

Ядро и исполняющая система Windows NT основаны на обьектно-ориентированной модели, которая обеспечивает непротиворечивый и унифицированный просмотр беопасности и прав вплоть до фундаментальных объектов, которые составляют основу операционной системы. Это означает, что Windows NT использует одинаковые процедуры для проверки правильности доступа и контроля всех защищенных объектов. Таким образом, как в случае попытки доступа к файлу на диске, так и при обращении к процессу в память, для выполнения проверки правильности доступа будет использован один ком­понент в системе, вне зависимости от типа объекта.

Процесс входа в систему в Windows NT предусматривает обязательный вход в систему для идентификации пользователя. Каждый пользователь должен иметь бюджет и должен использовать пароль для обращения к этому бюджету.

Прежде чем пользователь сможет к любому ресурсу компьютера с Windows NT, он должен войти в систему через процесс входа в систему для того, чтобы подсистема безопасности могла распознать имя пользователя и пароль. После успешного установлены подлинности, всякий раз при обра­щении пользователя к защищенному объекту, монтор безопасности выполняет процедуру проверки правильности доступа для определения права пользователя на обращение к этому объекту.

Модель безопасности также предусматривает контроль доступа, при котором владелец ресурса может разрешить пользователям или группам обращение к ресурсам и назначитъ им типы доступа (например, read, write и delete),

Защищенность ресурсов - одна из особенностей, предоставляемая моделью безопасности. Задачи не могут обращаться к чужим ресурсам (типа памяти) иначе, чем через применение специальных механизмов совместного использо­вании. Такой подход позволяет производить маскировку объектов.

Windows NT также предоставляет средства контроля, которые позволяют администратору фиксировать действия пользователя.

Предоставьляя возможности, модель безопасности Windows NT предотвра­щает получение приложением преднамеренного или непреднамеренного не­санкционированного доступа к ресурсам других приложении или операционной системы.

Модель безопасности Windows NT разработана в соответствии с уровнем С2, определенным Министерством обороны США. Наиболее важные требования уровня безопасности С2 перечислены ниже.

· Владелец ресурса (например, файла) должен иметь возможность управлять доступом к ресурсу.

· Операционная система должна защищать объекты от несанкционирован­ного использования другими процессами. Например, система должна защищать память так, чтобы ее содержимое не могло читаться после осво­бождения процессом, и после удаления файла не допускать обращения к данным файла.

· Перед получением доступа к системе каждый пользователь должен идентифицироватъ себя, вводя уникальное имя входа в систему и пароль. Система должна быть способна использовать эту уникальную идентификацию для контроля действий пользователя.

· Администратор системы должен иметь возможность контроля связанных с безопасностью событий (audit security-related events). Доступ к эта конт­рольным данным должен быть ограничен администратором.

· Система должна защищать себя от внешнего вмешательства типа модификации выполняющейся системы или хранимых на диске системных файлов.