I databehandling er privilegium definert som delegering av autoritet over et datasystem. Et privilegium tillater en bruker å utføre en handling. Noen av de forskjellige rettighetene inkluderer muligheten til å opprette en fil i en mappe , lese eller slette en fil, få tilgang til en enhet eller få lese- eller skrivetillatelser på en stikkontakt for internettkommunikasjon .
Brukere som har fått delegert tilleggsrettigheter kalles privilegerte. Brukere som ikke har privilegier er definert som privilegerte, vanlige eller normale brukere.
Privilegier kan være automatiske, tildeles eller etterspørres.
Et automatisk privilegium eksisterer når det ikke er nødvendig å ha tillatelse til å utføre en handling. For eksempel, på systemer der brukere må logge på systemet for å bruke det, krever ikke utlogging et privilegium. Systemer som ikke implementerer filbeskyttelse - for eksempel MS-DOS - gir i hovedsak ubegrensede rettigheter til å utføre handlinger på en fil.
Et gitt privilegium er et resultat av å presentere visse legitimasjoner til autoriteten som gir privilegiene. For å gjøre dette må du vanligvis logge på et system med brukernavn og passord . Hvis det oppgitte brukernavnet og passordet er riktig, gis brukeren rettigheter.
Et privilegium blir bedt om enten av et program som utsteder en forhøyet rettighetsforespørsel eller ved å utføre et program for å be om ekstra rettigheter. Et eksempel på en bruker som ber om ekstra rettigheter, er gitt av sudo- kommandoen for å kjøre en kommando som rotbruker eller av autentiseringssystemet. Et privilegium håndheves enten av et program som kjører, som utsteder en avansert rettighetsforespørsel, eller ved å kjøre et program for å bruke flere privilegier. Et eksempel på en bruker som ber om ekstra rettigheter, er gitt av sudo-kommandoen for å kjøre en kommando som rotbruker, su for å bytte til rotbruker, eller gjennom Kerberos- godkjenningssystemet .
De prosessorarkitekturer moderne har flere moduser tillater operativsystemet til å kjøre på ulike rettighetsnivåer. Noen prosessorer har to nivåer (for eksempel brukernivå og veiledernivå). I386- prosessorer har fire nivåer (# 0 med høyest privilegium, # 3 med laveste nivå). Oppgaver har et privilegienivå. Ressurser ( segmenter , sider , porter , etc.) og privilegerte instruksjoner er knyttet til et ønsket privilegienivå. Når en oppgave forsøk på å bruke en ressurs eller for å utføre en privilegert instruksjon, prosessoren avgjør hvorvidt den har privilegienivået å gjøre det (annet, en beskyttelsesfeiltypen avbrudds er generert). Dette forhindrer at en brukeroppgave skader operativsystemet eller andre oppgaver.
I dataprogrammering kan avbrudd relatert til privilegerte brudd genereres når en matrise har blitt åpnet utenfor grensene, eller en ugyldig peker har blitt henvist mens den refererte ugyldige minneplasseringen er en privilegert plassering, for eksempel en plassering som styrer et inngangsutgangsutstyr. Dette er spesielt sannsynlig å skje i programmeringsspråk som C , som bruker peker-aritmetikk eller ikke automatisk sjekker grensene til en matrise.
UNIX-systemer har implementert forskjellige sikkerhetsfunksjoner basert på privilegienivåer.
Den Rotbrukeren (også kjent som root eller superbruker ) er en bruker som kan gjøre noe på systemet. Denne høye kraften kreves for å administrere UNIX-systemet. På den annen side tillater det også brukeren å gjøre alvorlige feil og forårsake store systemproblemer.
Vanlige brukere har bare tilstrekkelige tillatelser til å utføre sine vanlige oppgaver. Vanlige brukere kan for eksempel ikke opprette en ny brukerkonto eller utføre administrative prosedyrer for å administrere systemet.
Her er noen funksjoner som ikke er tilgjengelige for vanlige brukere:
På Windows NT- systemer delegeres privilegier i varierende grad. Disse delegasjonene kan defineres ved hjelp av Local Security Policy Manager (SECPOL.MSC). Her er en forkortet liste over standardoppgavene :