Windows操作系统内置安全主体.docVIP

Windows操作系统的内置安全主体 　　摘 要 为了确保共享资源的安全，我们常常要进行访问控制。如果要在Windows操作系统上进行访问控制，就势必要了解Windows操作系统的内置安全主体及其权限，以及与这些内置安全主体相关的一些事实。本文就是来探讨这些的 【关键词】访问控制 内置安全主体 权限 在Windows 操作系统中，用户经过身份验证后，操作系统使用内置的授权和访问控制技术来确定它们是否有正确的权限访问资源。在访问控制技术模型中，用户又被称为安全主体，在Windows 操作系统中它们由独特的安全标识符（SID）表示；资源通常指文件、文件夹、打印机等，它们也被称为客体；客体通过访问控制列表（ACL）来分配权限 在Windows 操作系统中，安全主体除了大家所熟知的用户，还有用户组、内置安全主体。接下来，我们就详细介绍几个与访问控制较为紧密的内置安全主体 1 Windows操作系统的几个内置安全主体 System/LocalSystem（S-1-5-18）：系统/本地系统，操作系统使用的服务帐户。打开任务管理器会发现一些进程就是以System/LocalSystem身份运行的。System/LocalSystem是Administrators 组的隐藏成员，所以，任何以System/LocalSystem身份运行的进程其访问令牌具有内置的 Administrators 组的 SID。以System/LocalSystem身份运行的进程除了具有管理员权限，其启动时机也较早，在操作系统加载阶段即已运行，这也是很多病毒想方设法注册成为系统服务的原因 Everyone（S-1-1-0）：所有人，在运行 Windows Server 2003 及以后版本操作系统的计算机上，Everyone 包括 Authenticated Users 和 Guest AuthenticatedUsers（S-1-5-11）：已验证身份的，包括其身份已经得到验证的所有用户和计算机。AuthenticatedUsers 不包括 Guest，即使 Guest 帐户有密码 Creator Owner（S-1-3-0）：创建者，创建对象时操作系统会为对象分配所有者，而默认情况下创建者就是该对象的所有者 Windows操作系统里的内置安全主体很多，想要了解更多请访问微软TechNet 2 与内置安全主体有关的一些事实 2.1 登录后Administrator帐户隶属于Users组 由上面的介绍可知，任何已得到身份验证的用户和计算机都隶属于AuthenticatedUsers；这样，当内置帐户Administrator登录后也将隶属于它。如果我们查看Users组的成员，会发现AuthenticatedUsers就在其中。所以，Administrator登录后将是Users组成员。事实上，在Windows操作系统中，任何已登录帐户都属于Users组；所以，在设置文件/文件夹的ACL时，尽量避免拒绝Users组的权限，不授予即可，不然可能会导致不必要的麻烦 2.2 文件/文件夹创建者默认具有完全控制权限 Windows NT内核的操作系统作为《可信计算机系统评价标准》（TCSEC）C2安全级别的操作系统，采用了自主的访问控制（DAC），DAC最显著的特点便是资源的所有者能完全控制资源。由上面的介绍可知，默认Creator Owner是对象的所有者，那么它也就对所创建对象具有完全控制权限 2.3 对系统安装目录访问权限的变迁 由上面的介绍可知，在运行 Windows Server 2003 及以后版本操作系统的计算机上，Everyone 包括 AuthenticatedUsers 和 Guest。为了更好的保证系统安装目录的安全，这些年微软在对系统安装目录的默认权限上也做了一些变化 在Windows Server 2003操作系统上默认Everyone对系统安装目录具有读取和运行权限，而在Windows Server 2008操作系统上Everyone已经没有了权限。当然，变化并不只体现在服务器操作系统上，在工作台操作系统上亦有所变化，请读者自查 3 结语 Windows 操作系统在实际的生活、工作中仍被大量的使用，当我们使用Windows 操作系统来共享资源（通常是文件或文件夹）时，会发现对共享资源进行访问控制是多么重要，那么了解Windows 操作系统的内置安全主体就是一件绕不开的事情，希望这篇文章能对有这些需要的读者有所裨益 参考文献 [1]安全标识符技术概述[EB/OL].https：///zh-cn/library/dn743661（v=ws.11）.as