windowsntfs权限继承和传播机制研究.docVIP

Windows DACL 权限继承和传播机制研究 ? 摘要 ACL 大小 ACL 修改版本 ACE 数目 [ACE 1] [ACE ...] [ACE n] ACE大小 ACE类型 继承和审计标志 访问屏蔽码 SID 图2：ACE结构 图1：DACL结构 在每个ACE 的组成部分中，ACE 大小：为该ACE 分配的内存字节数。ACE 类型：有该ACE是否允许、禁止或监视访问三种类型。其中前两种用于DACL中，表明访问是允许还是禁止，监视访问用于SACL，记录安全主体访问企图；继承和审计标志：一组控制继承和审计的位标识。规定子对象是否可以继承该A C E及系统是否对访问企图审核；访问屏蔽码：一共32位，每一位对应着该对象的访问权限。若主体希望获得权限，则对应的位打开；若主体不需要某种权限，则对应的位关闭。SID 标识：其访问由该ACE 控制或监视的一个用户或组。 2 DACl的继承性分析 对象是可以有程序或进程操纵的任何资源，用户可以看得见的有文件、文件夹等还有会话、进程、线程、访问令牌等等，容器对象是可以作为其他对象逻辑上的存储场所。在对象层次关系中，容器对象和他的内容之间的关系是：容器对象为父亲，它里面的对象为孩子。子对象也可以是容器对象或者是非容器对象。只有容器对象可以是父对象。一个容器对象的ACL可以含有对容器本身不起作用而只用于继承目的的ACE。 ACE头部包含一组继承标志，有以下五种： (1）INHERITEDACE: 用于标识该ACE从一个父对象ACL中继承下来的; (2) INHERITONLYACE: 用于标识该ACE只用于继承的; （3）CI:用于标识该ACE 只用于容器对象继承; （4）OI:用于标识该ACE 适用于容器对象和非容器对象; （5）NP:用于标识该ACE被继承时,继承不再往下传播; 2.2继承规则 操作系统根据以上列出的ACE标志及组合来计算有效权限，并且ACE被传播后，系统在所有继承的ACE里设置INHERITEDACE标志，用于标识该ACE是继承而来的。 表一：父AC 继承标志组合及对子ACL的作用 继承标志位组合 ACE作用描述 全无 只作用于该容器对象 CI 作用于当前容器对象和所有容器对象子对象 OI 只作用于非容器子对象和当前容器对象 CI，OI，IO 作用于当前容器对象下的所有子对象（对当前容器对象不起作用） CI，NP 作用于当前容器对象和孩子容器对象，不往下传播 OI，NP 作用于当前容器对象和非容器孩子对象，不往下传播 CI，OI，NP 作用于当前容器对象及所有孩子对象，不往下传播 CI，OI 作用于当前容器对象以下的所有子对象 CI，IO 作用于当前容器下所有容器子对象 OI，IO 作用于当前容器下所有非容器子对象 CI，IO，NP 作用于当前容器下所有容器子对象，不往下传播 OI，IO，NP 作用于当前容器下所有非容器子对象，不往下传播 CI，OI，IO，NP 作用于当前容器下所有子对象，不往下传播 2.3 DACL里的ACE顺序 DACL中ACE的优先顺序称为规范顺序。对于Windows规范顺序如下： （1） 所有显式的ACE位于所有继承的ACE之前的一组里。（2） 在显式ACE组里，禁止访问的ACE在允许访问的ACE之前。（3）继承的ACE按照它们继承的顺序排列。从子对象的父对象处继承来的ACE在前面，然后是从祖父对象继承来的ACE，这样沿着对象树排列上去。 规范顺序保证了显式的禁止访问级别最高，而不管任何显式的或继承的允许访问ACE。 2.4 WINDOWS 访问控制检查机制 访问控制的工作原理：当用户线程（进程）访问安全对象时，线程向操作系统的安全子系统标识自己。复制用户的访问令牌，从访问令牌里得到一组期望的访问权限（期望的访问屏蔽码）在允许执行线程继续处理之前，操作系统需要进行访问检查来判断与该线程相关的安全主体是否被授予线程所请求的访问级别。这个检查要用用户（线程）的期望访问屏蔽码与安全对象的授权屏蔽码（包含在安全对象的安全描述符的DACL中）进行一一比对，为期望的访问屏蔽码中请求的每个权限寻找授权时，该权限的对应位在授权的访问屏蔽码里打开，在期望的访问屏蔽码里关闭。当期望的访问屏蔽码中所有位都关闭后，访问检查结束。向调用进程返回授权的访问屏蔽码。 使用以下规则来判断主体的授权： (1) 若对象的安全描述符没有DACL，则认为授权访问屏蔽码匹配期望访问屏蔽码，访问检查停止，主体收到它请求的访问。 (2) 若期望访问屏蔽码为空，则访问检查停止，主体无法获得对该对象的访问， (3) 若读许可权、修改许可权或修改所有者许可权的对应位