美国可信计算评价标准.pptVIP

对重要的系统文件如cmd, net等进行严格的权限控制 访问控制的判断（Discretion access control） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。 强制登陆（Mandatory log on） 要求所有的用户必须登陆，通过认证后才可以访问资源 审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。 安全标识符（Security Identifiers）: 就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配 给改用户或组一个唯一SID。 例： S-1-5-21-1763234323-3212657521-1234321321-500 SID：S-1-5-18名称：Local System说明：操作系统使用的服务帐户。 SID：S-1-