操作系统ch7.7实例研究：Windows 2000XP的安全机制.pptVIP

7.7 实例研究：Windows 2000/XP的安全机制 7.7.1 Windows 2000/XP安全性概述 7.7.2 Windows2000/XP安全性系统组件 7.7.3 Windows2000/XP保护对象 7.7.4 访问控制策略 7.7.5 访问令牌 7.7.6 安全描述符 7.7.1Windows 2000/XP安全性概述 提供全面、可配置的C2级安全性服务。1995年，两个独立配置的Windows NT Server和Windows NT Workstation 3.5得到美国国家计算机安全中心NCSC的C2级认证。 安全性服务及其基本特征 ?安全登录机制 ： ??谨慎访问控制： ?安全审核： ?内存保护： Windows2000/XP安全模型扩展 ?活动目录： ?Kerberos 5身份验证协议： ?基于Secure Sockets Layer 3.0的安全通道。 ?CryptoAPI 2.0： 7.7.2 Windows2000/XP安全性系统组件 安全性系统的组件和数据库： ?安全引用监视器（SRM)、 ?本地安全权限（LSA）服务器 、 ?LSA策略数据库 、 ?安全账号管理器服务器 、 ?SAM数据库 、 ?默认身份认证包 、 ?登录进程 、 ?网络登录服务 7.7.3Windows2000/XP保护对象  保护对象是谨慎访问控制和审核的基本要素。被保护对象包括文件、设备、邮件槽、己命名的和未命名的管道、进程、线程、事件、互斥体、信号量、可等待定时器、访问令牌、窗口站、桌面、网络共享、服务、注册表键和打印机。 对象管理器成为执行安全访问检查的关键关口。 Windows 2000/XP的安全机制 安全系统必须首先明确每个用户的标识，因为在访问任何系统资源之前都要进行身份验证登录。 当一个线程打开某对象的句柄时，对象管理器和安全系统就会使用调用者的安全标识来决定是否将申请的句柄授予调用者。 7.7.4 访问控制策略(1)  ?用户登录时，使用名字/口令来验证。如果可接受登录，则为该用户创建一个进程，同时有一个访问令牌与这个进程对象相关联。 ?访问令牌包括安全ID（SID），它是基于安全目的，系统所知道的这个用户的标识符。 ?用户进程派生出任何一个额外进程时，新的进程对象继承了同一个访问令牌。 访问控制策略(2)访问令牌两种用途 负责协调所有必需的安全信息，加速访问确定。当一个用户进程试图访问时，安全子系统使用与该进程相关联的访问令牌来确定用户的访问特权。 允许每个进程以受限的方式修改自己的安全特性，而不会影响代表用户运行的其他进程。 安全机制的一个特征是假冒的概念，它可以在客户/服务器环境中简化安全机制的使用。 如果客户和服务器通过RPC连接进行对话，服务器就可以临时假冒该客户的身份，使得它可按该客户的权限发一个访问请求。在访问之后，服务器恢复自己的身份。 7.7.6 安全描述符(1) 安全描述符的一般结构 标记： 所有者： 系统访问控制表： 自由访问控制表 安全描述符(2) 访问控制表是访问控制机制的核心。每个表由表头和许多访问控制项组成。每项定义一个个人SID或组SID，访问掩码定义了该SID被授予的权限。 当进程访问对象时，对象管理程序从访问令牌中读取SID和组SID，扫描该对象的DACL。如果发现有匹配项，即找到一个ACE，它的SID与访问令牌中的某SID匹配，该进程具有该ACE的访问掩码所确定的访问权限。 掩码中最重要的16位包含适用于所有类型的对象的位，其中5位被称为标准访问类型： ?Synchronize： ?Write_Owner： ?Write_DAC： ?Read_Control： ?Delete： 一般访问位包括： ???? ? Generic_all：允许所有访问 ??????Generic_execute：如果是可执行的，则允许执行 ??????Generic_write：允许只写访问 ??????Generic_read：允许只读访问 ? 安全机制的重要特征是应用程序可以为用户定义的对象使用安全框架，例如，数据库服务器可以创建自己的安全描述符，并把它们附加在数据库的某一部分。 ? 除普通的读/写访问约束，服务器还可设置数据库专用的安全机制，如在一个结果集合中滚动或执行连接操作。服务器负责定义具体权限的含义，并执行访问检查。 * 访问控制策略(3) 7.7.5 访问令牌(1) WIN