最小特权的实现.pptVIP

7.7.1安全性组件和安全登录 1安全性组件 实现Windows 2000/XP的安全性机制的组件和数据库如下： (1)安全引用监视器(SRM)。是执行体(NTOSKRNL.EXE)的一个组件，该组件负责执行对对象的安全访问检查、管理对象的访问权限和产生安全审计消息。 (2)本地安全权限(LSA)服务器。是一个运行映像LSASS.EXE的用户态进程，它负责本地系统安全性规则(例如允许用户登录到机器的规则、密码规则、授予用户和组的权限列表以及系统安全性审计设置)、用户身份验证以及向“事件日志”发送安全性审计消息。 (3)LSA策略数据库。是一个包含了系统安全性规则设置的数据库，该数据库被保存在注册表中的HKEY-LOCAL-MACHINE/security下。它包含的信息有：哪些域被信任用于认证登录企图；哪些用户可以访问系统以及怎样访问(交互、网络和服务登录方式)；谁被赋予了哪些权限；执行的安全性审计的种类。 (4)安全账号管理服务器。是一组负责管理数据库的子例程，该数据库包含定义在本地机器上或用于域(如果系统是域控制器)的用户名和组。SAM在LSASS进程的描述表中运行。 (5)SAM数据库。是一个包含定义用户和组以及它们的密码和属性的数据库，它被保存在HKEY-LOCAL-MACHINE＼SAM下的注册表中。 (6)默认身份认证包。是一个被称为MSV1_0的动态链接库(DLL)，在进行Windows 身份验证的LSASS进程的描述表中运行。这个DLL负责检查给定的用户名和密码是否和SAM数据库中指定的相匹配，如果匹配，返回该用户的信息。 (7)登录进程。是一个运行WINLOGON.EXE的用户态进程，它负责搜寻用户名和密码，并发送给LSA用以验证它们，并在用户会话中创建初始化进程。 (8)网络登录服务。是一个响应网络登录请求的SERVICES.EXE进程内部的用户态服务。身份验证同本地登录一样，是通过把它们发送到LSASS进程来验证的。 2安全登录 登录是通过登录进程WinLogon、LSA、身份认证包和SAM相互作用完成的。 用户按下热键时，登录就开始，在获得用户名和口令后，由LSA本地安全认证服务器、msv1_0身份验证软件包、SAM数据库协同工作，进行标识和鉴别，msv1_0查看请求的登录与SAM数据库中允许的访问是否有匹配项。如果是合法用户，LSA会汇集各种用户信息，如用户SID、组SID、主目录等配置文件信息，这时，为该用户创建一个用户进程，为了实现对它的访问控制，本地安全认证子系统同时创建了两个重要的管理实体：与每个进程相关联的“访问令牌”和与每个对象相关联的“安全描述符”。 7.7.2 访问控制 1 保护对象 保护对象是谨慎访问控制和审计的基本要素，被保护的对象包括文件、设备、邮件槽、己命名的和未命名的管道、进程、线程、事件、互斥体、信号量、可等待定时器、访问令牌、窗口、桌面、网络共享、服务、注册表键和打印机。 2访问控制方案 访问令牌是一个包含进程或线程安全标识的数据结构，包括：安全ID(SID)，用户所属组的列表及启用/禁止的特权列表。它是基于安全目的，在系统中使用的该用户的帷一标识符；当用户进程派生出新进程时，新进程对象继承了同一个访问令牌。访问令牌有两种用途： ·负责协调所有必需的安全信息，从而，加速访问确认，当与一个用户相关联的任何进程试图访问时，安全子系统使用与该进程相关联的访问令牌来确定用户的访问特权。 ·允许每个进程以一种受限的方式修改自己的安全特性，而不会影响代表用户运行的其他进程。 Windows 2000/XP的安全结构 安全ID(SID) 组ID 特权 默认所有者 默认ACL 标记 所有者 系统访问控制表SACL 自主访问控制表DACL ACL头 ACE头 访问掩码 SID ACE头 访问掩码 SID …… (a)访问令牌 (b)安全描述符 (c)访问控制表 5 ACL的分配 要确定分配给新对象的ACL，系统使用三种互斥的规则之一，步骤为： 步1：如果调用者在创建对象时，明确提供了一个安全描述符，则系统将把该描述符应用到对象上。 步2：如果调用者没有提供安全描述符，而对象有名称，则系统将在存储新对象名称的目录中查看安全描述符，一些对象目的的ACE可以被指定为可继承的，表示它们可应用于在对象目录中创建的新对象上。如果存在可继承的ACE，系统就把它们编入ACL，并与新对象连接。 步3：如果以上情况均未出现，系统会从调用者访问令牌中检索默认的ACL，并将其应用到新对象。系统的一些子系统，如服务、LSA和SAM对象等均有它们在创建对象时分配的硬性编码DACL。 6访问控制算法 该算法确定允许访问对