windows系统安全要素.ppt

  1. 1、本文档共112页,可阅读全部内容。
  2. 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领,认领后既往收益都归您。
  3. 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
  4. 文档侵权举报电话:400-050-0739(电话支持时间:9:00-19:00)。
Windows系统安全要素 Windows系统安全要素 一、目的要求 1.掌握Windows系统各种安全要素的概念,内涵和原理。 2.掌握各种安全要素的管理操作及使用方法。 二、工具器材 Windows Server 2003,Windows XP操作系统 三、学习方式建议 理论学习+上机操作 3.1 Windows系统安全模型 影响Windows系统安全的要素有很多:安全模型,文件系统,域和工作组,注册表,进程和线程等等,其中Windows系统安全模型是核心。 Windows系统安全模型 Windows系统的安全性根植于Windows系统的核心(Kernel)层,它为各层次提供一致的安全模型。Windows系统安全模型是Windows系统中密不可分的子系统,控制着Windows系统中对象的访问(如文件、内存、打印机等)。在Windows系统中,对象实质上是指一系列信息集合体,封装了数据及处理过程,使之成为一个可被广泛引用的整体。当对象用于网络环境时,称之为资源;当对象在网络中共享时,称之为共享资源。 Windows 安全模型基于安全对象。操作系统的每个组件都必须确保其负责的对象的安全性。Windows 安全模型主要基于每个对象的权限,以及少量的系统级特权。安全对象包括(但不限于)进程、线程、事件和其它同步对象,以及文件、目录和设备。 对于每种类型的对象,一般的读、写和执行权限都映射到详细的对象特定权限中。例如,对于文件和目录,可能的权限包括读或写文件或目录的权限、读或写扩展的文件属性的权限、遍历目录的权限,以及写对象的安全描述符的权限。 3.1.1 Windows系统安全模型组件 安全标识符 (SID,Security Identifiers) 安全标识符标识一个用户、组或登录会话。每个用户都有一个唯一的 SID,在登录时由操作系统检索。当你重新安装系统后,也会得到一个唯一的SID。 SID由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定,以保证它的唯一性。 访问令牌(Access Token) 用户通过验证后,登录进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows 系统,然后系统检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候由登录进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。 访问令牌(Access Token) 每个进程都有一个访问令牌,访问令牌描述进程的完整的安全上下文。它包含用户的 SID、用户所属组的SID、登录会话的 SID,以及授予用户的系统级特权列表。 默认情况下,当进程的线程与安全对象交互时,系统使用进程的主访问令牌。但是,一个线程可以模拟一个客户端帐户。当一个线程模拟客户端帐户时,它除了拥有自己的主令牌之外还有一个模拟令牌。模拟令牌描述线程正在模拟的用户帐户的安全上下文。模拟在远程过程调用 (Remote Procedure Call, RPC) 处理中尤其常见 . 访问令牌(Access Token) 描述线程或进程的受限制的安全上下文的访问令牌被称为受限令牌。受限令牌中的 SID 只能设置为拒绝访问安全对象,而不能设置为允许访问安全对象。此外,令牌可以描述一组有限的系统级特权。用户的 SID 和标识保持不变,但是在进程使用受限令牌时,用户的访问权限是有限的。CreateRestrictedToken 函数创建一个受限令牌。 访问令牌(Access Token) 受限令牌对于运行不可信代码(例如电子邮件附件)很有用。当您右键单击可执行文件,选择“运行方式”并选择“保护我的计算机和数据不受未授权程序的活动影响”时,Microsoft Windows XP 就会使用受限令牌。 安全描述符(Security Descriptors) 每个命名的 Windows 对象都有一个安全描述符,一些未命名的对象也有。它保存对象的安全配置。安全描述符描述对象的所有者和组SID,以及对象的 ACL。 对象的安全描述符通常由创建该对象的函数创建。譬如当驱动程序调用 IoCreateDevice 或 IoCreateDeviceSecure 例程来创建设备对象时,系统将一个安全描述符应用于创建的设备对象并为对象设置 ACL。 访问控制列表(Access Control Lists) 访问控制列表 (ACL) 允许细粒度地控制对对象的访问。ACL 是每个对象的安全描述符的一部分。每个 ACL 包含零个或多个访问控制条目 (ACE)。而每个 ACE 仅包含一个 SID,用来标识用户、组或计算机以及该 SID

文档评论(0)

阿毛
该用户很懒,什么也没介绍

相关文档

相关课程推荐