Windows操作系统安全技术.pptVIP

7.2.1基本概念2安全描述符(SecurityDescriptors)安全描述符是Windows创建对象时所基于结构的一个主要部分，它包含了安全对象相关的安全信息，这意味着Windows可识别的每一个对象（可以是文件对象、注册表键、网络共享、互斥量、信号灯、进程、线程、令牌、硬件、服务、驱动...）都可以保证其安全。一个安全描述符包含下面的安全信息:（1）拥有者或基本组对象的安全ID（SID）（2）DACL指定特殊用户或组的允许或拒绝的访问权限（3）SACL指定对象通用评估记录尝试的访问类型（4）一个控制位集合，说明安全描述符的含义或它每个成员7.2.1基本概念3访问令牌(AccessTokens)访问令牌由用户的SID?用户所属组的SID和用户名组成。登录时,系统通过比较密码与安全数据库中存储的信息来验证密码。如果密码得到认证,则系统产生访问令牌。令牌是一个数据结构,用于由所有该用户激活的进程和线程。7.2.1基本概念4访问控制列表(AccessControlLists)一个系统通过访问控制列表(ACL)来判断用户对资源的何种程度的访问。ACL由零个或多个ACE（AccessControlEntries）组成,一个ACE包括一个SID和该SID可访问资源的描述,ACL分为自由访问控制列表(DiscretionaryACL)系统访问控制列表(SystemACL)DACL包括户和组的列表,以及相应的权限,允许或是拒绝,用来确定对资源的访问权限。SACL则用来确定安全资源的审核策略,包含了对象被访问的时间。5访问控制项(AccessControlEntries)访问控制项由对象的权限以及用户或者组的SID组成。ACE分为允许访问和拒绝访问。允许访问的级别低于拒绝访问。7.2.2Windows安全子系统7.2.2Windows安全子系统（1）WinlogonWindows登录服务。是系统启动自动启动的一个程序，是整个登录过程的司令官，监视整个登录的过程，同时加载GINA。（2）GraphicalIdentificationandAuthenticationDLL(GINA):图形化标识和验证提供一个为用户登录提供验证请求的交互式界面，被开发成独立的模块。比如说要采用指纹登录的方式，厂商开发指纹认证的接口就可以了。默认是Msgina.dll。GINA调用LSA。（3）LocalSecurityAuthority(LSA):本地安全授权是安全子系统的核心，它的作用就是加载认证包，管理域间的信任关系。（4）SecuritySupportProviderInterface(SSPI):安全支持提供者接口微软的SSPI很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的验证连接的方法。7.2.2Windows安全子系统（5）AuthenticationPackages:验证包通过GINADLL的可信验证后，返回用户的SID给LSA，然后将其放在用户的访问令牌中。验证包还可以为真实用户提供验证。（6）Securitysupportproviders:安全支持提供者实现一些附加的安全机制，安装时以驱动的形式安装。默认情况下有Msnsspc.dll(微软网络挑战/反应认证模块)、Msapsspc.dll(分布式密码认证挑战/反应模块)、Schannel.dll(证书模块)三种。（7）NetlogonService:网络登录服务是域登录的时候所使用到的，建立安全通道，前面的用户名密码在通道里是加密传输的。（8）SecurityAccountManager(SAM):安全账户管理者。是一个数据库，用来保存用户账号和口令。7.2.2Windows安全子系统7.2.3访问控制Windows2000的访问控制过程图7.3注册表安全注册表是Windows的内部数据库,集中存储各种信息资源(用户、应用程序、硬件、网络协议和操作系统信息),它直接控制Windows的启动、应用程序的运行及硬件驱动程序的装载,Windows操作系统和程序运转的几乎所有的关键信息都记录在注册表中。7.3.1注册表的键及其键值注册表采用键和键值来管理具体的数据信息7.3.2注册表的结构注册表是一个庞大的数据库，它的数据结构由以下5个子树组成:（1）HKEY_CLASSES_ROOT:管理系统中所有数据文件，包含所有文件扩展和所有执行文件相关的文件。（2）H