windows系统安全访问控制ppt课件

矩阵中的许多元素常常为空。在实现自主 访问控制机制时，常常是基于
1 矩阵的行来表达访问控制信息。 2 矩阵的列来表达访问控制信息
基于访问控制列表 基于保护位
7
访问控制矩阵的行
file1
file2
file3
Andy
rx
r
rwo
Betty
rwxo
r
Charlie
rx
rwo
w
C-Lists:
继承和审计标志 访问屏蔽码
32位，每一位对应着该对象的访问权限，可设 置为打开或关闭。
SID标识
20
访问控制项在列表中的顺序
直接ACE在继承ACE之前 从第一层（父对象）继承下
来的ACE在ACL的最前面。 拒绝ACE在允许ACE之前
21
•2.2 标识主体：安全标识符
Windows 使用安全标 识符（SID）来唯一标 示安全主体和安全组
Guests
按默认值，来宾跟用户组的成员有36
本地组管理工具
37
Administrators组
安装操作系统和组件 （包括硬件驱动程序，系统服务及其他）
安装Service Pack和Hotfix修补程序。 安装Windows Update. 升级和修复操作系统
配置机器范围内的重要的操作系统参数
访问控制信息的来源：
执行线程（主体线程）直接把访问控制信息分配 给对象。
系统从父对象中检查可继承的访问控制信息，并 将其分配给对象。（如果有冲突，下级的优先权 更高）
系统使用对象管理器所提供的默认访问控制信息， 并将其分配给对象。（如果前两种权限不存在1，7
2.1 保护客体对象
访问控制列表（ACL） 是访问控制项(ACE)的有序列表
5
安全策略
安全策略是一种声明，它将系统的状态分成两个集合： 已授权的，即安全的状态集合；未授权的，即不安全 的状态集合。任何访问控制策略最终均可被模型化为 访问矩阵形式。
目标 用户 用户a
用户b
用户c
用户d
目标x
目标y
目标z
读、修改、管理
读、修改、管理
读、修改、管理
读
读、修改
读
读、修改
访问矩阵实例 6
4
访问控制矩阵模型
客体集O是所有被保护实体的集合（所有于 系统保护状态相关的实体）。
主体集S是所有活动对象的集合，如进程和 用户。
所有的权限的类型用集合R来表示。 在访问控制矩阵模型中，客体集O和主体集
S之间的关系用带有权限的矩阵A来描述，A 中的任意元素a [s , o ]满足sS, oO, a [s , o ]R。元素a [s , o ]代表的意义是主体s对 于客体o具有权限a [s , o ]。
28
3.1 用户帐号回顾
本地帐号
创建于本机，只对本机起作用
域用户帐号
创建于DC，对整个网络起作用
29
本地账户创建
30
创建和设置域用户帐号
31
内置帐号
Administrator Guest System 等
32
3.2 组的类型和范围
组的类型
安全组 分布组
用于授权：可用来分配访问资源的 权限和执行任务的权利。
客户请求服务时，服务进程创建执行线程来完成 任务。该线程使用客户安全环境相关联的模拟令 牌。
任务完成之后，线程丢弃模拟令牌并重新使用服 26
模拟级别
当客户连接到服务器并请求模拟时，还可以选择一个模拟 级别（Impersonation level）,有如下四种级别
Anonymous(匿名) 服务可模拟客户，但模拟令牌不含有客户的任何信息
file3: { (Andy, rwo) (Charlie, w) }
9
保护位
如果主体很多，可以在访问控制列表中使用组
ACLs 很长，所以合并用户 UNIX: 三级用户: owner, group, rest rwx rwx rwx
rest group owner
10
访问控制策略类型
强制访问控制（Mandatory access control） 系统独立于用户行为强制执行访问控制，用户不能改变 他们的安全级 别或对象的安全属性。这种访问控制规则通常对数据和 用户按照安全 等级划分标签，访问控制机制通过比较安全标签来确定 授予还是拒 绝用户对资源的访问。强制访问控制进行了很强的等级 划分，所以经 常用于军事用途。
（如密码策
略、访问控制、审核策略、内核模式驱动程序配置等）
获取已经不能访问的文件的所有权 管理安全措施和审核日志 备份和还原系统
38
RunAs服务(辅助登录服务)
RunAs服务使得管理员可以使用标准的用户账户 登录，并在必要的时候可以调用具有更高权限的 管理员控制台来执行管理任务。
在管理工具（Administrative Tool）应用组件上右 击，然后从弹出的 菜单中选择"运行为...".
file1
file2
file3
Andy rx
r
rwo
Betty rwxo
r
Charlie rx
rwo
w
ACLs:
file1: { (Andy, rx) (Betty, rwxo) (Charlie, rx) }
file2: { (Andy, r) (Betty, r) (Charlie, rwo) }
自主访问控制（Discretionary access control）
自主访问控制机制允许对象的属主来制定针对该对象的 保护策略。通
常DAC通过授权列表（或访问控制列表）来限定哪些主体 针对哪些客
体可以执行什么操作。如此将可以非常灵活地对策略进
行调整。由于
11
用户
角色
许可 操作
客体
12
2 Windows安全模型
安全主体的访问令牌<客体的安全描述
用户登录时，系统为其创建访问令牌 用户启动程序时，线程获取令牌的拷贝 程序请求访问客体时，提交令牌。 系统使用该令牌与客体的安全描述进行比较来
执行访问检查和控制
13
2.1 保护客体对象—安全描述符
Windows 2000可保护的对象列表
文件和文件夹 网络共享 打印机 管道 进程和线程 服务
特点
仅管理本地域内的资源 存储在创建它的域中，只能在这个域中复制，不会
出现在GC中。
44
全局组(Global Group)
在实际应用中一般会把隶属同一部门的用户组织成全局组， 然后再将全局组加入本地域组中。总之，全局组是用来组织 某个域的用户账户的，让这些账户一次获得相同的权限。
全局组成员
安全组也可拥有分布组的所有功能。
不能用于授权，当组的唯一功能 与安全性（如同时向一组用户发 送电子邮件）不相关时，可以是 用分布组
33
组的范围
1 本地组
SAM
Client Computer
SAM
Member Server
创建于非DC计算机 保存于SAM中 控制对本机资源的访问
2 域组
Domain Controller
control list）
15
DACL（discretionary access-control list）:用来做访问 控制，决定用户是否有相关权限
SACL (sபைடு நூலகம்curity access-control list):用于审计的列表 16
2.1 保护客体对象
客体的 安全描述
当在授权用户安全环境中执行的线程创建对象 时，安全描述中就会被填入访问控制信息。
Andy: { (file1, rx) (file2, r) (file3, rwo) }
Betty: { (file1, rwxo) (file2, r) }
Charlie: { (file1, rx) (file2, rwo) (file3, w) }
8
访问控制列表（ACL）
访问控制矩阵的列
Identify(标识) 允许服务获得客户的身份供自己使用，但不允许服务模拟该用户
Impersonation(模拟) 允许服务器在访问服务器计算机上的资源时，可模拟客户来访问 资源
Delegate(委派) 允许服务在访问服 务器计算机和其他计算机上的资源时，都可
模拟客户。
27
3 用户和组
用户 组
41
本地组的权限指派：
42
3.2.2 域组
域组的范围
全局组
用于组织域用户
域本地组
用于分配权限
通用组
用于组织多域用户
43
域组作用域
域本地组(Domain Local Group)
在管理域资源时，我们一般会把权限指派给本地域组。而不会 直接指派给用户账户。
本地域组可包含的成员
同一个域中的其他本地域组 森林中的任何域的用户成员 整个森林的全局组和通用组
18
2.1 保护客体对象
“空DACL”和”无DACL”
空DACL
在列表中没有任何ACE的存在，因此也就不 允许任何用户进行访问。
无DACL
指的是对于该对象没有任何保护，发出请求 的任何用户都被允许访问该对象。
19
•访问控制项(ACE)的结构
ACE大小
分配的内存字节数
ACE类型
允许、禁止或监视访问
24
安全访问令牌的内容
User :用户账号的SID Groups:用户所属组的一列SID Owners:持有的 用户或安全组的SID Primary Group :用户主要安全组的SID Default DACL ：当主体创建一个客体时的默认访问
控制列表 Privileges:用户在本地计算机上所具有的特权列表 Source:即导致访问令牌被创建的进程 Type:主令牌还是模拟令牌 模拟级别：指示服务对该访问令牌所代表的客户的
第五章：访问控制
1
内容
1 访问控制概述 2 访问控制机制 3 用户和组基础 4 内置本地组 默认组成员 默认的访问控制设置
2
1 访问控制概述
访问控制的目的： 限制访问主体（用户、进程、服务等）对 访问客体（文件、系统等）的访问权限， 从而使计算机系统在合法范围内使用。
3
描述一个保护系统的最简单框架模型是使 用访问控制矩阵模型，这个模型将所有用 户对于文件的权限存储在矩阵中。
SID在主体账户和安全 组创建时生成。
SID的创建者和作用范 围依赖于账户类型
22
SID的一般格式
23
2.2 标识主体
访问令牌
当用户登录系统时，LSA就会从登录进程中 获得该用户和所属组的SID,并用这些SID为用户 创建令牌。
此后代表该用户工作的每个进程和线程都将获 得一份该访问令牌的拷贝
在Dos命令符中输入"runas" 。
39
Users组
不允许破坏操作系统的完整性和所安装的应 用程序。
不能修改机器级的注册设置、操作系统文件 或程序文件。
不能装可以被其他用户运行的应用程序。 不能访问其他用户的私有数据。
40
Power Users组
创建本地用户和组 修改其创建的用户和组 创建和删除非管理员文件共享。 创建、管理、删除和共享本地打印机。 修改系统时间。 停止或启动非自动启动的服务。 允许安装无需修改系统服务的应用程序。
创建于DC 存于 Active Directory 控制对域资源的访问
34
3.2.1 本地组
本地组是本地计算机上的用户账户集合
本地组不同于具有域本地作用域的活动目录组 本地组权限只提供对本地组所在计算机上资源
的访问 可在运行windows2000的非域控制器的计算机
上使用本地组，不能在域控制器上创建本地组。
安全上下文的接受程度 统计信息 限制SID 会话ID
25
2.3 模拟（Impersonation）
线程能够在与拥有它的进程的上下文不同的安 全上下文里执行，这种能力称为模拟。
模拟能力是为了适应客户/服务器应用的安全 需求而设计的。
正常情况下，服务进程在自己的安全上下文内运 行，其中的线程使用服务自己安全环境相关联的 主访问令牌。
每一个安全性对象都有一个安全性描述符与之 相连
14
2.1 保护客体对象
一个安全描述符包含以下信息
对象所有者的SID 基本所有组的SID 自定义的访问控制列表（DACL:discretionary
access control list） 系统访问控制列表（SACL:system access
同一个域的用户 同一个域的其他全局组
特点
其用户成员可访问任何域中的资源 存储在创建它的域中，只能在这个域中复制出
35
内置本地组
Administrators 访问权
管理员对计算机/域有不受限制的完全
Power Users 但有限制。 经过证明的文
权限高的用户拥有最高的管理权限， 因 此，权限高的用户可以运行 件，也可以运行继承应用程序。
Users 因此，用户可 运行大多数继承
用户无法进行有意或无意的改动。 以运行经过证明的文件，但不能 应用程序。