Windows的访问控制机制教学内容

操作系统教学计划一、教学目标通过本课程的学习，学生将对操作系统的基本概念、原理和技术有深入的理解，能够掌握操作系统的核心功能和工作机制，具备分析和解决操作系统相关问题的能力。

具体目标包括：1、理解操作系统的定义、作用和发展历程，掌握操作系统的基本概念和术语。

2、掌握进程管理、内存管理、文件管理、设备管理等操作系统的核心功能。

3、熟悉常见操作系统的特点和应用场景，如Windows、Linux 等。

4、能够运用所学知识，分析和解决操作系统中的常见问题，如进程死锁、内存泄漏等。

5、培养学生的系统思维和创新能力，为进一步学习计算机相关领域的知识和从事相关工作打下坚实的基础。

二、教学内容1、操作系统概述操作系统的定义、功能和分类操作系统的发展历程和趋势操作系统的体系结构和运行机制2、进程管理进程的概念、状态和转换进程控制块（PCB）的结构和作用进程同步与互斥的概念和实现方法线程的概念和特点3、内存管理内存管理的基本概念和功能内存分配算法和回收策略虚拟内存的概念和实现原理页面置换算法4、文件管理文件的概念、结构和类型文件系统的组成和功能文件的目录结构和文件操作磁盘调度算法5、设备管理设备管理的任务和功能I/O 控制方式和缓冲技术设备分配和回收策略设备驱动程序的概念和作用6、操作系统安全与保护操作系统的安全机制和访问控制病毒和恶意软件的防范系统容错和恢复技术7、操作系统实例分析Windows 操作系统的特点和机制Linux 操作系统的内核结构和命令行操作三、教学方法1、课堂讲授通过讲解、演示和案例分析等方式，向学生传授操作系统的基本概念、原理和技术，引导学生理解和掌握重点和难点内容。

2、实验教学安排一定数量的实验课程，让学生亲自动手操作，加深对操作系统的理解和应用能力。

实验内容包括进程管理、内存管理、文件管理等方面的编程和调试。

3、小组讨论组织学生进行小组讨论，针对操作系统中的一些热点问题和实际应用场景，让学生发表自己的观点和见解，培养学生的团队合作和交流能力。

《操作系统安全》课程教学大纲课程名称操作系统安全课程编码131530019 课程类型（学院内）跨专业课程适用范围信息安全学分数 3 先修课程操作系统、数据结构学时数48 其中实验学时其中实践学时考核方式考试制定单位数学与信息科学学院执笔者审核者一、教学大纲说明（一）课程的性质、地位、作用和任务操作系统安全是信息领域重要的核心技术, 在信息安全领域有着非常重要的地位。

《操作系统安全》对培养学生抽象思维能力和信息安全的分析能力有着重要作用；也是信息安全专业高年级学生开设的一门重要课程, 其为全面了解操作系统的安全机制、安全设计、操作系统评测和安全应用提供一些入门方法, 使学生对操作系统安全有一个清晰和完整的认识。

（二）课程教学的目的和要求通过本课程的学习, 学生具有操作系统安全基础知识, 具备对操作系统安全进行分析的基本专业素质和能力。

了解：操作系统安全的有关概念及相关问题, 包括Windows、UNIX等流行操作系统的存在的安全问题, 了解高安全级别操作系统的有关安全机制, 了解操作系统安全评测、安全操作系统的应用和国外在安全操作系统领域的新进展。

理解: 操作系统安全模型、安全体系结构和操作系统安全形式化规范与验证以及安全操作系统设计一般过程。

掌握: 操作系统安全的基本概念、操作系统的安全机制、操作系统设计主要的安全模型和安全体系结构、Unix系统安全策略及安全机制、隐蔽通道分析和处理方法。

（三）课程教学方法与手段教学方法: 本课程采用老师讲授、结合学生自学的方法；教学手段：采用多媒体教学, 教师口授结合电脑演示。

（四）课程与其它课程的联系本课程涉及到信息安全基础、数据结构、计算机网络和操作系统等知识, 因而在开设本课程之前需要为学生开设预备课程: 数据结构、密码学原理、计算机网络和操作系统。

（五）教材与教学参考书教材: 卿斯汉等著, 操作系统安全（第2版）, 清华大学出版社, 2011。

教学参考书:1.卿斯汉等著, 操作系统安全, 清华大学出版社, 2004。

【windows操作系统】⽂件保护：⽂件访问类型和访问控制⽂件保护：⽂件访问类型和访问控制为了防⽌⽂件共享可能会导致⽂件被破坏或未经核准的⽤户修改⽂件，⽂件系统必须控制⽤户对⽂件的存取，即解决对⽂件的读、写、执⾏的许可问题。

为此，必须在⽂件系统中建⽴相应的⽂件保护机制。

⽂件保护通过⼝令保护、加密保护和访问控制等⽅式实现。

其中，⼝令保护和加密保护是为了防⽌⽤户⽂件被他⼈存取或窃取，⽽访问控制则⽤于控制⽤户对⽂件的访问⽅式。

访问类型对⽂件的保护可以从限制对⽂件的访问类型中出发。

可加以控制的访问类型主要有以下⼏种：读：从⽂件中读。

写：向⽂件中写。

执⾏：将⽂件装⼊内存并执⾏。

添加：将新信息添加到⽂件结尾部分。

删除：删除⽂件，释放空间。

列表清单：列出⽂件名和⽂件属性。

此外还可以对⽂件的重命名、复制、编辑等加以控制。

这些⾼层的功能可以通过系统程序调⽤低层系统调⽤来实现。

保护可以只在低层提供。

例如，复制⽂件可利⽤⼀系列的读请求来完成。

这样，具有读访问⽤户同时也具有复制和打印的权限了。

访问控制解决访问控制最常⽤的⽅法是根据⽤户⾝份进⾏控制。

⽽实现基于⾝份访问的最为普通的⽅法是为每个⽂件和⽬录增加⼀个访问控制列表(Access-Control List, ACL)，以规定每个⽤户名及其所允许的访问类型。

这种⽅法的优点是可以使⽤复杂的访同⽅法。

其缺点是长度⽆法预期并且可能导致复杂的空间管理，使⽤精简的访问列表可以解决这个问题。

精简的访问列表⾤⽤拥有者、组和其他三种⽤户类型。

1. 拥有者：创建⽂件的⽤户。

2. 组：⼀组需要共享⽂件且具有类似访问的⽤户。

3. 其他：系统内的所有其他⽤户。

这样只需⽤三个域列出访问表中这三类⽤户的访问权限即可。

⽂件拥有者在创建⽂件时，说明创建者⽤户名及所在的组名，系统在创建⽂件时也将⽂件主的名字、所属组名列在该⽂件的FCB中。

⽤户访问该⽂件时，按照拥有者所拥有的权限访问⽂件，如果⽤户和拥有者在同⼀个⽤户组则按照同组权限访问，否则只能按其他⽤户权限访问。

【windows安全性之访问控制】访问控制详细解说windows的安全性的两个基本⽀柱是⾝份验证（登⼊）和授权（访问控制）。

⾝份验证是标识⽤户的过程，授权在验证了所标识⽤户是否可以访问特定资源之后进⾏。

相关的命名空间和类：System.Security NamespaceSystem.Security.Principal NamespaceWindowsIdentity ClassSystem.Security.AccessControl NamespacFileSystemSecurity ClassDirectorySecurity ClassFileSecurityAccessRule ClassFileSystemAccessRule ClassAccessControlType EnumFileSystemRights Enum⽬录1、访问控制模型（Access Control Model）1.1访问控制模型的各个部分1.2线程与安全对象之间的交互1.3DACL 和 AES1.4AccessCheck 的⼯作原理2、访问控制编辑器(Access Control Editor)1.1访问控制模型的各个部分访问控制模型由两个基本部分：1. 访问令牌（Access Token）其中包含有关登录⽤户的信息(User SID,Group SIDS,特权列表privileges)，访问令牌是与Windows的账户相互对相应的，当某⼀账户登录时，系统会⽣成此⽤户的访问令牌并分发给启动的进程2. 安全描述符（Security descriptor）描述⼀个安全对象的安全信息，如什么样的⽤户的什么访问请求可以被允许，什么样的⽤户或者组的什么访问要被拒绝。

安全描述符具体由ACL、对象拥有者SID 、此拥有者所在主群的SID、安全描述符意思相符的控制位集合⼀起组成。

ACL由⾃由访问控制列表 (DACL) 和系统访问控制列表 (SACL)组成。

Windows的访问控制机制访问控制：是指的安全特性，这些安全特性控制谁能够访问操作系统资源。

应用程序调用访问控制函数来设置谁能够访问特定资源或控制对由应用程序提供的资源的访问。

C2等级安全：下面的列表包含在C2等级安全中最重要的一些要求，它们是有美国国防部提出的：1、必须能够通过授予或拒绝个人用户和组用户访问某个资源来达到控制访问的目的。

2、当一个进程释放内存后，该内存中的内容不能被读取。

同样，一个安全文件系统，例如NTFS，必须防止已删除的文件被读取。

3、当用户需要登录，必须提供一种方式来惟一标识用户。

所有的可审计的操作同样能够确定它的执行用户。

4、系统管理员必须能够审计与安全相关的事件。

然而，授权管理员不能访问与安全相关事件的审计数据。

5、系统必须能抵抗外部干扰、防止诸如篡改运行中系统、存储在硬盘中的系统文件的操作。

访问控制模型：访问控制模型允许您控制一个进程访问安全对象或执行诸多系统管理任务的能力（控制进程执行xxx的能力）。

访问控制模型有两个基本的组件：1、访问令牌（包含关于登录用户的信息）2、安全描述符（包含用于保护一个安全对象的安全信息）当一个用户要登录，系统验证用户的用户名和密码。

如果验证成功，系统创建一个访问令牌。

所有以这个用户身份运行的进程都有一份令牌的拷贝。

访问令牌包含标识用户账户以及所在组账户的安全标识符。

当然，访问令牌还包含很多其它信息，比如用户以及用户所在组的特权列表。

当进程试图访问安全对象或者执行需要特权的系统管理任务时，系统使用这个访问令牌识别相应的用户。

每当一个安全对象被创建时，系统将一个安全描述符与对象关联起来，安全描述符中包含由创建者指定的安全信息，如果创建者没有提供安全信息，那么系统将使用默认的安全信息。

应用程序可以调用函数来获得和设置一个已经存在的安全对象的安全信息。

一个安全描述符标识用户的所有者和可以包含下面列出的访问控制列表：1、一个自主访问控制列表，标识那些用户和组允许或拒绝访问一个对象。

《网络安全技术》课程教学大纲学分： 4学时：64适用专业: 网络技术专业一、课程的性质与任务课程的性质：本课程是为网络技术专业学生开设的课程。

课程安排在第四学期。

课程的任务：通过本课程的学习，使学生了解网络安全的基本框架，网络安全的基本理论，以及计算机网络安全方面的管理、配置和维护。

本课程将紧密结合实际，及时讲解和防范最新的病毒和黑客程序和网络安全维护的工具，为学生今后进行网络管理、维护，以及安全技术服务奠定基础。

同时，介绍最新的网络安全技术，并通过学生的实际操作来了解最新的技术动向。

前导课程：《计算机网络技术》、《C语言程序设计》、《网络操作系统》、《网络编程》。

后续课程：《高级网络安全技术》、《网络监测技术》二、教学基本要求理论上，要求学生掌握网络安全技术的基础知识、密码技术原理及应用、防火墙的原理及应用、操作系统的安全原理以及配置、常见的系统攻击与防范方法，网络安全策略，网络防毒技术，internet/intranet的安全性。

技能上，要求学生能掌握基本的网络安全方法；网络防毒技术，常用的常见的系统攻击与防范方法，windows操作系统安全策略的应用与配置，以及网络安全工程的管理。

培养的IEET核心能力：⏹具备计算机网络安全工程师的工程能力：掌握常见网络安全技术:包括端口、服务漏洞扫描、网站渗透、病毒木马防范；了解主流网络安全产品（如防火墙、IDS等）的配置及使用；熟悉windows操作系统的安全体系和安全配置。

⏹具备售前工程师的能力，包括：能在售前和客户有效沟通、收集和引导用户需求，按照招投标程序参与投标，协同网络工程师确定网络设计方案、设备选型、设备报价。

⏹基本职业素养：具有良好的文化修养、职业道德、服务意识和敬业精神；接受企业的文化；具有较强的语言文字表达、团结协作和社会活动等基本能力；具有基本的英语文档阅读能力，能较熟练地阅读理解计算机网络方面的相关英文资料。

三、教学条件技术网络机房，windows server 2008五、教法说明本课程将采用理论与实践相结合的教学方法。

《操作系统》课程教案第一章：操作系统概述1.1 教学目标了解操作系统的定义、功能和作用掌握操作系统的基本组成和分类理解操作系统的历史和发展1.2 教学内容操作系统的概念操作系统的功能：进程管理、存储管理、文件管理、作业管理和用户接口操作系统的分类：批处理系统、分时系统、实时系统和分布式系统操作系统的历史和发展1.3 教学方法采用讲授和讨论相结合的方式，介绍操作系统的概念和功能通过案例分析，使学生了解操作系统的实际应用场景引导学生思考操作系统的未来发展1.4 教学资源教材：《操作系统概念》或《现代操作系统》课件：操作系统的概述和分类案例：Windows、Linux、Mac OS等操作系统的介绍1.5 教学评估课堂讨论：了解学生对操作系统的认识和理解程度期中期末考试：测试学生对操作系统知识的掌握程度第二章：进程管理2.1 教学目标掌握进程的概念和属性理解进程的状态转换和调度算法掌握进程同步和互斥的原理及实现方法2.2 教学内容进程的概念和属性：进程的定义、进程的标识符、进程的属性进程的状态转换：进程的状态及其转换条件进程调度算法：先来先服务算法、短作业优先算法、轮转算法和高响应比优先算法进程同步和互斥：同步的概念、互斥的概念、信号量机制和管程机制2.3 教学方法采用讲授和实验相结合的方式，使学生理解进程的概念和属性通过模拟实验，让学生掌握进程的状态转换和调度算法通过案例分析，使学生了解进程同步和互斥的应用场景2.4 教学资源教材：《操作系统概念》或《现代操作系统》课件：进程的概念和属性、进程的状态转换和调度算法、进程同步和互斥实验软件：模拟进程调度和同步互斥的实验环境2.5 教学评估课堂讨论：了解学生对进程概念和属性的理解程度实验报告：评估学生对进程状态转换和调度算法的掌握程度期中期末考试：测试学生对进程管理知识的掌握程度第三章：存储管理3.1 教学目标掌握存储管理的基本概念和任务理解内存分配和回收策略掌握虚拟存储器和分页、分段机制3.2 教学内容存储管理的基本概念和任务：存储管理的任务、存储管理的层次结构内存分配和回收策略：首次适应法、最佳适应法和最坏适应法虚拟存储器：虚拟存储器的概念、虚拟内存的实现机制分页和分段机制：分页机制、分段机制、分页和分段的比较3.3 教学方法采用讲授和实验相结合的方式，使学生理解存储管理的基本概念和任务通过模拟实验，让学生掌握内存分配和回收策略通过案例分析，使学生了解虚拟存储器和分页、分段机制的应用场景3.4 教学资源教材：《操作系统概念》或《现代操作系统》课件：存储管理的基本概念和任务、内存分配和回收策略、虚拟存储器和分页、分段机制实验软件：模拟内存分配和回收的实验环境3.5 教学评估课堂讨论：了解学生对存储管理基本概念和任务的理解程度实验报告：评估学生对内存分配和回收策略的掌握程度期中期末考试：测试学生对存储管理知识的掌握程度第四章：文件管理4.1 教学目标掌握文件和目录的概念理解文件存储结构和存取方法掌握文件系统的实现和操作4.2 教学内容文件和目录的概念：文件的概念、目录的概念文件存储结构和存取方法：顺序存储结构、存储结构、索引存储结构文件系统的实现和操作：文件系统的组织结构、文件系统的创建和删除、文件的打开和关闭4.3 教学方法采用讲授和实验相结合的方式，使学生理解文件和目录的概念通过模拟实验，让学生掌握文件存储结构和存取方法通过案例分析，使学生第四章：文件管理（续）4.4 教学资源教材：《操作系统概念》或《现代操作系统》课件：文件和目录的概念、文件存储结构和存取方法、文件系统的实现和操作实验软件：模拟文件存储和访问的实验环境4.5 教学评估课堂讨论：了解学生对文件和目录概念的理解程度实验报告：评估学生对文件存储结构和存取方法的掌握程度期中期末考试：测试学生对文件管理知识的掌握程度第五章：作业管理5.1 教学目标掌握作业的概念和分类理解作业调度和进程调度的关系掌握作业管理和进程管理的基本方法5.2 教学内容作业的概念和分类：批作业、交互式作业、批处理作业作业调度：作业调度的任务和算法进程调度：进程调度的任务和算法作业管理和进程管理的基本方法：作业队列的管理、进程队列的管理5.3 教学方法采用讲授和实验相结合的方式，使学生理解作业的概念和分类通过模拟实验，让学生掌握作业调度和进程调度的关系通过案例分析，使学生了解作业管理和进程管理的基本方法5.4 教学资源教材：《操作系统概念》或《现代操作系统》课件：作业的概念和分类、作业调度和进程调度的关系、作业管理和进程管理的基本方法实验软件：模拟作业调度和进程调度的实验环境课堂讨论：了解学生对作业概念和分类的理解程度实验报告：评估学生对作业调度和进程调度的掌握程度期中期末考试：测试学生对作业管理知识的掌握程度第六章：用户接口6.1 教学目标掌握命令接口和图形用户接口的概念理解命令接口的设计和实现理解图形用户接口的设计和实现6.2 教学内容命令接口的概念：命令接口的定义、命令接口的设计原则命令接口的实现：命令的解析、命令的执行图形用户接口的概念：图形用户接口的定义、图形用户接口的设计原则图形用户接口的实现：图形界面的设计、图形界面的交互6.3 教学方法采用讲授和实验相结合的方式，使学生理解命令接口和图形用户接口的概念通过模拟实验，让学生掌握命令接口的设计和实现通过案例分析，使学生了解图形用户接口的设计和实现6.4 教学资源教材：《操作系统概念》或《现代操作系统》课件：命令接口和图形用户接口的概念、设计和实现实验软件：模拟命令接口和图形用户接口的实验环境课堂讨论：了解学生对命令接口和图形用户接口概念的理解程度实验报告：评估学生对命令接口设计和实现的掌握程度期中期末考试：测试学生对用户接口知识的掌握程度第七章：操作系统安全7.1 教学目标掌握操作系统安全的基本概念理解操作系统的安全机制掌握操作系统的安全策略7.2 教学内容操作系统安全的基本概念：安全威胁、安全属性操作系统的安全机制：访问控制、身份认证、审计和监控操作系统的安全策略：最小权限原则、安全分层模型7.3 教学方法采用讲授和案例分析相结合的方式，使学生理解操作系统安全的基本概念通过模拟实验，让学生掌握操作系统的安全机制通过讨论，使学生了解操作系统的安全策略7.4 教学资源教材：《操作系统概念》或《现代操作系统》课件：操作系统安全的基本概念、安全机制和安全策略案例：操作系统安全威胁的实例分析7.5 教学评估课堂讨论：了解学生对操作系统安全概念的理解程度案例分析报告：评估学生对操作系统安全机制的掌握程度期中期末考试：测试学生对操作系统安全知识的掌握程度第八章：操作系统性能评价8.1 教学目标掌握操作系统性能评价的基本概念和方法理解操作系统性能评价的指标和准则掌握操作系统性能评价的实验方法和工具8.2 教学内容操作系统性能评价的基本概念：性能评价的目的、性能评价的方法操作系统性能评价的指标和准则：响应时间、吞吐量、CPU利用率操作系统性能评价的实验重点和难点解析1. 进程的概念和属性：理解进程的定义和各种属性是理解操作系统其他概念的基础。

Windows系统中的文件和文件夹权限设置在Windows操作系统中，文件和文件夹的权限设置是非常重要的。

通过正确设置权限，我们可以控制谁可以访问、修改或删除特定的文件和文件夹。

在本文中，我们将讨论Windows系统中文件和文件夹权限设置的基本知识和操作方法。

1. 了解权限类型在设置文件和文件夹权限之前，我们需要了解几种常见的权限类型：- 完全控制：拥有完全控制权限的用户可以执行任何操作，包括修改、删除和更改权限等。

- 修改：拥有修改权限的用户可以修改文件或文件夹的内容，但不能删除或更改权限。

- 读取和执行：拥有读取和执行权限的用户可以查看文件的内容和执行文件，但不能修改、删除或更改权限。

- 列表文件夹内容：拥有此权限的用户可以查看文件夹中的文件和子文件夹列表，但不能访问或修改文件的内容。

- 读取：拥有读取权限的用户可以查看文件的内容，但不能修改、删除或更改权限。

- 写入：拥有写入权限的用户可以向文件中写入内容，但不能读取、执行、删除或更改权限。

2. 更改文件和文件夹权限在Windows系统中，我们可以通过以下步骤更改文件和文件夹的权限：- 右键单击要更改权限的文件或文件夹，选择“属性”选项。

- 在属性对话框中，切换到“安全”选项卡。

- 点击“编辑”按钮来修改文件或文件夹的权限。

- 在“安全”选项卡中，选择你想要更改权限的用户或用户组。

- 选择所需的权限类型，然后点击“确定”保存更改。

3. 继承权限和手动设置权限在Windows系统中，文件夹可以继承其父文件夹的权限设置。

这意味着如果你在父文件夹上更改了权限，那么子文件夹和文件也会继承相同的权限。

然而，有时我们需要手动设置文件夹的权限，以便与父文件夹不同。

要手动设置文件夹权限，请按照以下步骤操作：- 在文件夹的“安全”选项卡中，点击“高级”按钮。

- 在弹出的“高级安全设置”对话框中，取消选择“从此对象的父对象继承权限”选项。

- 选择“添加”按钮来添加想要设置权限的用户或用户组。