操作系统安全8(访问控制2014,3课时)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1 访问控制的目的: 限制访问主体(用户、进程、服务等)对访 问客体(文件、系统等)的访问权限,从而 使计算机系统在合法范围内使用。
1 访问控制概述
1.2 常见访问控制模型:
强制访问控制(Mandatory access control:MAC) 自主访问控制(Discretionary access control:DAC) 主流操作系统,防火墙(ACLs)等都是基于自主访问 控制机制来实现访问控制。 基于角色的访问控制(Role based access control :RBAC) 基于任务的访问控制模型(TBAC) 基于属性的访问控制模型 使用控制模型UCON
返回
RunAs服务(辅助登录服务)
RunAs服务使得管理员可以使用标准的用户账户登 录,并在必要的时候可以调用具有更高权限的管理 员控制台来执行管理任务。
在管理工具(Administrative Tool)应用组件上右 击,然后从弹出的 菜单中选择"运行为...". 在Dos命令符中输入"runas" 。
强制访问控制(Mandatory access control) 系统独立于用户行为强制执行访问控制,用户不能改变他们的安 全级别或对象的安全属性。这种访问控制规则通常对数据和用户 按照安全等级划分标签,访问控制机制通过比较安全标签来确定 授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等 级划分,所以经常用于军事用途。 自主访问控制(Discretionary access control) 自主访问控制机制允许对象的属主来制定针对该对象的保护策 略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体 针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略 进行调整。由于其易用性与可扩展性,自主访问控制机制经常被 用于商业系统。
第八章:访问控制
本章内容主要涉及到
访问控制模型 访问控制策略的表达 访问控制执行机制 访问控制配置管理功能
内容
1 2 3 4 访问控制概述(模型及策略表达) Windows访问控制执行机制 windows用户、组及其权限设置 windows默认的访问控制设置
1 访问控制概述
DACL(discretionary access-control list):用来做访问 控制,决定用户是否有相关权限 SACL (security access-control list):用于审计的列表
2.1 保护客体对象
客体的 安全描述
当在授权用户安全环境中执行的线程创建对象时,安 全描述中就会被填入访问控制信息。 访问控制信息的来源:
每一个安全性对象都有一个安全性描述符与之相连。
一个安全描述符包含以下信息
对象所有者的SID (Security identifier) 基本所有组的SID 自定义的访问控制列表(DACL:discretionary access control list) 系统访问控制列表(SACL:system access control list)
SAM SAM
创建于非DC计算机
保存于SAM中 控制对本机资源的访问
Member Server
Client Computer
2 域组
创建于DC
存于 Active Directory 控制对域资源的访问
Domain Controller
5.3.2.1 本地组
本地组是本地计算机上的用户账户集合
SID的一般格式
2.2 标识主体
访问令牌
当用户登录系统时,LSA就会从登录进程中获得 该用户和所属组的SID,并用这些SID为用户创建 令牌。
此后代表该用户工作的每个进程和线程都将获得一 份该访问令牌的拷贝
安全访问令牌的内容(了解)
User :用户账号的SID Groups:用户所属组的一列SID Owners:持有的 用户或安全组的SID Primary Group :用户主要安全组的SID Default DACL :当主体创建一个客体时的默认访问控制列表 Privileges:用户在本地计算机上所具有的特权列表 Source:即导致访问令牌被创建的进程 Type:主令牌还是模拟令牌 模拟级别:指示服务对该访问令牌所代表的客户的安全上下文 的接受程度 统计信息 限制SID 会话ID
1 矩阵的行来表达访问控制信息。 2 矩阵的列来表达访问控制信息
基于访问控制列表(ACL) 基于保护位
访问控制列表(ACL)
访问控制矩阵的列 file1 Andy rx Betty rwxo Charlie rx ACLs: file2 r r rwo file3 rwo w
file1: { (Andy, rx) (Betty, rwxo) (Charlie, rx) } file2: { (Andy, r) (Betty, r) (Charlie, rwo) } file3: { (Andy, rwo) (Charlie, w) }
模拟级别
当客户连接到服务器并请求模拟时,还可以选择一个模拟级 别(Impersonation level),有如下四种级别 Anonymous(匿名) 服务可模拟客户,但模拟令牌不含有客户的任何信息 Identify(标识) 允许服务获得客户的身份供自己使用,但不允许服务模拟该 用户 Impersonation(模拟) 允许服务器在访问服务器计算机上的资源时,可模拟客户来 访问资源 Delegate(委派) 允许服务在访问服务器计算机和其他计算机上的资源时,都 可模拟客户。
直接把访问控制信息分配给对象。 从父对象中检查可继承的访问控制信息,并将其分配给对象。 (如果有冲突,下级的优先权更高) 系统使用对象管理器(OM)所提供的默认访问控制信息, 并将其分配给对象。(如果前两种权限不存在,就用这项, 可能性不大)
2.1 保护客体对象
访问控制列表ACL(Access Control List)
3.4 域组及其权利指派
域组的范围
全局组 用于组织域用户
域本地组
用于分配权限
通用组
用于组织多域用户
分布式访问控制框架
主体方认证组件 主体身份及 属性信息 认证模块 login request 访问控制元 数据处理 Request+ Attributes
RBAC
• 基于角色的访问控制(Role based access control )
许可
用户 角色 操作 客体
管理 员
1 访问控制概述
1. 3 访问控制策略 访问控制策略是一种声明,是访问规则的集合,它将 系统的状态分成两个集合:已授权的,即安全的状 态集合;未授权的,即不安全的状态集合。
Windows访问控制执行机制
访问令牌
安全引用 监视器
安全访问令牌
安全访问令牌由登录进程分配,并伴随用户启动的 每一个进程,是用户访问系统资源的凭证 安全访问令牌的主要内容
用户的SID 组ID 访问令牌来源 当前模拟级别 用户或组的特权
2.1 保护客体对象
保护客体对象—安全描述符
2 Windows访问控制执行机制 2.1客体对象 2.2主体及主体标识 2.3 模拟
2 Windows访问控制执行机制
安全主体的访问令牌<客体的安全描述
用户登录时,系统为其创建访问令牌 用户启动程序时,线程获取令牌的拷贝 程序请求访问客体时,提交令牌。 系统使用该令牌与客体的安全描述进行比较来执 行访问检查和控制
冲突解决方法--(ACE在列表中的顺序)
拒绝ACE在允许ACE之前 直接ACE在继承ACE之前 从第一层(父对象)继承下来的ACE在其他ACE前面
2.2 标识主体:安全标识符
Windows 使用安全标 识符(SID)来唯一标 示安全主体和安全组 SID在主体账户和安全 组创建时生成。 SID的创建者和作用范 围依赖于账户类型
保护位
如果主体很多,可以在访问控制列表中使用组
ACLs 很长,所以合并用户 UNIX: 三级用户: owner, group, rest rwx rwx rwx rest group owner
内容
1 2 3 4 访问控制概述(模型及策略表达) Windows访问控制执行机制 windows用户、组及其权限设置 windows默认的访问控制设置
2.3 模拟(Impersonation)
模拟能力是为了适应客户/服务器应用的安全需求 而设计的。 线程能够在与拥有它的进程的上下文不同的安全 上下文里执行,这种能力称为模拟。
正常情况下,服务进程在自己的安全上下文内运行, 其中的线程使用服务自己安全环境相关联的主访问令 牌。 客户请求服务时,服务进程创建执行线程来完成任务。 该线程使用客户安全环境相关联的模拟令牌。 任务完成之后,线程丢弃模拟令牌并重新使用服务的 主访问令牌。
是包含有访问控制项(ACE)的一个列表。
注意:
空DACL 在列表中没有任何ACE的存在,因此也就不允许 任何用户进行访问。 无DACL 指的是对于该对象没有任何保护,发出请求的任 何用户都被允许访问该对象。
•访问控制项(ACE)的结构
ACE大小:分配的内存字节数 ACE类型:允许、禁止或监视访问 继承和审计标志 访问屏蔽码:32位,每一位对应着该对象的访问 权限,可设置为打开或关闭。 SID标识
Administrator Guest
System 等
3.2 组的类型和范围
组的类型
安全组
用于授权:可用来分配访问资源的 权限和执行任务的权利。
安全组也可拥有分布组的所有功能。
不能用于授权,当组的唯一功能 与安全性(如同时向一组用户发 送电子邮件)不相关时,可以是 用分布组
分布组
组的范围
1 本地组
本地组权限只提供对本地组所在计算机上资源 的访问 可在运行windows的非域控制器的计算机上使 用本地组,不能在域控制器上创建本地组。
内置本地组
Administrators :管理员对计算机/域有不受限制的完全访问权
Power Users : 权限高的用户拥有最高的管理权限,但有限制。 因 此,权限高的用户可以运行经过证明的文件,也可以运行继承 应用程序。 Users :用户无法进行有意或无意的改动。因此,用户可 以运行 经过证明的文件,但不能运行大多数继承应用程序。 Guests :按默认值,来宾跟用户组的成员有同等访问权, 但来宾账户的限制更多。 Backup Operators 备份操作员为了备份或还原文件可以替代安 全限制。 Replicator 支持域中的文件复制。
1. 3 访问控制策略 描述一个模型的最简单策略框架是使用访问控 制矩阵,这将所有用户对于资源的权限存储 在矩阵中。
目标 用户 用户a 用户b 用户c 用户d 读 读 目标x
读、修改、管理 读、修改、管理
目标y
目标z
读、修改、管理
读、修改 读、修改
访问矩阵实例
矩阵中的许多元素常常为空。在实现自 主访问控制机制时,常常是基于
3 访问控制配置管理--用户、组及其权限设置
3.1 3.2 3.3 3.4 用户 组的类型和范围 本地组的权利指派: 域组及权利指派
3.1 用户帐号回顾
本地帐号
创建于本机,只对本机起作用
域用户帐号
创建于DC,对整个网络起作用
Biblioteka Baidu
本地账户创建
创建和设置域用户帐号
内置帐号
本地组管理工具
3.3 本地组的权利指派:
概念:权限与权利
用户权利(Right): 指的是可做某类操作的能力,例如能不能更改系统 时间,是否能备份文件,即:用户权利影响的对象 是整个Windows系统。控制的操作粒度为整个服 务 权限(Permission): 是指用户对于一项特定对象(文件、文件夹或打印 机)等的访问限制,包含可不可以读取、写入删除 等。权限则需要针对个别对象来指定。 控制的操作粒度为服务中的某些操作接口。
1 访问控制概述
1.2 常见访问控制模型:
强制访问控制(Mandatory access control:MAC) 自主访问控制(Discretionary access control:DAC) 主流操作系统,防火墙(ACLs)等都是基于自主访问 控制机制来实现访问控制。 基于角色的访问控制(Role based access control :RBAC) 基于任务的访问控制模型(TBAC) 基于属性的访问控制模型 使用控制模型UCON
返回
RunAs服务(辅助登录服务)
RunAs服务使得管理员可以使用标准的用户账户登 录,并在必要的时候可以调用具有更高权限的管理 员控制台来执行管理任务。
在管理工具(Administrative Tool)应用组件上右 击,然后从弹出的 菜单中选择"运行为...". 在Dos命令符中输入"runas" 。
强制访问控制(Mandatory access control) 系统独立于用户行为强制执行访问控制,用户不能改变他们的安 全级别或对象的安全属性。这种访问控制规则通常对数据和用户 按照安全等级划分标签,访问控制机制通过比较安全标签来确定 授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等 级划分,所以经常用于军事用途。 自主访问控制(Discretionary access control) 自主访问控制机制允许对象的属主来制定针对该对象的保护策 略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体 针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略 进行调整。由于其易用性与可扩展性,自主访问控制机制经常被 用于商业系统。
第八章:访问控制
本章内容主要涉及到
访问控制模型 访问控制策略的表达 访问控制执行机制 访问控制配置管理功能
内容
1 2 3 4 访问控制概述(模型及策略表达) Windows访问控制执行机制 windows用户、组及其权限设置 windows默认的访问控制设置
1 访问控制概述
DACL(discretionary access-control list):用来做访问 控制,决定用户是否有相关权限 SACL (security access-control list):用于审计的列表
2.1 保护客体对象
客体的 安全描述
当在授权用户安全环境中执行的线程创建对象时,安 全描述中就会被填入访问控制信息。 访问控制信息的来源:
每一个安全性对象都有一个安全性描述符与之相连。
一个安全描述符包含以下信息
对象所有者的SID (Security identifier) 基本所有组的SID 自定义的访问控制列表(DACL:discretionary access control list) 系统访问控制列表(SACL:system access control list)
SAM SAM
创建于非DC计算机
保存于SAM中 控制对本机资源的访问
Member Server
Client Computer
2 域组
创建于DC
存于 Active Directory 控制对域资源的访问
Domain Controller
5.3.2.1 本地组
本地组是本地计算机上的用户账户集合
SID的一般格式
2.2 标识主体
访问令牌
当用户登录系统时,LSA就会从登录进程中获得 该用户和所属组的SID,并用这些SID为用户创建 令牌。
此后代表该用户工作的每个进程和线程都将获得一 份该访问令牌的拷贝
安全访问令牌的内容(了解)
User :用户账号的SID Groups:用户所属组的一列SID Owners:持有的 用户或安全组的SID Primary Group :用户主要安全组的SID Default DACL :当主体创建一个客体时的默认访问控制列表 Privileges:用户在本地计算机上所具有的特权列表 Source:即导致访问令牌被创建的进程 Type:主令牌还是模拟令牌 模拟级别:指示服务对该访问令牌所代表的客户的安全上下文 的接受程度 统计信息 限制SID 会话ID
1 矩阵的行来表达访问控制信息。 2 矩阵的列来表达访问控制信息
基于访问控制列表(ACL) 基于保护位
访问控制列表(ACL)
访问控制矩阵的列 file1 Andy rx Betty rwxo Charlie rx ACLs: file2 r r rwo file3 rwo w
file1: { (Andy, rx) (Betty, rwxo) (Charlie, rx) } file2: { (Andy, r) (Betty, r) (Charlie, rwo) } file3: { (Andy, rwo) (Charlie, w) }
模拟级别
当客户连接到服务器并请求模拟时,还可以选择一个模拟级 别(Impersonation level),有如下四种级别 Anonymous(匿名) 服务可模拟客户,但模拟令牌不含有客户的任何信息 Identify(标识) 允许服务获得客户的身份供自己使用,但不允许服务模拟该 用户 Impersonation(模拟) 允许服务器在访问服务器计算机上的资源时,可模拟客户来 访问资源 Delegate(委派) 允许服务在访问服务器计算机和其他计算机上的资源时,都 可模拟客户。
直接把访问控制信息分配给对象。 从父对象中检查可继承的访问控制信息,并将其分配给对象。 (如果有冲突,下级的优先权更高) 系统使用对象管理器(OM)所提供的默认访问控制信息, 并将其分配给对象。(如果前两种权限不存在,就用这项, 可能性不大)
2.1 保护客体对象
访问控制列表ACL(Access Control List)
3.4 域组及其权利指派
域组的范围
全局组 用于组织域用户
域本地组
用于分配权限
通用组
用于组织多域用户
分布式访问控制框架
主体方认证组件 主体身份及 属性信息 认证模块 login request 访问控制元 数据处理 Request+ Attributes
RBAC
• 基于角色的访问控制(Role based access control )
许可
用户 角色 操作 客体
管理 员
1 访问控制概述
1. 3 访问控制策略 访问控制策略是一种声明,是访问规则的集合,它将 系统的状态分成两个集合:已授权的,即安全的状 态集合;未授权的,即不安全的状态集合。
Windows访问控制执行机制
访问令牌
安全引用 监视器
安全访问令牌
安全访问令牌由登录进程分配,并伴随用户启动的 每一个进程,是用户访问系统资源的凭证 安全访问令牌的主要内容
用户的SID 组ID 访问令牌来源 当前模拟级别 用户或组的特权
2.1 保护客体对象
保护客体对象—安全描述符
2 Windows访问控制执行机制 2.1客体对象 2.2主体及主体标识 2.3 模拟
2 Windows访问控制执行机制
安全主体的访问令牌<客体的安全描述
用户登录时,系统为其创建访问令牌 用户启动程序时,线程获取令牌的拷贝 程序请求访问客体时,提交令牌。 系统使用该令牌与客体的安全描述进行比较来执 行访问检查和控制
冲突解决方法--(ACE在列表中的顺序)
拒绝ACE在允许ACE之前 直接ACE在继承ACE之前 从第一层(父对象)继承下来的ACE在其他ACE前面
2.2 标识主体:安全标识符
Windows 使用安全标 识符(SID)来唯一标 示安全主体和安全组 SID在主体账户和安全 组创建时生成。 SID的创建者和作用范 围依赖于账户类型
保护位
如果主体很多,可以在访问控制列表中使用组
ACLs 很长,所以合并用户 UNIX: 三级用户: owner, group, rest rwx rwx rwx rest group owner
内容
1 2 3 4 访问控制概述(模型及策略表达) Windows访问控制执行机制 windows用户、组及其权限设置 windows默认的访问控制设置
2.3 模拟(Impersonation)
模拟能力是为了适应客户/服务器应用的安全需求 而设计的。 线程能够在与拥有它的进程的上下文不同的安全 上下文里执行,这种能力称为模拟。
正常情况下,服务进程在自己的安全上下文内运行, 其中的线程使用服务自己安全环境相关联的主访问令 牌。 客户请求服务时,服务进程创建执行线程来完成任务。 该线程使用客户安全环境相关联的模拟令牌。 任务完成之后,线程丢弃模拟令牌并重新使用服务的 主访问令牌。
是包含有访问控制项(ACE)的一个列表。
注意:
空DACL 在列表中没有任何ACE的存在,因此也就不允许 任何用户进行访问。 无DACL 指的是对于该对象没有任何保护,发出请求的任 何用户都被允许访问该对象。
•访问控制项(ACE)的结构
ACE大小:分配的内存字节数 ACE类型:允许、禁止或监视访问 继承和审计标志 访问屏蔽码:32位,每一位对应着该对象的访问 权限,可设置为打开或关闭。 SID标识
Administrator Guest
System 等
3.2 组的类型和范围
组的类型
安全组
用于授权:可用来分配访问资源的 权限和执行任务的权利。
安全组也可拥有分布组的所有功能。
不能用于授权,当组的唯一功能 与安全性(如同时向一组用户发 送电子邮件)不相关时,可以是 用分布组
分布组
组的范围
1 本地组
本地组权限只提供对本地组所在计算机上资源 的访问 可在运行windows的非域控制器的计算机上使 用本地组,不能在域控制器上创建本地组。
内置本地组
Administrators :管理员对计算机/域有不受限制的完全访问权
Power Users : 权限高的用户拥有最高的管理权限,但有限制。 因 此,权限高的用户可以运行经过证明的文件,也可以运行继承 应用程序。 Users :用户无法进行有意或无意的改动。因此,用户可 以运行 经过证明的文件,但不能运行大多数继承应用程序。 Guests :按默认值,来宾跟用户组的成员有同等访问权, 但来宾账户的限制更多。 Backup Operators 备份操作员为了备份或还原文件可以替代安 全限制。 Replicator 支持域中的文件复制。
1. 3 访问控制策略 描述一个模型的最简单策略框架是使用访问控 制矩阵,这将所有用户对于资源的权限存储 在矩阵中。
目标 用户 用户a 用户b 用户c 用户d 读 读 目标x
读、修改、管理 读、修改、管理
目标y
目标z
读、修改、管理
读、修改 读、修改
访问矩阵实例
矩阵中的许多元素常常为空。在实现自 主访问控制机制时,常常是基于
3 访问控制配置管理--用户、组及其权限设置
3.1 3.2 3.3 3.4 用户 组的类型和范围 本地组的权利指派: 域组及权利指派
3.1 用户帐号回顾
本地帐号
创建于本机,只对本机起作用
域用户帐号
创建于DC,对整个网络起作用
Biblioteka Baidu
本地账户创建
创建和设置域用户帐号
内置帐号
本地组管理工具
3.3 本地组的权利指派:
概念:权限与权利
用户权利(Right): 指的是可做某类操作的能力,例如能不能更改系统 时间,是否能备份文件,即:用户权利影响的对象 是整个Windows系统。控制的操作粒度为整个服 务 权限(Permission): 是指用户对于一项特定对象(文件、文件夹或打印 机)等的访问限制,包含可不可以读取、写入删除 等。权限则需要针对个别对象来指定。 控制的操作粒度为服务中的某些操作接口。