收藏
下载资源 加入VIP免费专享

windows系统安全6(访问控制).ppt

上传人:小飞机 文档编号:6523750 上传时间:2023-11-08 格式:PPT 页数:44 大小:1.42MB
返回 下载 相关 举报
windows系统安全6(访问控制).ppt_第1页
第1页 / 共44页
windows系统安全6(访问控制).ppt_第2页
第2页 / 共44页
windows系统安全6(访问控制).ppt_第3页
第3页 / 共44页
windows系统安全6(访问控制).ppt_第4页
第4页 / 共44页
windows系统安全6(访问控制).ppt_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《windows系统安全6(访问控制).ppt》由会员分享,可在线阅读,更多相关《windows系统安全6(访问控制).ppt(44页珍藏版)》请在三一办公上搜索。

1、第六章:访问控制,内容,1 访问控制概述2 访问控制机制3 用户和组基础内置本地组默认组成员,1 访问控制概述,访问控制的目的:限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用。,描述一个保护系统的最简单框架模型是使用访问控制矩阵模型,这个模型将所有用户对于文件的权限存储在矩阵中。,访问控制矩阵模型,客体集O是所有被保护实体的集合(所有于系统保护状态相关的实体)。主体集S是所有活动对象的集合,如进程和用户。所有的权限的类型用集合R来表示。在访问控制矩阵模型中,客体集O和主体集S之间的关系用带有权限的矩阵A来描述,A中的任意元素a s,o

2、满足sS,oO,a s,o R。元素a s,o 代表的意义是主体s对于客体o具有权限a s,o。,安全策略,安全策略是一种声明,它将系统的状态分成两个集合:已授权的,即安全的状态集合;未授权的,即不安全的状态集合。任何访问控制策略最终均可被模型化为访问矩阵形式。,目标x,读、修改、管理,读、修改、管理,目标y,目标z,用户a,用户b,用户c,用户d,读,读,读、修改、管理,读、修改,读、修改,目标用户,访问矩阵实例,访问控制策略类型,强制访问控制(Mandatory access control)系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通

3、常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。自主访问控制(Discretionary access control)自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。主流操作系统(Windows Server,UNIX系统),防火墙(ACLs)等都是基于自主访问控制机制来实现访问控制。基于角色的访问

4、控制(Role based access control),矩阵中的许多元素常常为空。在实现自主访问控制机制时,常常是基于1 矩阵的行来表达访问控制信息。2 矩阵的列来表达访问控制信息基于访问控制列表基于保护位,访问控制矩阵的行 file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowC-Lists:Andy:(file1,rx)(file2,r)(file3,rwo)Betty:(file1,rwxo)(file2,r)Charlie:(file1,rx)(file2,rwo)(file3,w),访问控制列表(ACL),访问控制矩阵的列 file1fi

5、le2file3AndyrxrrwoBettyrwxorCharlierxrwowACLs:file1:(Andy,rx)(Betty,rwxo)(Charlie,rx)file2:(Andy,r)(Betty,r)(Charlie,rwo)file3:(Andy,rwo)(Charlie,w),保护位,如果主体很多,可以在访问控制列表中使用组,ACLs 很长,所以合并用户 UNIX:三级用户:owner,group,restrwx rwx rwxrestgroupowner,2 Windows安全模型,安全主体的访问令牌客体的安全描述用户登录时,系统为其创建访问令牌用户启动程序时,线程获取令

6、牌的拷贝程序请求访问客体时,提交令牌。系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制,2.1 保护客体对象安全描述符Windows 2000可保护的对象列表文件和文件夹网络共享打印机管道进程和线程服务每一个安全性对象都有一个安全性描述符与之相连,一个安全描述符包含以下信息对象所有者的SID基本所有组的SID自定义的访问控制列表(DACL:discretionary access control list)系统访问控制列表(SACL:system access control list),DACL(discretionary access-control list):用来做访问控制,

7、决定用户是否有相关权限SACL(security access-control list):用于审计的列表,客体的 安全描述,当在授权用户安全环境中执行的线程创建对象时,安全描述中就会被填入访问控制信息。访问控制信息的来源:执行线程(主体线程)直接把访问控制信息分配给对象。系统从父对象中检查可继承的访问控制信息,并将其分配给对象。(如果有冲突,下级的优先权更高)系统使用对象管理器所提供的默认访问控制信息,并将其分配给对象。(如果前两种权限不存在,就用这项,可能性不大),访问控制列表(ACL)是访问控制项(ACE)的有序列表,“空DACL”和”无DACL”空DACL在列表中没有任何ACE的存在,

8、因此也就不允许任何用户进行访问。无DACL指的是对于该对象没有任何保护,发出请求的任何用户都被允许访问该对象。,访问控制项(ACE)的结构,ACE大小分配的内存字节数ACE类型允许、禁止或监视访问继承和审计标志访问屏蔽码32位,每一位对应着该对象的访问权限,可设置为打开或关闭。SID标识,访问控制项在列表中的顺序,直接ACE在继承ACE之前从第一层(父对象)继承下来的ACE在ACL的最前面。拒绝ACE在允许ACE之前,2.2 标识主体:安全标识符,Windows 使用安全标识符(SID)来唯一标示安全主体和安全组SID在主体账户和安全组创建时生成。SID的创建者和作用范围依赖于账户类型,SID

9、的一般格式,访问令牌 当用户登录系统时,LSA就会从登录进程中获得该用户和所属组的SID,并用这些SID为用户创建令牌。此后代表该用户工作的每个进程和线程都将获得一份该访问令牌的拷贝,安全访问令牌的内容,User:用户账号的SIDGroups:用户所属组的一列SIDOwners:持有的 用户或安全组的SIDPrimary Group:用户主要安全组的SIDDefault DACL:当主体创建一个客体时的默认访问控制列表Privileges:用户在本地计算机上所具有的特权列表Source:即导致访问令牌被创建的进程Type:主令牌还是模拟令牌模拟级别统计信息限制SID会话ID,模拟(Impers

10、onation),模拟能力是为了适应客户/服务器应用的安全需求而设计的。正常情况下,服务进程在自己的安全上下文内运行,其中的线程使用服务自己安全环境相关联的主访问令牌。客户请求服务时,服务进程创建执行线程来完成任务。该线程使用客户安全环境相关联的模拟令牌。任务完成之后,线程丢弃模拟令牌并重新使用服务的主访问令牌。,模拟级别当客户连接到服务器并请求模拟时,还可以选择一个模拟级别(Impersonation level),有如下四种级别Anonymous(匿名)允许服务程序模拟客户身份,但可以不让服务知道任何有关客户的信息Identify(等同)允许服务获得客户的身份供自己使用,但不允许服务模拟该

11、用户Impersonation(模拟)允许服务器在访问服务器计算机上的资源时,可模拟客户来访问网络资源Delegate(委派)允许服务在访问服 务器计算机和其他计算机上的资源时,模拟客户。,3 用户和组,用户组,用户帐号,创建和设置域用户帐号,用户权利的默认指派,组的类型,安全组,用于授权:可用来分配访问资源的权限和执行任务的权利。安全组也可拥有分布组的所有功能。,分布组,不能用于授权,当组的唯一功能与安全性(如同时向一组用户发送电子邮件)不相关时,可以是用分布组,组的类型和范围,域组,本地组,创建于DC存于 Active Directory控制对域资源的访问,创建于非DC计算机保存于SAM中

12、控制对本机资源的访问,Domain Controller,组的范围,本地组,本地组是本地计算机上的用户账户集合本地组权限只提供对本地组所在计算机上资源的访问可在运行windows2000的非域控制器的计算机上使用本地组,不能在域控制器上创建本地组。,内置本地组,Administrators 管理员对计算机/域有不受限制的完全访问权Power Users 权限高的用户拥有最高的管理权限,但有限制。因 此,权限高的用户可以运行经过证明的文 件,也可以运行继承应用程序。Users 用户无法进行有意或无意的改动。因此,用户可 以运行经过证明的文件,但不能运行大多数继承 应用程序。Guests 按默认值

13、,来宾跟用户组的成员有同等访问权,但来宾账户的限制更多。Backup Operators 备份操作员为了备份或还原文件可以替代安全限 制Replicator 支持域中的文件复制。,Users组(了解),不允许破坏操作系统的完整性和所安装的应用程序。不能修改机器级的注册设置、操作系统文件或程序文件。不能装可以被其他用户运行的应用程序。不能访问其他用户的私有数据。,Power Users组(了解),创建本地用户和组修改其创建的用户和组创建和删除非管理员文件共享。创建、管理、删除和共享本地打印机。修改系统时间。停止或启动非自动启动的服务。允许安装无需修改系统服务的应用程序。,本地组管理工具,RunA

14、s服务(辅助登录服务),RunAs服务使得管理员可以使用标准的用户账户登录,并在必要的时候可以调用具有更高权限的管理员控制台来执行管理任务。在管理工具(Administrative Tool)应用组件上右击,然后从弹出的 菜单中选择运行为.在Dos命令符中输入runas。,域组,域组作用域,通用组(Universal Group)成员可来自森林中的任何域可访问任何域中的资源存储在全局编录GC中全局组(Global Group)成员仅可来自本地域可访问任何域中的资源存储在创建它的域中,只能在这个域中复制出现在GC中,但它的成员不出现。域本地组(Domain Local Group)成员可来自森林中的任何域仅可访问本地域内的资源其中可包含通用组和全局组存储在创建它的域中,只能在这个域中复制,不会出现在GC中。,在单域中使用组的规则,创建和配置域中的组,END,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号