windows系统安全访问控制

第五章 访问控制 内容 1访问控制概述2访问控制机制3用户和组基础4内置本地组默认组成员默认的访问控制设置 1访问控制概述 访问控制的目的 限制访问主体 用户 进程 服务等 对访问客体 文件 系统等 的访问权限 从而使计算机系统在合法范围内使用 描述一个保护系统的最简单框架模型是使用访问控制矩阵模型 这个模型将所有用户对于文件的权限存储在矩阵中 访问控制矩阵模型 客体集O是所有被保护实体的集合 所有于系统保护状态相关的实体 主体集S是所有活动对象的集合 如进程和用户 所有的权限的类型用集合R来表示 在访问控制矩阵模型中 客体集O和主体集S之间的关系用带有权限的矩阵A来描述 A中的任意元素a s o 满足s S o O a s o R 元素a s o 代表的意义是主体s对于客体o具有权限a s o 安全策略 安全策略是一种声明 它将系统的状态分成两个集合 已授权的 即安全的状态集合 未授权的 即不安全的状态集合 任何访问控制策略最终均可被模型化为访问矩阵形式 目标x 读 修改 管理 读 修改 管理 目标y 目标z 用户a 用户b 用户c 用户d 读 读 读 修改 管理 读 修改 读 修改 目标用户 访问矩阵实例 矩阵中的许多元素常常为空 在实现自主访问控制机制时 常常是基于1矩阵的行来表达访问控制信息 2矩阵的列来表达访问控制信息基于访问控制列表基于保护位 访问控制矩阵的行file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowC Lists Andy file1 rx file2 r file3 rwo Betty file1 rwxo file2 r Charlie file1 rx file2 rwo file3 w 访问控制列表 ACL 访问控制矩阵的列file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowACLs file1 Andy rx Betty rwxo Charlie rx file2 Andy r Betty r Charlie rwo file3 Andy rwo Charlie w 保护位 如果主体很多 可以在访问控制列表中使用组 ACLs很长 所以合并用户UNIX 三级用户 owner group restrwxrwxrwxrestgroupowner 访问控制策略类型 强制访问控制 Mandatoryaccesscontrol 系统独立于用户行为强制执行访问控制 用户不能改变他们的安全级别或对象的安全属性 这种访问控制规则通常对数据和用户按照安全等级划分标签 访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问 强制访问控制进行了很强的等级划分 所以经常用于军事用途 自主访问控制 Discretionaryaccesscontrol 自主访问控制机制允许对象的属主来制定针对该对象的保护策略 通常DAC通过授权列表 或访问控制列表 来限定哪些主体针对哪些客体可以执行什么操作 如此将可以非常灵活地对策略进行调整 由于其易用性与可扩展性 自主访问控制机制经常被用于商业系统 主流操作系统 WindowsServer UNIX系统 防火墙 ACLs 等都是基于自主访问控制机制来实现访问控制 基于角色的访问控制 Rolebasedaccesscontrol 基于任务的访问控制 Taskbasedaccesscontrol 使用访问控制 2Windows安全模型 安全主体的访问令牌 客体的安全描述用户登录时 系统为其创建访问令牌用户启动程序时 线程获取令牌的拷贝程序请求访问客体时 提交令牌 系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制 2 1保护客体对象 安全描述符Windows2000可保护的对象列表文件和文件夹网络共享打印机管道进程和线程服务每一个安全性对象都有一个安全性描述符与之相连 2 1保护客体对象 一个安全描述符包含以下信息对象所有者的SID基本所有组的SID自定义的访问控制列表 DACL discretionaryaccesscontrollist 系统访问控制列表 SACL systemaccesscontrollist DACL discretionaryaccess controllist 用来做访问控制 决定用户是否有相关权限SACL securityaccess controllist 用于审计的列表 2 1保护客体对象 客体的安全描述当在授权用户安全环境中执行的线程创建对象时 安全描述中就会被填入访问控制信息 访问控制信息的来源 执行线程 主体线程 直接把访问控制信息分配给对象 系统从父对象中检查可继承的访问控制信息 并将其分配给对象 如果有冲突 下级的优先权更高 系统使用对象管理器所提供的默认访问控制信息 并将其分配给对象 如果前两种权限不存在 就用这项 可能性不大 2 1保护客体对象 访问控制列表 ACL 是访问控制项 ACE 的有序列表 2 1保护客体对象 空DACL 和 无DACL 空DACL在列表中没有任何ACE的存在 因此也就不允许任何用户进行访问 无DACL指的是对于该对象没有任何保护 发出请求的任何用户都被允许访问该对象 访问控制项 ACE 的结构 ACE大小分配的内存字节数ACE类型允许 禁止或监视访问继承和审计标志访问屏蔽码32位 每一位对应着该对象的访问权限 可设置为打开或关闭 SID标识 访问控制项在列表中的顺序 直接ACE在继承ACE之前从第一层 父对象 继承下来的ACE在ACL的最前面 拒绝ACE在允许ACE之前 2 2标识主体 安全标识符 Windows使用安全标识符 SID 来唯一标示安全主体和安全组SID在主体账户和安全组创建时生成 SID的创建者和作用范围依赖于账户类型 SID的一般格式 2 2标识主体 访问令牌当用户登录系统时 LSA就会从登录进程中获得该用户和所属组的SID 并用这些SID为用户创建令牌 此后代表该用户工作的每个进程和线程都将获得一份该访问令牌的拷贝 安全访问令牌的内容 User 用户账号的SIDGroups 用户所属组的一列SIDOwners 持有的用户或安全组的SIDPrimaryGroup 用户主要安全组的SIDDefaultDACL 当主体创建一个客体时的默认访问控制列表Privileges 用户在本地计算机上所具有的特权列表Source 即导致访问令牌被创建的进程Type 主令牌还是模拟令牌模拟级别 指示服务对该访问令牌所代表的客户的安全上下文的接受程度统计信息限制SID会话ID 2 3模拟 Impersonation 线程能够在与拥有它的进程的上下文不同的安全上下文里执行 这种能力称为模拟 模拟能力是为了适应客户 服务器应用的安全需求而设计的 正常情况下 服务进程在自己的安全上下文内运行 其中的线程使用服务自己安全环境相关联的主访问令牌 客户请求服务时 服务进程创建执行线程来完成任务 该线程使用客户安全环境相关联的模拟令牌 任务完成之后 线程丢弃模拟令牌并重新使用服务的主访问令牌 模拟级别当客户连接到服务器并请求模拟时 还可以选择一个模拟级别 Impersonationlevel 有如下四种级别Anonymous 匿名 服务可模拟客户 但模拟令牌不含有客户的任何信息Identify 标识 允许服务获得客户的身份供自己使用 但不允许服务模拟该用户Impersonation 模拟 允许服务器在访问服务器计算机上的资源时 可模拟客户来访问资源Delegate 委派 允许服务在访问服务器计算机和其他计算机上的资源时 都可模拟客户 3用户和组 用户组 3 1用户帐号回顾 本地账户创建 创建和设置域用户帐号 组的类型 安全组 用于授权 可用来分配访问资源的权限和执行任务的权利 安全组也可拥有分布组的所有功能 分布组 不能用于授权 当组的唯一功能与安全性 如同时向一组用户发送电子邮件 不相关时 可以是用分布组 3 2组的类型和范围 2域组 创建于DC存于ActiveDirectory控制对域资源的访问 DomainController 组的范围 1本地组 创建于非DC计算机保存于SAM中控制对本机资源的访问 3 2 1本地组 本地组是本地计算机上的用户账户集合本地组不同于具有域本地作用域的活动目录组本地组权限只提供对本地组所在计算机上资源的访问可在运行windows2000的非域控制器的计算机上使用本地组 不能在域控制器上创建本地组 内置本地组 Administrators管理员对计算机 域有不受限制的完全访问权PowerUsers权限高的用户拥有最高的管理权限 但有限制 因此 权限高的用户可以运行经过证明的文件 也可以运行继承应用程序 Users用户无法进行有意或无意的改动 因此 用户可以运行经过证明的文件 但不能运行大多数继承应用程序 Guests按默认值 来宾跟用户组的成员有同等访问权 但来宾账户的限制更多 BackupOperators备份操作员为了备份或还原文件可以替代安全限制Replicator支持域中的文件复制 本地组管理工具 Administrators组 安装操作系统和组件 包括硬件驱动程序 系统服务及其他 安装ServicePack和Hotfix修补程序 安装WindowsUpdate 升级和修复操作系统配置机器范围内的重要的操作系统参数 如密码策略 访问控制 审核策略 内核模式驱动程序配置等 获取已经不能访问的文件的所有权管理安全措施和审核日志备份和还原系统 RunAs服务 辅助登录服务 RunAs服务使得管理员可以使用标准的用户账户登录 并在必要的时候可以调用具有更高权限的管理员控制台来执行管理任务 在管理工具 AdministrativeTool 应用组件上右击 然后从弹出的菜单中选择 运行为 在Dos命令符中输入 runas Users组 不允许破坏操作系统的完整性和所安装的应用程序 不能修改机器级的注册设置 操作系统文件或程序文件 不能装可以被其他用户运行的应用程序 不能访问其他用户的私有数据 PowerUsers组 创建本地用户和组修改其创建的用户和组创建和删除非管理员文件共享 创建 管理 删除和共享本地打印机 修改系统时间 停止或启动非自动启动的服务 允许安装无需修改系统服务的应用程序 本地组的权限指派 3 2 2域组 域组作用域 域本地组 DomainLocalGroup 在管理域资源时 我们一般会把权限指派给本地域组 而不会直接指派给用户账户 本地域组可包含的成员同一个域中的其他本地域组森林中的任何域的用户成员整个森林的全局组和通用组特点仅管理本地域内的资源存储在创建它的域中 只能在这个域中复制 不会出现在GC中 全局组 GlobalGroup 在实际应用中一般会把隶属同一部门的用户组织成全局组 然后再将全局组加入本地域组中 总之 全局组是用来组织某个域的用户账户的 让这些账户一次获得相同的权限 全局组成员同一个域的用户同一个域的其他全局组特点其用户成员可访问任何域中的资源存储在创建它的域中 只能在这个域中复制出现在GC中 但它的成员不出现 在单域中使用组的规则 会计部门全局组 会计部门员工 通用组 UniversalGroup 通用组和全局组一样 可指派森林中的