windows系统安全5(访问控制)解析

第五章：访问控制,内容,1访问控制概述2访问控制机制3用户和组基础4内置本地组默认组成员默认的访问控制设置,1访问控制概述,访问控制的目的：限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用。,描述一个保护系统的最简单框架模型是使用访问控制矩阵模型，这个模型将所有用户对于文件的权限存储在矩阵中。,访问控制矩阵模型,客体集O是所有被保护实体的集合（所有于系统保护状态相关的实体）。主体集S是所有活动对象的集合，如进程和用户。所有的权限的类型用集合R来表示。在访问控制矩阵模型中，客体集O和主体集S之间的关系用带有权限的矩阵A来描述，A中的任意元素as,o满足sS,oO,as,oR。元素as,o代表的意义是主体s对于客体o具有权限as,o。,安全策略,安全策略是一种声明，它将系统的状态分成两个集合：已授权的，即安全的状态集合；未授权的，即不安全的状态集合。任何访问控制策略最终均可被模型化为访问矩阵形式。,目标x,读、修改、管理,读、修改、管理,目标y,目标z,用户a,用户b,用户c,用户d,读,读,读、修改、管理,读、修改,读、修改,目标用户,访问矩阵实例,矩阵中的许多元素常常为空。在实现自主访问控制机制时，常常是基于1矩阵的行来表达访问控制信息。2矩阵的列来表达访问控制信息基于访问控制列表基于保护位,访问控制矩阵的行file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowC-Lists:Andy:(file1,rx)(file2,r)(file3,rwo)Betty:(file1,rwxo)(file2,r)Charlie:(file1,rx)(file2,rwo)(file3,w),访问控制列表（ACL）,访问控制矩阵的列file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowACLs:file1:(Andy,rx)(Betty,rwxo)(Charlie,rx)file2:(Andy,r)(Betty,r)(Charlie,rwo)file3:(Andy,rwo)(Charlie,w),保护位,如果主体很多，可以在访问控制列表中使用组,ACLs很长，所以合并用户UNIX:三级用户:owner,group,restrwxrwxrwxrestgroupowner,访问控制策略类型,强制访问控制（Mandatoryaccesscontrol）系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事用途。自主访问控制（Discretionaryaccesscontrol）自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业系统。主流操作系统(WindowsServer,UNIX系统)，防火墙（ACLs）等都是基于自主访问控制机制来实现访问控制。基于角色的访问控制（Rolebasedaccesscontrol）基于任务的访问控制（Taskbasedaccesscontrol）使用访问控制,2Windows安全模型,安全主体的访问令牌客体的安全描述用户登录时，系统为其创建访问令牌用户启动程序时，线程获取令牌的拷贝程序请求访问客体时，提交令牌。系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制,2.1保护客体对象安全描述符Windows2000可保护的对象列表文件和文件夹网络共享打印机管道进程和线程服务每一个安全性对象都有一个安全性描述符与之相连,2.1保护客体对象,一个安全描述符包含以下信息对象所有者的SID基本所有组的SID自定义的访问控制列表（DACL:discretionaryaccesscontrollist）系统访问控制列表（SACL:systemaccesscontrollist）,DACL（discretionaryaccess-controllist）:用来做访问控制，决定用户是否有相关权限SACL(securityaccess-controllist):用于审计的列表,2.1保护客体对象,客体的安全描述当在授权用户安全环境中执行的线程创建对象时，安全描述中就会被填入访问控制信息。访问控制信息的来源：执行线程（主体线程）直接把访问控制信息分配给对象。系统从父对象中检查可继承的访问控制信息，并将其分配给对象。（如果有冲突，下级的优先权更高）系统使用对象管理器所提供的默认访问控制信息，并将其分配给对象。（如果前两种权限不存在，就用这项，可能性不大）,2.1保护客体对象,访问控制列表（ACL）是访问控制项(ACE)的有序列表,2.1保护客体对象,“空DACL”和”无DACL”空DACL在列表中没有任何ACE的存在，因此也就不允许任何用户进行访问。无DACL指的是对于该对象没有任何保护，发出请求的任何用户都被允许访问该对象。,访问控制项(ACE)的结构,ACE大小分配的内存字节数ACE类型允许、禁止或监视访问继承和审计标志访问屏蔽码32位，每一位对应着该对象的访问权限，可设置为打开或关闭。SID标识,访问控制项在列表中的顺序,直接ACE在继承ACE之前从第一层（父对象）继承下来的ACE在ACL的最前面。拒绝ACE在允许ACE之前,2.2标识主体：安全标识符,Windows使用安全标识符（SID）来唯一标示安全主体和安全组SID在主体账户和安全组创建时生成。SID的创建者和作用范围依赖于账户类型,SID的一般格式,2.2标识主体,访问令牌当用户登录系统时，LSA就会从登录进程中获得该用户和所属组的SID,并用这些SID为用户创建令牌。此后代表该用户工作的每个进程和线程都将获得一份该访问令牌的拷贝,安全访问令牌的内容,User:用户账号的SIDGroups:用户所属组的一列SIDOwners:持有的用户或安全组的SIDPrimaryGroup:用户主要安全组的SIDDefaultDACL：当主体创建一个客体时的默认访问控制列表Privileges:用户在本地计算机上所具有的特权列表Source:即导致访问令牌被创建的进程Type:主令牌还是模拟令牌模拟级别：指示服务对该访问令牌所代表的客户的安全上下文的接受程度统计信息限制SID会话ID,2.3模拟（Impersonation）,线程能够在与拥有它的进程的上下文不同的安全上下文里执行，这种能力称为模拟。模拟能力是为了适应客户/服务器应用的安全需求而设计的。正常情况下，服务进程在自己的安全上下文内运行，其中的线程使用服务自己安全环境相关联的主访问令牌。客户请求服务时，服务进程创建执行线程来完成任务。该线程使用客户安全环境相关联的模拟令牌。任务完成之后，线程丢弃模拟令牌并重新使用服务的主访问令牌。,模拟级别当客户连接到服务器并请求模拟时，还可以选择一个模拟级别（Impersonationlevel）,有如下四种级别Anonymous(匿名)服务可模拟客户，但模拟令牌不含有客户的任何信息Identify(标识)允许服务获得客户的身份供自己使用，但不允许服务模拟该用户Impersonation(模拟)允许服务器在访问服务器计算机上的资源时，可模拟客户来访问资源Delegate(委派)允许服务在访问服务器计算机和其他计算机上的资源时，都可模拟客户。,3用户和组,用户组,3.1用户帐号回顾,本地账户创建,创建和设置域用户帐号,组的类型,安全组,用于授权：可用来分配访问资源的权限和执行任务的权利。安全组也可拥有分布组的所有功能。,分布组,不能用于授权，当组的唯一功能与安全性（如同时向一组用户发送电子邮件）不相关时，可以是用分布组,3.2组的类型和范围,2域组,创建于DC存于ActiveDirectory控制对域资源的访问,DomainController,组的范围,1本地组,创建于非DC计算机保存于SAM中控制对本机资源的访问,3.2.1本地组,本地组是本地计算机上的用户账户集合本地组不同于具有域本地作用域的活动目录组本地组权限只提供对本地组所在计算机上资源的访问可在运行windows2000的非域控制器的计算机上使用本地组，不能在域控制器上创建本地组。,内置本地组,Administrators管理员对计算机/域有不受限制的完全访问权PowerUsers权限高的用户拥有最高的管理权限，但有限制。因此，权限高的用户可以运行经过证明的文件，也可以运行继承应用程序。Users用户无法进行有意或无意的改动。因此，用户可以运行经过证明的文件，但不能运行大多数继承应用程序。Guests按默认值，来宾跟用户组的成员有同等访问权，但来宾账户的限制更多。BackupOperators备份操作员为了备份或还原文件可以替代安全限制Replicator支持域中的文件复制。,本地组管理工具,Administrators组,安装操作系统和组件（包括硬件驱动程序，系统服务及其他）安装ServicePack和Hotfix修补程序。安装WindowsUpdate.升级和修复操作系统配置机器范围内的重要的操作系统参数（如密码策略、访问控制、审核策略、内核模式驱动程序配置等）获取已经不能访问的文件的所有权管理安全措施和审核日志备份和还原系统,RunAs服务(辅助登录服务),RunAs服务使得管理员可以使用标准的用户账户登录，并在必要的时候可以调用具有更高权限的管理员控制台来执行管理任务。在管理工具（AdministrativeTool）应用组件上右击，然后从弹出的菜单中选择运行为.在Dos命令符中输入runas。,Users组,不允许破坏操作系统的完整性和所安装的应用程序。不能修改机器级的注册设置、操作系统文件或程序文件。不能装可以被其他用户运行的应用程序。不能访问其他用户的私有数据。,PowerUsers组,创建本地用户和组修改其创建的用户和组创建和删除非管理员文件共享。创建、管理、删除和共享本地打印机。修改系统时间。停止或启动非自动启动的服务。允许安装无需修改系统服务的应用程序。,本地组的权限指派：,3.2.2域组,域组作用域,域本地组(DomainLocalGroup)在管理域资源时，我们一般会把权限指派给本地域组。而不会直接指派给用户账户。本地域组可包含的成员同一个域中的其他本地域组森林中的任何域的用户成员整个森林的全局组和通用组特点仅管理本地域内的资源存储在创建它的域中，只能在这个域中复制，不会出现在GC中。,全局组(GlobalGroup)在实际应用中一般会把隶属同一部门的用户组织成全局组，然后再将全局组加入本地域组中。总之，全局组是用来组织某个域的用户账户的，让这些账户一次获得相同的权限。全局组成员同一个域的用户同一个域的其他全局组特点其用户成员可访问任何域中的资源存储在创建它的域中，只能在这个域中复制出现在GC中，但它的成员不出现。,在单域中使用组的规则,会计部门全局组,会计部门员工,通用组(UniversalGroup)通用组和全局组一样，可指派森林中的任何