windows系統(tǒng)安全5(訪問控制)

1、 第五章：訪問控制第五章：訪問控制內(nèi)容內(nèi)容l1 1 訪問控制概述訪問控制概述l2 2 訪問控制機制訪問控制機制l3 3 用戶和組基礎用戶和組基礎l4 4 內(nèi)置本地組內(nèi)置本地組l默認組成員默認組成員l默認的訪問控制設置默認的訪問控制設置1 訪問控制概述訪問控制概述l訪問控制的目的：訪問控制的目的： 限制訪問主體（用戶、進程、服務等）對限制訪問主體（用戶、進程、服務等）對訪問客體（文件、系統(tǒng)等）的訪問權限，訪問客體（文件、系統(tǒng)等）的訪問權限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用。從而使計算機系統(tǒng)在合法范圍內(nèi)使用。l描述一個保護系統(tǒng)的最簡單框架模型是使描述一個保護系統(tǒng)的最簡單框架模型是使用訪問控制矩陣模

2、型，這個模型將所有用用訪問控制矩陣模型，這個模型將所有用戶對于文件的權限存儲在矩陣中。戶對于文件的權限存儲在矩陣中。訪問控制矩陣模型訪問控制矩陣模型l客體集客體集O O是所有被保護實體的集合（所有于是所有被保護實體的集合（所有于系統(tǒng)保護狀態(tài)相關的實體）。系統(tǒng)保護狀態(tài)相關的實體）。l主體集主體集S S是所有活動對象的集合，如進程和是所有活動對象的集合，如進程和用戶。用戶。l所有的權限的類型用集合所有的權限的類型用集合R R來表示。來表示。l在訪問控制矩陣模型中，客體集在訪問控制矩陣模型中，客體集O O和主體集和主體集S S之間的關系用帶有權限的矩陣之間的關系用帶有權限的矩陣A A來描述，來描述，

3、A A中的任意元素中的任意元素a s , o a s , o 滿足滿足s s S, oS, o O O, a , a s , o s , o R R。元素。元素a s , o a s , o 代表的意義是主代表的意義是主體體s s對于客體對于客體o o具有權限具有權限a s , o a s , o 。 安全策略安全策略l安全策略是一種聲明，它將系統(tǒng)的狀態(tài)分成兩個集合：安全策略是一種聲明，它將系統(tǒng)的狀態(tài)分成兩個集合：已授權的，即安全的狀態(tài)集合；未授權的，即不安全已授權的，即安全的狀態(tài)集合；未授權的，即不安全的狀態(tài)集合。任何訪問控制策略最終均可被模型化為的狀態(tài)集合。任何訪問控制策略最終均可被模型化

4、為訪問矩陣形式。訪問矩陣形式。目標目標x讀、修改、管理讀、修改、管理讀、修改、管理讀、修改、管理目標目標y目標目標z用戶用戶a用戶用戶b用戶用戶c用戶用戶d讀讀讀讀讀、修改、管理讀、修改、管理讀、修改讀、修改讀、修改讀、修改 目標目標用戶用戶 訪問矩陣實例訪問矩陣實例l矩陣中的許多元素常常為空。在實現(xiàn)自主矩陣中的許多元素常常為空。在實現(xiàn)自主訪問控制機制時，常常是基于訪問控制機制時，常常是基于1 矩陣的行來表達訪問控制信息。矩陣的行來表達訪問控制信息。2 矩陣的列來表達訪問控制信息矩陣的列來表達訪問控制信息基于訪問控制列表基于訪問控制列表基于保護位基于保護位l訪問控制矩陣的行訪問控制矩陣的行 f

5、ile1file1file2file2file3file3AndyAndyrxrxr rrworwoBettyBettyrwxorwxor rCharlieCharlierxrxrworwow wC-Lists:C-Lists:lAndy: (file1, rx) (file2, r) (file3, rwoAndy: (file1, rx) (file2, r) (file3, rwo) ) lBetty: (file1, rwxoBetty: (file1, rwxo) (file2, r) ) (file2, r) lCharlie: (file1, rx) (file2, rwoCha

6、rlie: (file1, rx) (file2, rwo) (file3, w) ) (file3, w) 訪問控制列表（訪問控制列表（ACL）l訪問控制矩陣的列訪問控制矩陣的列l(wèi) file1file1file2file2file3file3lAndyAndyrxrxr rrworwolBettyBettyrwxorwxor rlCharlieCharlierxrxrworwow wlACLsACLs: :file1: (Andy, rx) (Betty, rwxo) (Charlie, rx) file2: (Andy, r) (Betty, r) (Charlie, rwo) file3

7、: (Andy, rwo) (Charlie, w) 保護位保護位l如果主體很多，可以在訪問控制列表中使用組如果主體很多，可以在訪問控制列表中使用組ACLs 很長，所以合并用戶很長，所以合并用戶 UNIX: 三級用戶三級用戶: owner, group, restrwx rwx rwxrestgroupowner訪問控制策略類型訪問控制策略類型l強制訪問控制（強制訪問控制（Mandatory access controlMandatory access control）系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制，用戶不能改變他們的安全級系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制，用戶不能改變他們的安全級別或?qū)?/p>

8、象的安全屬性。這種訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全別或?qū)ο蟮陌踩珜傩浴＿@種訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標簽，訪問控制機制通過比較安全標簽來確定授予還是拒等級劃分標簽，訪問控制機制通過比較安全標簽來確定授予還是拒絕用戶對資源的訪問。強制訪問控制進行了很強的等級劃分，所以經(jīng)絕用戶對資源的訪問。強制訪問控制進行了很強的等級劃分，所以經(jīng)常用于軍事用途。常用于軍事用途。l自主訪問控制自主訪問控制（Discretionary access controlDiscretionary access control）自主訪問控制機制允許對象的屬主來制定針對該對象的保護策略。通自主訪問控制機制

9、允許對象的屬主來制定針對該對象的保護策略。通常常DAC通過授權列表（或訪問控制列表）來限定哪些主體針對哪些客通過授權列表（或訪問控制列表）來限定哪些主體針對哪些客體可以執(zhí)行什么操作。如此將可以非常靈活地對策略進行調(diào)整。由于體可以執(zhí)行什么操作。如此將可以非常靈活地對策略進行調(diào)整。由于其易用性與可擴展性，自主訪問控制機制經(jīng)常被用于商業(yè)系統(tǒng)。其易用性與可擴展性，自主訪問控制機制經(jīng)常被用于商業(yè)系統(tǒng)。主流操作系統(tǒng)主流操作系統(tǒng)(Windows Server, UNIX(Windows Server, UNIX系統(tǒng)系統(tǒng)) )，防火墻（，防火墻（ACLsACLs）等都是基于自主訪問控制機制來實現(xiàn)訪問控制。等都

10、是基于自主訪問控制機制來實現(xiàn)訪問控制。l基于角色的訪問控制（基于角色的訪問控制（Role based access control Role based access control ）l基于任務的訪問控制（基于任務的訪問控制（Task based access controlTask based access control）l使用訪問控制使用訪問控制用戶角色操作客體許可2 Windows安全模型安全模型l安全主體的訪問令牌安全主體的訪問令牌 客體的安全描述客體的安全描述用戶登錄時，系統(tǒng)為其創(chuàng)建訪問令牌用戶登錄時，系統(tǒng)為其創(chuàng)建訪問令牌用戶啟動程序時，線程獲取令牌的拷貝用戶啟動程序時，線程獲取

11、令牌的拷貝程序請求訪問客體時，提交令牌。程序請求訪問客體時，提交令牌。系統(tǒng)使用該令牌與客體的安全描述進行比較來執(zhí)行訪問系統(tǒng)使用該令牌與客體的安全描述進行比較來執(zhí)行訪問檢查和控制檢查和控制l2.1 2.1 保護客體對象保護客體對象 安全描述符安全描述符Windows 2000可保護的對象列表可保護的對象列表文件和文件夾文件和文件夾網(wǎng)絡共享網(wǎng)絡共享打印機打印機管道管道進程和線程進程和線程服務服務每一個安全性對象都有一個安全性描述符與之相連每一個安全性對象都有一個安全性描述符與之相連2.1 保護客體對象保護客體對象l一個安全描述符包含以下信息一個安全描述符包含以下信息對象所有者的對象所有者的SID基

12、本所有組的基本所有組的SID自定義的訪問控制列表（自定義的訪問控制列表（DACL:discretionary access control list）系統(tǒng)訪問控制列表（系統(tǒng)訪問控制列表（SACL:system access control list）DACLDACL（discretionary access-control listdiscretionary access-control list）: :用來做訪問用來做訪問控制，決定用戶是否有相關權限控制，決定用戶是否有相關權限SACL (security access-control list):SACL (security access-

13、control list):用于審計的列表用于審計的列表2.1 保護客體對象保護客體對象客體的客體的 安全描述安全描述l當在授權用戶安全環(huán)境中執(zhí)行的線程創(chuàng)建對象當在授權用戶安全環(huán)境中執(zhí)行的線程創(chuàng)建對象時，安全描述中就會被填入訪問控制信息。時，安全描述中就會被填入訪問控制信息。l訪問控制信息的來源：訪問控制信息的來源：執(zhí)行線程（主體線程）直接把訪問控制信息分配給對象。執(zhí)行線程（主體線程）直接把訪問控制信息分配給對象。系統(tǒng)從父對象中檢查可繼承的訪問控制信息，并將其分配系統(tǒng)從父對象中檢查可繼承的訪問控制信息，并將其分配給對象。給對象。（如果有沖突，下級的優(yōu)先權更高）（如果有沖突，下級的優(yōu)先權更高）系

14、統(tǒng)使用對象管理器所提供的默認訪問控制信息，并將其系統(tǒng)使用對象管理器所提供的默認訪問控制信息，并將其分配給對象。分配給對象。（如果前兩種權限不存在，就用這項，可能（如果前兩種權限不存在，就用這項，可能性不大）性不大）2.1 保護客體對象保護客體對象l訪問控制列表（訪問控制列表（ACLACL） 是訪問控制項是訪問控制項(ACE)(ACE)的有序列表的有序列表2.1 保護客體對象保護客體對象l“ “空空DACL”DACL”和和”無無DACL”DACL”空空DACLDACL在列表中沒有任何在列表中沒有任何ACEACE的存在，因此也就不允許任何的存在，因此也就不允許任何用戶進行訪問。用戶進行訪問。無無D

15、ACLDACL指的是對于該對象沒有任何保護，發(fā)出請求的任何用指的是對于該對象沒有任何保護，發(fā)出請求的任何用戶都被允許訪問該對象。戶都被允許訪問該對象。訪問控制項訪問控制項(ACE)(ACE)的結(jié)構的結(jié)構lACEACE大小大小分配的內(nèi)存字節(jié)數(shù)分配的內(nèi)存字節(jié)數(shù)lACEACE類型類型允許、禁止或監(jiān)視訪問允許、禁止或監(jiān)視訪問l繼承和審計標志繼承和審計標志l訪問屏蔽碼訪問屏蔽碼32位，每一位對應著該對象的訪問權限，可設置為打位，每一位對應著該對象的訪問權限，可設置為打開或關閉。開或關閉。lSIDSID標識標識訪問控制項在列表中的順序訪問控制項在列表中的順序l直接直接ACEACE在繼承在繼承ACEACE之

16、前之前l(fā)從第一層（父對象）繼承下從第一層（父對象）繼承下來的來的ACEACE在在ACLACL的最前面。的最前面。l拒絕拒絕ACEACE在允許在允許ACEACE之前之前2.2 標識主體：安全標識符標識主體：安全標識符Windows 使用安全標識符使用安全標識符（SID）來唯一標示安全主）來唯一標示安全主體和安全組體和安全組SID在主體賬戶和安全組創(chuàng)在主體賬戶和安全組創(chuàng)建時生成。建時生成。SID的創(chuàng)建者和作用范圍依的創(chuàng)建者和作用范圍依賴于賬戶類型賴于賬戶類型SID的一般格式的一般格式2.2 標識主體標識主體l訪問令牌訪問令牌 當用戶登錄系統(tǒng)時，當用戶登錄系統(tǒng)時，LSA就會從登錄進程中獲得該用就會從

17、登錄進程中獲得該用戶和所屬組的戶和所屬組的SID,并用這些并用這些SID為用戶創(chuàng)建令牌。為用戶創(chuàng)建令牌。此后代表該用戶工作的每個進程和線程都將獲得一份該此后代表該用戶工作的每個進程和線程都將獲得一份該訪問令牌的拷貝訪問令牌的拷貝安全訪問令牌的內(nèi)容安全訪問令牌的內(nèi)容lUser :User :用戶賬號的用戶賬號的SIDSIDlGroups:Groups:用戶所屬組的一列用戶所屬組的一列SIDSIDlOwners:Owners:持有的持有的 用戶或安全組的用戶或安全組的SIDSIDlPrimary Group :Primary Group :用戶主要安全組的用戶主要安全組的SIDSIDlDefaul

18、t DACL Default DACL ：當主體創(chuàng)建一個客體時的默認訪問當主體創(chuàng)建一個客體時的默認訪問控制列表控制列表lPrivileges:Privileges:用戶在本地計算機上所具有的特權列表用戶在本地計算機上所具有的特權列表lSource:Source:即導致訪問令牌被創(chuàng)建的進程即導致訪問令牌被創(chuàng)建的進程lType:Type:主令牌還是主令牌還是模擬令牌模擬令牌l模擬級別：模擬級別：指示服務對該訪問令牌所代表的客戶的指示服務對該訪問令牌所代表的客戶的安全上下文的接受程度安全上下文的接受程度l統(tǒng)計信息統(tǒng)計信息l限制限制SIDSIDl會話會話IDID2.3 模擬（模擬（Impersonat

19、ion）l線程能夠在與擁有它的進程的上下文不同的安線程能夠在與擁有它的進程的上下文不同的安全上下文里執(zhí)行，這種能力稱為模擬。全上下文里執(zhí)行，這種能力稱為模擬。l模擬能力是為了適應客戶模擬能力是為了適應客戶/ /服務器應用的安全服務器應用的安全需求而設計的。需求而設計的。正常情況下，服務進程在自己的安全上下文內(nèi)運行，其中正常情況下，服務進程在自己的安全上下文內(nèi)運行，其中的線程使用服務自己安全環(huán)境相關聯(lián)的的線程使用服務自己安全環(huán)境相關聯(lián)的主訪問令牌主訪問令牌?？蛻粽埱蠓諘r，服務進程創(chuàng)建執(zhí)行線程來完成任務。該客戶請求服務時，服務進程創(chuàng)建執(zhí)行線程來完成任務。該線程使用客戶安全環(huán)境相關聯(lián)的線程使用客戶

20、安全環(huán)境相關聯(lián)的模擬令牌模擬令牌。任務完成之后，線程丟棄模擬令牌并重新使用服務的主訪任務完成之后，線程丟棄模擬令牌并重新使用服務的主訪問令牌。問令牌。l模擬級別模擬級別當客戶連接到服務器并請求模擬時，還可以選擇一個模擬級別當客戶連接到服務器并請求模擬時，還可以選擇一個模擬級別（Impersonation level）,有如下四種級別有如下四種級別Anonymous(匿名匿名) 服務可模擬客戶，但模擬令牌不含有客戶的任何信息服務可模擬客戶，但模擬令牌不含有客戶的任何信息Identify(標識標識) 允許服務獲得客戶的身份供自己使用，但不允許服務模擬該用戶允許服務獲得客戶的身份供自己使用，但不允許

21、服務模擬該用戶Impersonation(模擬模擬) 允許服務器在允許服務器在訪問服務器計算機上的資源訪問服務器計算機上的資源時，可模擬客戶來訪問資源時，可模擬客戶來訪問資源Delegate(委派委派) 允許服務在訪問服允許服務在訪問服 務器計算機和其他計算機上的資源時，都可模擬客戶。務器計算機和其他計算機上的資源時，都可模擬客戶。3 用戶和組用戶和組l用戶用戶l組組n創(chuàng)建于創(chuàng)建于DC，對整個網(wǎng)絡起作用，對整個網(wǎng)絡起作用n創(chuàng)建于本機，只對本機起作用創(chuàng)建于本機，只對本機起作用3.1 用戶帳號回顧用戶帳號回顧l本地賬戶創(chuàng)建本地賬戶創(chuàng)建創(chuàng)建和設置域用戶帳號創(chuàng)建和設置域用戶帳號nAdministrat

22、or Guest System 等等安全組安全組用于授權用于授權：可用來分配訪問資源的可用來分配訪問資源的權限和執(zhí)行任務的權利。權限和執(zhí)行任務的權利。安全組也可擁有分布組的所有功能。安全組也可擁有分布組的所有功能。分布組分布組不能用于授權，不能用于授權，當組的唯一功能當組的唯一功能與安全性（如同時向一組用戶發(fā)與安全性（如同時向一組用戶發(fā)送電子郵件）不相關時，可以是送電子郵件）不相關時，可以是用分布組用分布組3.2 組的類型和范圍組的類型和范圍2 域組域組l創(chuàng)建于創(chuàng)建于DCDCl存于存于 Active DirectoryActive Directoryl控制對域資源的訪問控制對域資源的訪問Dom

23、ain Controller組的范圍組的范圍1 本地組本地組n創(chuàng)建于非創(chuàng)建于非DC計算機計算機n保存于保存于SAM中中n控制對本機資源的訪問控制對本機資源的訪問Client ComputerMember Server3.2.1 本地組本地組l本地組是本地計算機上的用戶賬戶集合本地組是本地計算機上的用戶賬戶集合本地組不同于具有域本地作用域的活動目錄組本地組不同于具有域本地作用域的活動目錄組本地組權限只提供對本地組所在計算機上資源的訪問本地組權限只提供對本地組所在計算機上資源的訪問可在運行可在運行windows2000的非域控制器的計算機上使用的非域控制器的計算機上使用本地組，不能在域控制器上創(chuàng)建

24、本地組。本地組，不能在域控制器上創(chuàng)建本地組。內(nèi)置本地組內(nèi)置本地組Administrators 管理員對計算機管理員對計算機/域有不受限制的完全訪問權域有不受限制的完全訪問權Power Users 權限高的用戶擁有最高的管理權限，但有限制。權限高的用戶擁有最高的管理權限，但有限制。 因因 此，權限高的用戶可以運行經(jīng)過證明的文此，權限高的用戶可以運行經(jīng)過證明的文 件，也可以運行繼承應用程序。件，也可以運行繼承應用程序。Users 用戶無法進行有意或無意的改動。因此，用戶可用戶無法進行有意或無意的改動。因此，用戶可 以運行經(jīng)過證明的文件，但不能運行大多數(shù)繼承以運行經(jīng)過證明的文件，但不能運行大多數(shù)繼承

25、 應用程序。應用程序。Guests 按默認值，來賓跟用戶組的成員有同等訪問權，按默認值，來賓跟用戶組的成員有同等訪問權， 但來賓賬戶的限制更多。但來賓賬戶的限制更多。Backup Operators 備份操作員為了備份或還原文件可以替代安全限備份操作員為了備份或還原文件可以替代安全限 制制Replicator 支持域中的文件復制。支持域中的文件復制。本地組管理工具本地組管理工具Administrators組組l安裝操作系統(tǒng)和組件安裝操作系統(tǒng)和組件 （包括硬件驅(qū)動程序，系統(tǒng)服務及其他）（包括硬件驅(qū)動程序，系統(tǒng)服務及其他）l安裝安裝Service PackService Pack和和HotfixH

26、otfix修補程序。修補程序。l安裝安裝Windows Update.Windows Update.l升級和修復操作系統(tǒng)升級和修復操作系統(tǒng)l配置機器范圍內(nèi)的重要的操作系統(tǒng)參數(shù)配置機器范圍內(nèi)的重要的操作系統(tǒng)參數(shù) （如密碼策（如密碼策略、訪問控制、審核策略、內(nèi)核模式驅(qū)動程序配置等）略、訪問控制、審核策略、內(nèi)核模式驅(qū)動程序配置等）l獲取已經(jīng)不能訪問的文件的所有權獲取已經(jīng)不能訪問的文件的所有權l(xiāng)管理安全措施和審核日志管理安全措施和審核日志l備份和還原系統(tǒng)備份和還原系統(tǒng)RunAs服務服務(輔助登錄服務輔助登錄服務)lRunAsRunAs服務使得管理員可以使用標準的用戶賬戶服務使得管理員可以使用標準的用戶

27、賬戶登錄，并在必要的時候可以調(diào)用具有更高權限的登錄，并在必要的時候可以調(diào)用具有更高權限的管理員控制臺來執(zhí)行管理任務。管理員控制臺來執(zhí)行管理任務。 在管理工具（在管理工具（Administrative Tool）應用組件上右擊，然）應用組件上右擊，然后從彈出的后從彈出的 菜單中選擇菜單中選擇運行為運行為. 在在Dos命令符中輸入命令符中輸入runas 。Users組組l不允許破壞操作系統(tǒng)的完整性和所安裝的應不允許破壞操作系統(tǒng)的完整性和所安裝的應用程序。用程序。l不能修改機器級的注冊設置、操作系統(tǒng)文件不能修改機器級的注冊設置、操作系統(tǒng)文件或程序文件。或程序文件。l不能裝可以被其他用戶運行的應用程序

28、。不能裝可以被其他用戶運行的應用程序。l不能訪問其他用戶的私有數(shù)據(jù)。不能訪問其他用戶的私有數(shù)據(jù)。Power Users組組l創(chuàng)建本地用戶和組創(chuàng)建本地用戶和組l修改其創(chuàng)建的用戶和組修改其創(chuàng)建的用戶和組l創(chuàng)建和刪除創(chuàng)建和刪除非管理員文件共享非管理員文件共享。l創(chuàng)建、管理、刪除和共享本地打印機。創(chuàng)建、管理、刪除和共享本地打印機。l修改系統(tǒng)時間。修改系統(tǒng)時間。l停止或啟動停止或啟動非自動啟動非自動啟動的服務。的服務。l允許安裝無需修改系統(tǒng)服務的應用程序。允許安裝無需修改系統(tǒng)服務的應用程序。本地組的權限指派：本地組的權限指派：范圍范圍全局組全局組用于組織域用戶用于組織域用戶域本地組域本地組用于分配權限用

29、于分配權限通用組通用組用于組織多域用戶用于組織多域用戶3.2.2 域組域組域組作用域域組作用域l域本地組域本地組(Domain Local Group)(Domain Local Group) 在管理域資源時，我們一般會把權限指派給本地域組。而不會在管理域資源時，我們一般會把權限指派給本地域組。而不會直接指派給用戶賬戶。直接指派給用戶賬戶。l本地域組可包含的成員本地域組可包含的成員同一個域中的其他本地域組同一個域中的其他本地域組森林中的任何域的用戶成員森林中的任何域的用戶成員整個森林的全局組和通用組整個森林的全局組和通用組l特點特點僅管理本地域內(nèi)的資源僅管理本地域內(nèi)的資源存儲在創(chuàng)建它的域中，只能在這個域中復制，不會出現(xiàn)在存儲在創(chuàng)建它的域中，只能在這個域中復制，不會出現(xiàn)在GCGC中。中。l全局組全局組(Global Group)(Global Group)在實際