操作系統(tǒng)安全-第3章-windows系統(tǒng)安全要素

第三章Windows系統(tǒng)安全要素Windows系統(tǒng)安全要素目的要求1.掌握Windows系統(tǒng)各種安全要素的概念，內(nèi)涵和原理。2.掌握各種安全要素的管理操作及使用方法。3.1Windows系統(tǒng)安全模型影響Windows系統(tǒng)安全的要素有很多：安全模型，文件系統(tǒng)，域和工作組，注冊(cè)表，進(jìn)程和線程等等，其中Windows系統(tǒng)安全模型是核心。Windows系統(tǒng)安全模型Windows系統(tǒng)的安全性根植于Windows系統(tǒng)的核心（Kernel）層，它為各層次提供一致的安全模型。Windows系統(tǒng)安全模型是Windows系統(tǒng)中密不可分的子系統(tǒng)，控制著Windows系統(tǒng)中對(duì)象的訪問(wèn)（如文件、內(nèi)存、打印機(jī)等）。在Windows系統(tǒng)中，對(duì)象實(shí)質(zhì)上是指一系列信息集合體，封裝了數(shù)據(jù)及處理過(guò)程，使之成為一個(gè)可被廣泛引用的整體。當(dāng)對(duì)象用于網(wǎng)絡(luò)環(huán)境時(shí)，稱之為資源；當(dāng)對(duì)象在網(wǎng)絡(luò)中共享時(shí)，稱之為共享資源。Windows安全模型基于安全對(duì)象。操作系統(tǒng)的每個(gè)組件都必須確保其負(fù)責(zé)的對(duì)象的安全性。Windows安全模型主要基于每個(gè)對(duì)象的權(quán)限，以及少量的系統(tǒng)級(jí)特權(quán)。安全對(duì)象包括（但不限于）進(jìn)程、線程、事件和其它同步對(duì)象，以及文件、目錄和設(shè)備。對(duì)于每種類型的對(duì)象，一般的讀、寫和執(zhí)行權(quán)限都映射到詳細(xì)的對(duì)象特定權(quán)限中。例如，對(duì)于文件和目錄，可能的權(quán)限包括讀或?qū)懳募蚰夸浀臋?quán)限、讀或?qū)憯U(kuò)展的文件屬性的權(quán)限、遍歷目錄的權(quán)限，以及寫對(duì)象的安全描述符的權(quán)限。3.1.1Windows系統(tǒng)安全模型組件安全標(biāo)識(shí)符（SID，SecurityIdentifiers）:安全標(biāo)識(shí)符標(biāo)識(shí)一個(gè)用戶、組或登錄會(huì)話。安全標(biāo)識(shí)符就是一串特殊的字符串，代表著某一安全主體，在OS內(nèi)部使用。當(dāng)授予用戶、組、服務(wù)或者是其他安全主體訪問(wèn)對(duì)象權(quán)限時(shí)，操作系統(tǒng)會(huì)把安全標(biāo)識(shí)符和權(quán)限寫入對(duì)象的訪問(wèn)控制列表每個(gè)用戶都有一個(gè)唯一的SID，在登錄時(shí)由操作系統(tǒng)檢索。當(dāng)你重新安裝系統(tǒng)后，也會(huì)得到一個(gè)唯一的SID。SID由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定，以保證它的唯一性。訪問(wèn)令牌（AccessToken）用戶通過(guò)驗(yàn)證后，登錄進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌，該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證，當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，將訪問(wèn)令牌提供給Windows系統(tǒng)，然后系統(tǒng)檢查用戶試圖訪問(wèn)對(duì)象上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象，系統(tǒng)將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。訪問(wèn)令牌是用戶在通過(guò)驗(yàn)證的時(shí)候由登錄進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問(wèn)令牌。訪問(wèn)令牌（AccessToken）每個(gè)進(jìn)程都有一個(gè)訪問(wèn)令牌，訪問(wèn)令牌描述進(jìn)程的完整的安全上下文。它包含用戶的SID、用戶所屬組的SID、登錄會(huì)話的SID，以及授予用戶的系統(tǒng)級(jí)特權(quán)列表。默認(rèn)情況下，當(dāng)進(jìn)程的線程與安全對(duì)象交互時(shí)，系統(tǒng)使用進(jìn)程的主訪問(wèn)令牌。但是，一個(gè)線程可以模擬一個(gè)客戶端帳戶。當(dāng)一個(gè)線程模擬客戶端帳戶時(shí)，它除了擁有自己的主令牌之外還有一個(gè)模擬令牌。模擬令牌描述線程正在模擬的用戶帳戶的安全上下文。模擬在遠(yuǎn)程過(guò)程調(diào)用（RemoteProcedureCall，RPC）

處理中尤其常見(jiàn)。訪問(wèn)令牌（AccessToken）描述線程或進(jìn)程的受限制的安全上下文的訪問(wèn)令牌被稱為受限令牌。受限令牌中的SID只能設(shè)置為拒絕訪問(wèn)安全對(duì)象，而不能設(shè)置為允許訪問(wèn)安全對(duì)象。此外，令牌可以描述一組有限的系統(tǒng)級(jí)特權(quán)。用戶的SID和標(biāo)識(shí)保持不變，但是在進(jìn)程使用受限令牌時(shí)，用戶的訪問(wèn)權(quán)限是有限的。CreateRestrictedToken函數(shù)創(chuàng)建一個(gè)受限令牌。訪問(wèn)令牌（AccessToken）受限令牌對(duì)于運(yùn)行不可信代碼（例如電子郵件附件）很有用。當(dāng)您右鍵單擊可執(zhí)行文件，選擇“運(yùn)行方式”并選擇“保護(hù)我的計(jì)算機(jī)和數(shù)據(jù)不受未授權(quán)程序的活動(dòng)影響”時(shí)，MicrosoftWindowsXP就會(huì)使用受限令牌。安全描述符（SecurityDescriptors）每個(gè)命名的Windows對(duì)象都有一個(gè)安全描述符，一些未命名的對(duì)象也有。它保存對(duì)象的安全配置。安全描述符描述對(duì)象的所有者和組SID，以及對(duì)象的ACL。對(duì)象的安全描述符通常由創(chuàng)建該對(duì)象的函數(shù)創(chuàng)建。譬如當(dāng)驅(qū)動(dòng)程序調(diào)用IoCreateDevice或IoCreateDeviceSecure例程來(lái)創(chuàng)建設(shè)備對(duì)象時(shí)，系統(tǒng)將一個(gè)安全描述符應(yīng)用于創(chuàng)建的設(shè)備對(duì)象并為對(duì)象設(shè)置ACL。訪問(wèn)控制列表（AccessControlLists）

訪問(wèn)控制列表（ACL）

允許細(xì)粒度地控制對(duì)對(duì)象的訪問(wèn)。ACL是每個(gè)對(duì)象的安全描述符的一部分。每個(gè)ACL包含零個(gè)或多個(gè)訪問(wèn)控制條目（ACE）。而每個(gè)ACE僅包含一個(gè)SID，用來(lái)標(biāo)識(shí)用戶、組或計(jì)算機(jī)以及該SID拒絕或允許的權(quán)限列表。訪問(wèn)控制列表有兩種：任意訪問(wèn)控制列表（DiscretionaryACL）、系統(tǒng)訪問(wèn)控制列表（SystemACL）。任意訪問(wèn)控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限：允許或拒絕。每一個(gè)用戶或組在任意訪問(wèn)控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問(wèn)控制列表是為審核服務(wù)的，包含了對(duì)象被訪問(wèn)的時(shí)間。訪問(wèn)控制項(xiàng)（AccessControlEntries）訪問(wèn)控制項(xiàng)（ACE）包含了用戶或組的SID以及對(duì)象的權(quán)限。訪問(wèn)控制項(xiàng)有兩種：允許訪問(wèn)和拒絕訪問(wèn)。拒絕訪問(wèn)的級(jí)別高于允許訪問(wèn)。3.1.2Windows系統(tǒng)安全模型構(gòu)成Windows的安全系統(tǒng)提供了對(duì)事件的審核及詳細(xì)的跟蹤手段來(lái)監(jiān)控網(wǎng)絡(luò)上資源的訪問(wèn)和應(yīng)用。Windows系統(tǒng)安全模型由登錄流程（LogonProcess，LP）、本地安全認(rèn)證（LocalSecurityAuthority，LSA）、安全賬號(hào)管理器（SecurityAccountManager，SAM）和安全引用監(jiān)視器（SecurityReferenceMonitor，SRM）組合而成。1．登錄流程登錄流程接受本地用戶的本地登錄請(qǐng)求或者遠(yuǎn)程用戶的遠(yuǎn)程登錄請(qǐng)求，使用戶和系統(tǒng)之間建立聯(lián)系。如圖所示。登錄開(kāi)始，Windows系統(tǒng)的Winlogon進(jìn)程會(huì)顯示一個(gè)安全性交互對(duì)話框，要求用戶輸入用戶名、口令和用戶希望登錄的服務(wù)器／域。如果用戶信息有效，系統(tǒng)將開(kāi)始確認(rèn)用戶身份。Windows系統(tǒng)把用戶信息通過(guò)安全系統(tǒng)傳輸?shù)桨踩~號(hào)管理器，并對(duì)用戶身份進(jìn)行確認(rèn)。

安全賬號(hào)管理器把用戶登錄信息與服務(wù)器里的安全賬號(hào)管理數(shù)據(jù)進(jìn)行比較，如果兩者匹配，服務(wù)器將通知工作站允許用戶進(jìn)行訪問(wèn)。Winlogon進(jìn)程將調(diào)用Win32子系統(tǒng)為用戶產(chǎn)生一個(gè)新的進(jìn)程，同時(shí)服務(wù)器還將記錄用戶的一些信息，如用戶享用的特權(quán)、主目錄所在位置及工作站參數(shù)等。然后本地安全認(rèn)證開(kāi)始構(gòu)造訪問(wèn)令牌（AccessToken），與用戶進(jìn)行的所有操作相連接。用戶進(jìn)行的操作與訪問(wèn)令牌一起構(gòu)成一個(gè)主體（Subject）。當(dāng)用戶要求訪問(wèn)一個(gè)對(duì)象時(shí)，主體的訪問(wèn)令牌的內(nèi)容將與對(duì)象的存取控制列表通過(guò)一個(gè)有效性訪問(wèn)程序進(jìn)行比較，這個(gè)程序?qū)Q定允許或拒絕用戶發(fā)出的訪問(wèn)要求。2．本地安全認(rèn)證（LSA）本地安全認(rèn)證是Windows系統(tǒng)的核心，它通過(guò)確認(rèn)安全賬號(hào)管理器中的數(shù)據(jù)信息來(lái)處理用戶從本地或遠(yuǎn)程的登錄。本地安全認(rèn)證（LSA）負(fù)責(zé)本地和網(wǎng)絡(luò)登錄的用戶認(rèn)證，和域控制器通信，或者和本地安全賬號(hào)管理器（SAM）比較。LSA首先確定是否要在本地進(jìn)行認(rèn)證；或提交的憑證是否應(yīng)和域控制器比較進(jìn)行確認(rèn)。如果認(rèn)證屬于本地系統(tǒng)，LSA把憑證和SAM數(shù)據(jù)庫(kù)相比較；否則LSA把認(rèn)證請(qǐng)求傳送到域控制器以核實(shí)證書。認(rèn)證成功后，本地安全機(jī)構(gòu)產(chǎn)生和提交與用戶憑證關(guān)聯(lián)的安全標(biāo)識(shí)符清單，并把這些標(biāo)識(shí)符合并到用戶的安全令牌中。令牌發(fā)出后，大多數(shù)訪問(wèn)控制決策直接發(fā)生在用戶進(jìn)程和安全引用監(jiān)視器之間。除了認(rèn)證工作外，LSA還負(fù)責(zé)把安全引用監(jiān)視器（SRM）產(chǎn)生的安全事件記入事件日志中。本地安全認(rèn)證是一個(gè)被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)調(diào)用所有的認(rèn)證包，檢查在注冊(cè)表下的值，并調(diào)用該DLL進(jìn)行認(rèn)證。重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建用戶的訪問(wèn)令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)。儲(chǔ)存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。

3．安全賬號(hào)管理器（SAM）安全賬號(hào)管理器維護(hù)賬號(hào)的安全性管理數(shù)據(jù)庫(kù)，即SAM數(shù)據(jù)庫(kù)，又稱目錄數(shù)據(jù)庫(kù)（DirectoryDatabase）。該數(shù)據(jù)庫(kù)包含所有用戶和組的賬號(hào)信息，其中包含安全標(biāo)識(shí)（Securityldentifier，SID）。安全標(biāo)識(shí)在賬號(hào)新建時(shí)被創(chuàng)建，直到賬號(hào)被刪除。一旦用戶賬號(hào)被刪除，就不能被重建，因?yàn)樵鹊馁~號(hào)不再存在了。用相同的名字新建的賬號(hào)將被賦予不同的安全標(biāo)識(shí)，不會(huì)保留原有的權(quán)限。安全賬號(hào)管理器提供本地安全認(rèn)證使用的用戶有效身份服務(wù)，使用安全賬號(hào)管理器數(shù)據(jù)庫(kù)來(lái)審計(jì)用戶登錄時(shí)輸人的信息，并給用戶返回一個(gè)安全標(biāo)識(shí)及用戶所屬組的安全標(biāo)識(shí)。當(dāng)用戶登錄入網(wǎng)時(shí)，本地安全認(rèn)證將創(chuàng)建一個(gè)訪問(wèn)令牌，該訪問(wèn)令牌包含用戶名、用戶所屬的組及安全標(biāo)識(shí)等信息，用戶所有的程序?qū)碛性L問(wèn)令牌的拷貝。當(dāng)用戶要求訪問(wèn)一個(gè)對(duì)象時(shí)，系統(tǒng)將把訪問(wèn)令牌中的安全標(biāo)識(shí)與對(duì)象的訪問(wèn)控制列表（AccessControlList，ACL）進(jìn)行對(duì)比，以確認(rèn)用戶是否具有對(duì)對(duì)象的訪問(wèn)權(quán)限。根據(jù)網(wǎng)絡(luò)的配置，在一個(gè)或多個(gè)Windows系統(tǒng)中可能存在不同的安全賬號(hào)管理數(shù)據(jù)庫(kù)。在登錄時(shí)存取的安全賬號(hào)管理數(shù)據(jù)庫(kù)取決于用戶是以工作站上的用戶賬號(hào)登錄，還是以網(wǎng)絡(luò)賬號(hào)登錄。當(dāng)一個(gè)用戶在每一臺(tái)工作站上都有獨(dú)立賬號(hào)時(shí)，登錄時(shí)存取的安全賬號(hào)管理數(shù)據(jù)庫(kù)就位于用戶登錄的工作站上。在一個(gè)有集中存放的用戶賬號(hào)的網(wǎng)絡(luò)設(shè)置（如單域模式）中，在域控制器上有一個(gè)集中的安全賬號(hào)管理數(shù)據(jù)庫(kù)。如果以工作站上的賬號(hào)登錄，存取在工作站上的安全賬號(hào)管理數(shù)據(jù)庫(kù)；如果以域上的賬號(hào)登錄，則存取在域控制器上的安全賬號(hào)管理數(shù)據(jù)庫(kù)。在另一種有集中存放用戶賬號(hào)的網(wǎng)絡(luò)設(shè)置（如主控域的網(wǎng)絡(luò)設(shè)置）中，在主域控制器（MasterDomainController）上有一個(gè)被同時(shí)復(fù)制到該域的所有備份域控制器（BackupDomainController）上的安全賬號(hào)管理數(shù)據(jù)庫(kù)。如果以工作站上的用戶賬號(hào)登錄，訪問(wèn)工作站上的安全賬號(hào)管理數(shù)據(jù)庫(kù)；如果以域上的用戶賬號(hào)登錄，那么訪問(wèn)在主域控制器或備份域控制器上的安全賬號(hào)管理數(shù)據(jù)庫(kù)。備份域控制器分擔(dān)主域控制器上用戶請(qǐng)求的有效性確認(rèn)工作。4．安全引用監(jiān)視器（SRM）安全引用監(jiān)視器是Windows系統(tǒng)的一個(gè)組成部分，它以內(nèi)核模式（KernelMode）運(yùn)行，負(fù)責(zé)檢查Windows系統(tǒng)的存取合法性，以保護(hù)資源，使其免受非法存取和修改。安全引用監(jiān)視器為對(duì)象的有效訪問(wèn)提供服務(wù)并為用戶提供訪問(wèn)權(quán)限，同時(shí)還能夠阻止非授權(quán)用戶訪問(wèn)對(duì)象。為了確保所有類型對(duì)象都得到保護(hù)，安全引用監(jiān)視器在系統(tǒng)中只維護(hù)一個(gè)有效性的復(fù)制訪問(wèn)代碼。用戶在要求訪問(wèn)對(duì)象時(shí)，必須通過(guò)安全引用監(jiān)視器的有效驗(yàn)證，而不能直接訪問(wèn)對(duì)象。安全引用監(jiān)視器還負(fù)責(zé)實(shí)施審計(jì)生成策略，它在驗(yàn)證對(duì)象的存取和合法性和檢查主體權(quán)限的同時(shí)，生成必要的審計(jì)信息。安全引用監(jiān)視器對(duì)用戶是透明的，它是系統(tǒng)維護(hù)合法性檢驗(yàn)的唯一組件，并能保護(hù)所有的對(duì)象。安全引用監(jiān)視器還產(chǎn)生由本地安全權(quán)威記載的日志信息。3.1.3WindowsVista的安全模型WindowsVista為用戶帳戶引進(jìn)了一種新的安全模型。

此模型也在Windows7和WindowsServer2008中使用，提供了一種更安全可信的環(huán)境。與WindowsXP相似，新的安全模型包括標(biāo)準(zhǔn)用戶帳戶和管理員帳戶。新的安全模型不會(huì)在所有時(shí)間都授予管理特權(quán)。甚至當(dāng)管理員執(zhí)行不需要更高特權(quán)的非管理任務(wù)時(shí)，也是在標(biāo)準(zhǔn)特權(quán)下運(yùn)行。這樣做更加安全，因?yàn)橛脩舨辉偈褂每赡鼙粣阂饫玫牟槐匾奶貦?quán)來(lái)運(yùn)行。此功能稱為“用戶訪問(wèn)控制”，或簡(jiǎn)稱為UAC。默認(rèn)情況下，操作系統(tǒng)以“管理員批準(zhǔn)模式”運(yùn)行。在管理員批準(zhǔn)模式下，無(wú)論您是作為標(biāo)準(zhǔn)用戶還是管理員運(yùn)行，每當(dāng)您嘗試執(zhí)行需要管理員特權(quán)的操作時(shí)，都會(huì)出現(xiàn)UAC對(duì)話框。如果您是作為標(biāo)準(zhǔn)用戶運(yùn)行，則UAC對(duì)話框會(huì)提示您輸入繼續(xù)運(yùn)行所需的管理員帳戶名和密碼。如果是作為管理員運(yùn)行，UAC對(duì)話框會(huì)要求您確認(rèn)您想要使用當(dāng)前管理員憑據(jù)來(lái)執(zhí)行過(guò)程。該對(duì)話框還提供了一個(gè)輸入新管理員帳戶名和密碼來(lái)繼續(xù)執(zhí)行操作的選項(xiàng)。3.2.1對(duì)象對(duì)象（Objects）是Windows系統(tǒng)安全環(huán)境中基本的操作單元。Windows系統(tǒng)的各種資源以對(duì)象的形式來(lái)組織。對(duì)象包括文件、目錄、存儲(chǔ)器、驅(qū)動(dòng)器、系統(tǒng)程序、進(jìn)程、線程及Windows桌面等。但實(shí)際上這些所謂的“對(duì)象”在系統(tǒng)的對(duì)象管理器（ObjectManager）看來(lái)只是完整對(duì)象的一個(gè)部分——對(duì)象實(shí)體（ObjectBody）。對(duì)象為Windows系統(tǒng)提供了較高的安全級(jí)。從外部來(lái)看，它們把數(shù)據(jù)隱藏起來(lái)并只按對(duì)象的功能所定義的方式提供信息，建立起一個(gè)保護(hù)層，可以有效地防止外部程序?qū)W(wǎng)絡(luò)數(shù)據(jù)的直接訪問(wèn)。Windows系統(tǒng)正是通過(guò)阻止程序直接訪問(wèn)對(duì)象來(lái)獲得較高的安全級(jí)的，所有對(duì)對(duì)象的操作都必須事先得到授權(quán)并由Windows系統(tǒng)來(lái)執(zhí)行在Windows系統(tǒng)中，可以用安全描述器（SecurityDescriptor）或訪問(wèn)令牌來(lái)設(shè)定對(duì)象的屬性，從而使對(duì)象得到保護(hù)。對(duì)象有兩種類型：復(fù)合對(duì)象和原子對(duì)象。復(fù)合對(duì)象：包含其它對(duì)象作為其組成成分的對(duì)象，復(fù)合對(duì)象更增強(qiáng)了抽象數(shù)據(jù)類型的能力；原子對(duì)象：則不能容納別的對(duì)象。例如，目錄是復(fù)合對(duì)象，而文件則是原子對(duì)象。在父對(duì)象中生成的子對(duì)象可以擁有父對(duì)象所擁有的許可權(quán)限。3.2.2共享資源共享資源：是指提供出來(lái)以便通過(guò)網(wǎng)絡(luò)進(jìn)行應(yīng)用的任何對(duì)象。最常用的共享資源包括：文件、目錄和打印機(jī)等，Windows系統(tǒng)也會(huì)建立一些特殊的共享對(duì)象。對(duì)象的所有者：建立共享對(duì)象的用戶或進(jìn)程。共享共享資源的所有者能夠進(jìn)一步?jīng)Q定共享對(duì)象的權(quán)限。當(dāng)用戶需要共享某一個(gè)對(duì)象時(shí)，用戶必須為共享資源選擇一個(gè)唯一的名字，然后賦予其他的用戶和組以不同的訪問(wèn)權(quán)限。在該系列過(guò)程設(shè)定以后，通常Windows系統(tǒng)會(huì)為共享資源創(chuàng)建安全描述符（SecurityDescriptor），安全描述符包含一組安全屬性，以確保共享資源阻止非授權(quán)訪問(wèn)。安全描述符組成部分：所有者安全標(biāo)識(shí)：用以指明對(duì)象的屬主組安全標(biāo)識(shí)自由訪問(wèn)控制列表：由共享對(duì)象的所有者所控制，它反映了用戶或組對(duì)象擁有訪問(wèn)權(quán)限系統(tǒng)訪問(wèn)控制列表：由系統(tǒng)安全管理員所控制，定義了操作系統(tǒng)將產(chǎn)生何種類型的審計(jì)信息共享資源的訪問(wèn)權(quán)限共有以下幾種。完全控制（FullControl）：用戶可以讀取、修改、添加新文件，修改目錄及修改該文件的許可權(quán)。用戶還可擁有該目錄及其文件的所有權(quán)。拒絕訪問(wèn)（NoAccess）：用戶被拒絕訪問(wèn)。讀?。≧ead）：用戶可以讀取文件，但不能修改現(xiàn)有文件的內(nèi)容。更改（Change）：用戶可以讀取文件，將文件添加給目錄，并可以修改現(xiàn)有文件的內(nèi)容。3.3.1FAT文件系統(tǒng)1．FAT16文件系統(tǒng)FAT16文件系統(tǒng)是最早用于小型磁盤和簡(jiǎn)單文件結(jié)構(gòu)的簡(jiǎn)單文件系統(tǒng)。FAT16文件系統(tǒng)得名于它的組織方法：采用FAT16文件系統(tǒng)格式化的卷以簇的形式進(jìn)行分配。默認(rèn)簇的大小由卷的大小決定。對(duì)于FAT16文件系統(tǒng)，簇?cái)?shù)目必須可以用16位的二進(jìn)制數(shù)字表示（最多有65536個(gè)），并且是2的乘方。FAT16文件系統(tǒng)最好用在較小的卷上，因?yàn)樵诓豢紤]簇大小的情況下，使用FAT16文件系統(tǒng)，卷不能大于2GB。較之FATl6，F(xiàn)AT32最大的優(yōu)勢(shì)是它支持分區(qū)的能力遠(yuǎn)遠(yuǎn)大于FATl6。FATl6最大只能支持4GB，而FAT32卻可達(dá)到2047GB（其中4GB用于分區(qū)容量的擴(kuò)充），但在Windows2000中的FAT32最大只能使用32GB。FAT32比FAT16支持更小的簇和更大的卷，這就使得FAT32卷的空間分配更有效率。3.3.2NTFS

NTFS（NewTechnologyFileSystem）是一個(gè)日志系統(tǒng)，這意味著除了向磁盤中寫入信息，該文件系統(tǒng)還會(huì)為所發(fā)生的所有改變保留一份日志。這一功能讓NTFS文件系統(tǒng)在發(fā)生錯(cuò)誤的時(shí)候（比如系統(tǒng)崩潰或電源供應(yīng)中斷）更容易恢復(fù)，也讓這一系統(tǒng)更加強(qiáng)壯。在這些情況下，NTFS能夠很快恢復(fù)正常，而且不會(huì)丟失任何數(shù)據(jù)。

NTFS特點(diǎn)：NTFS可以支持的分區(qū)大小可以達(dá)到2TB。NTFS是一個(gè)可恢復(fù)的文件系統(tǒng)。發(fā)生系統(tǒng)失敗事件時(shí)，NTFS使用日志文件和檢查點(diǎn)信息自動(dòng)恢復(fù)文件系統(tǒng)的一致性。NTFS支持對(duì)分區(qū)、文件夾和文件的壓縮。NTFS采用了更小的簇,可以更有效率地管理磁盤空間。在NTFS分區(qū)上，可以為共享資源、文件夾以及文件設(shè)置訪問(wèn)許可權(quán)限。NTFS主文件列表（MasterFileTable，MFT）中包含了一個(gè)NTFS分區(qū)中所有文件的記錄。每個(gè)MFT入口都有一個(gè)特殊的metadata標(biāo)簽，叫做SD（securitydescriptor，安全描述符），這個(gè)標(biāo)簽中包含了誰(shuí)可以訪問(wèn)這個(gè)文件或文件夾的所有控制信息。每個(gè)SD標(biāo)簽都包含了一個(gè)用戶列表（ACL訪問(wèn)控制列表），只有包含在這個(gè)列表里的用戶才被允許訪問(wèn)該對(duì)象。NTFS是一個(gè)元數(shù)據(jù)驅(qū)動(dòng)的系統(tǒng)。事實(shí)上，當(dāng)你第一次創(chuàng)建NTFS分區(qū)的時(shí)候，很多元數(shù)據(jù)文件就被創(chuàng)建了，每個(gè)元數(shù)據(jù)文件都幫助跟蹤文件系統(tǒng)中某個(gè)特定的對(duì)象。每個(gè)NTFS分區(qū)都會(huì)有一個(gè)MFT，這個(gè)關(guān)聯(lián)文件被命名為$MFT。事實(shí)上，NTFS創(chuàng)建了兩個(gè)MFT文件。第一個(gè)是$MFT，被存放在NTFS分區(qū)的開(kāi)頭。為了增強(qiáng)可靠性，NTFS分區(qū)還有一個(gè)名為$MFTMirr的MTF文件。在WindowsNT4.0及其后的版本中，這個(gè)文件都被存放在NTFS分區(qū)的末尾。在WindowsNT3.51及以前的版本中，這個(gè)MFT鏡像文件被存放在分區(qū)的中間。NTFS系統(tǒng)優(yōu)點(diǎn)：更安全的文件保障，提供文件加密，能夠大大提高信息的安全性。更好的磁盤壓縮功能。支持最大達(dá)2TB的大硬盤，并且隨著磁盤容量的增大，NTFS的性能不像FAT那樣隨之降低?？梢再x予單個(gè)文件和文件夾權(quán)限。對(duì)同一個(gè)文件或者文件夾為不同用戶可以指定不同的權(quán)限。在NTFS文件系統(tǒng)中，可以為單個(gè)用戶設(shè)置權(quán)限。NTFS文件系統(tǒng)中設(shè)計(jì)的恢復(fù)能力無(wú)需用戶在NTFS卷中運(yùn)行磁盤修復(fù)程序。在系統(tǒng)崩潰事件中，NTFS文件系統(tǒng)使用日志文件和復(fù)查點(diǎn)信息自動(dòng)恢復(fù)文件系統(tǒng)的一致性。NTFS文件夾的B-Tree結(jié)構(gòu)使得用戶在訪問(wèn)較大文件夾中的文件時(shí)，速度甚至比訪問(wèn)卷中較小的文件夾中的文件還快?？梢栽贜TFS卷中壓縮單個(gè)文件和文件夾。NTFS系統(tǒng)的壓縮機(jī)制可以讓用戶直接讀寫壓縮文件，而不需要使用解壓軟件將這些文件展開(kāi)。支持活動(dòng)目錄和域。此特性可以幫助用戶方便靈活地查看和控制網(wǎng)絡(luò)資源。支持稀疏文件。稀疏文件是應(yīng)用程序生成的一種特殊文件，文件尺寸非常大，但實(shí)際上只需要很少的磁盤空間，也就是說(shuō)，NTFS只需要為這種文件實(shí)際寫入的數(shù)據(jù)分配磁盤存儲(chǔ)空間。支持磁盤配額。磁盤配額可以管理和控制每個(gè)用戶所能使用的最大磁盤空間。3.3.3其他常用文件系統(tǒng)1．CIFS通用Internet文件系統(tǒng)（CommonInternetFileSystem，CIFS）是計(jì)算機(jī)用戶在企業(yè)內(nèi)部網(wǎng)和因特網(wǎng)上共享文件的標(biāo)準(zhǔn)方法。CIFS作為一種協(xié)議為Internet網(wǎng)絡(luò)間文件、對(duì)象的共享操作提供了無(wú)縫聯(lián)結(jié)。CIFS是一種開(kāi)放、跨平臺(tái)的技術(shù)，它基于MicrosoftWindows和其他PC操作系統(tǒng)內(nèi)嵌的本地文件共享協(xié)議服務(wù)器消息塊（ServerMessageBlock，SMB），并進(jìn)行了增強(qiáng)，而且獲得了廣泛的平臺(tái)支持，包括UNIX，VMS和Macintosh。

CIFS關(guān)鍵特點(diǎn)：文件訪問(wèn)的完整性：支持一套通用的文件操作，打開(kāi)、關(guān)閉、讀、寫以及搜索。為慢速鏈接優(yōu)化：能夠在慢速比好線路上良好運(yùn)行。安全性：CIFS服務(wù)器既支持匿名傳輸，也支持對(duì)于特定文件的安全的、需要驗(yàn)證的訪問(wèn)。也易于管理文件和目錄的安全策略。高性能和可擴(kuò)展性：CIFS服務(wù)器和操作系統(tǒng)高度集成，為最大化系統(tǒng)性能而優(yōu)化。使用統(tǒng)一碼（Unicode）文件名：文件名可以使用任何字符集。全局文件名：用戶不必掛載遠(yuǎn)程文件系統(tǒng)也能直接查閱到全局有效名稱。2．EFSEFS（EncryptingFileSystem，加密文件系統(tǒng)）是NTFS5的一個(gè)新屬性，可為文件或目錄進(jìn)行加密。它提供了在磁盤上存儲(chǔ)NTFS文件的核心文件加密技術(shù)。EFS加密技術(shù)是基于公開(kāi)密鑰并以整體的系統(tǒng)服務(wù)形式運(yùn)行，加密和解密都是在文件操作過(guò)程中進(jìn)行的。任何不知曉密文的用戶，試圖去訪問(wèn)加密文件的行為都是徒勞的，系統(tǒng)將會(huì)產(chǎn)生“訪問(wèn)拒絕”的信息框來(lái)拒絕該用戶的訪問(wèn)。這樣就能使它易于管理而難于被攻擊，并且對(duì)文件所有者是透明的。EFS是WindowsXP/VISTA/7等所特有的一個(gè)實(shí)用功能，對(duì)于NTFS卷上的文件和數(shù)據(jù)，都可以直接被操作系統(tǒng)加密保存。如果硬盤上的文件已經(jīng)使用EFS進(jìn)行了加密，即使一個(gè)攻擊者能訪問(wèn)到硬盤上，由于沒(méi)有解密的密鑰，文件也是不可用的，在很大程度上提高了數(shù)據(jù)的安全性。EFS可以被認(rèn)為是除NTFS外的第二層防護(hù)，為訪問(wèn)一個(gè)被加密的文件，用戶必須有訪問(wèn)到文件的NTFS權(quán)限。有相關(guān)NTFS權(quán)限的用戶能看到文件夾中的文件，但不能打開(kāi)文件，除非有相應(yīng)的解密密鑰。一個(gè)用戶有相應(yīng)的密鑰但沒(méi)有相應(yīng)的NTFS權(quán)限也不能訪問(wèn)到文件。所以一個(gè)用戶要能打開(kāi)加密的文件，同時(shí)需要NTFS權(quán)限和解密密鑰。3.DFS分布式文件系統(tǒng)（DistributedFileSystem，DFS）是Windows2000以后版本中的一個(gè)功能強(qiáng)大的工具。利用分布式文件系統(tǒng)，系統(tǒng)管理員可以使用戶更加方便地訪問(wèn)和管理那些在物理上跨網(wǎng)絡(luò)分布的文件，而用戶則無(wú)需知道文件的確切物理位置。它允許從不同的物理系統(tǒng)創(chuàng)建一個(gè)單一邏輯目錄樹(shù)，使已有的數(shù)據(jù)更具合理化結(jié)構(gòu)，從而便于用戶訪問(wèn)網(wǎng)絡(luò)文件資源、加強(qiáng)容錯(cuò)能力和網(wǎng)絡(luò)負(fù)載均衡。用戶查找資源不用去登錄多個(gè)服務(wù)器，管理員也只要在單一地點(diǎn)就可以管理多個(gè)共享文件夾，使用非常方便。通過(guò)DFS可以有效地組織共享文件夾．并簡(jiǎn)化對(duì)共享文件夾的訪問(wèn)。只要用戶擁有對(duì)共享文件夾的訪問(wèn)權(quán)限，他就可以進(jìn)入DFS樹(shù)的子目錄，就像他正在原來(lái)的某個(gè)子目錄下，而且還可通過(guò)該網(wǎng)絡(luò)而進(jìn)入其他某個(gè)服務(wù)器的共享區(qū)中。這主要是因?yàn)镈FS為可能在網(wǎng)絡(luò)上任何位置的文件系統(tǒng)資源創(chuàng)建了一個(gè)有層次、有邏輯、可查詢的目錄樹(shù)，使用戶能從一個(gè)單一位置管理多個(gè)共享文件夾。作為一個(gè)訪問(wèn)點(diǎn)，用戶能簡(jiǎn)便地訪問(wèn)網(wǎng)絡(luò)資源而不用考慮資源的實(shí)際位置。因此在Windows2000中，通過(guò)DFS，網(wǎng)絡(luò)和文件系統(tǒng)結(jié)構(gòu)對(duì)用戶變得非常清晰，用戶能夠集中和優(yōu)化對(duì)以一個(gè)單一樹(shù)結(jié)構(gòu)為基礎(chǔ)的資源的訪問(wèn)。3.4域和工作組在Windows系統(tǒng)中，有兩種類型的網(wǎng)絡(luò)配置：域和工作組，它們分別適宜于不同的網(wǎng)絡(luò)和用戶規(guī)模。3.4.1域域在活動(dòng)目錄AD（ActiveDirectory）中定義安全邊界。它所代表的是一個(gè)廣義的局域網(wǎng)系統(tǒng)，因?yàn)樗梢詫⒁粋€(gè)計(jì)算機(jī)組擴(kuò)展到一定區(qū)域。域的定義是：由許多網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)與工作站計(jì)算機(jī)所連接而成的群組，這個(gè)群組內(nèi)的所有成員均使用相同的軟硬件系統(tǒng)設(shè)置、賬戶系統(tǒng)和其他共享資源。用戶不需要一臺(tái)一臺(tái)地登錄到域的某服務(wù)器計(jì)算機(jī)上，只要登錄該域，就可以共享該域的各項(xiàng)資源。域是共享公共安全策略和用戶賬戶數(shù)據(jù)庫(kù)的計(jì)算機(jī)集合。域?yàn)樵撚蛑兴械挠?jì)算機(jī)提供了一種公共的安全性邊界。如果用戶在登錄Windows域時(shí)輸入一個(gè)域名，那么用戶的帳戶必須在該域中。有關(guān)用戶帳戶的所有安全性信息都存儲(chǔ)在域中稱做域控制器的計(jì)算機(jī)上，而且用戶可以登錄到域中任何一臺(tái)計(jì)算機(jī)上。域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享出來(lái)資源。域是網(wǎng)絡(luò)服務(wù)器和其他計(jì)算機(jī)的邏輯分組。在域中用戶每次登錄的是整個(gè)網(wǎng)域，而不是登錄到網(wǎng)域中的某個(gè)服務(wù)器。安全數(shù)據(jù)庫(kù)中存儲(chǔ)域中所有的安全機(jī)制信息和用戶帳戶信息，并且也存儲(chǔ)在服務(wù)器中，并復(fù)制到備份的服務(wù)器，通過(guò)有規(guī)律的同步處理來(lái)保證數(shù)據(jù)庫(kù)的安全。用戶賬戶和安全策略可以看作一個(gè)公共的，集中式的數(shù)據(jù)庫(kù)。在Windows2003Server以前的網(wǎng)絡(luò)中，域數(shù)據(jù)庫(kù)是SAM數(shù)據(jù)庫(kù)。從Windows2003Server開(kāi)始，域數(shù)據(jù)庫(kù)變成了活動(dòng)目錄ActiveDirectory。

3.4.2域控制器一臺(tái)服務(wù)器之所以稱為域控制器，是因?yàn)樵谟蚩刂破魃洗娣胖虻乃行畔⒌挠驍?shù)據(jù)庫(kù)以數(shù)據(jù)庫(kù)為基礎(chǔ)對(duì)域進(jìn)行管理的組件稱為活動(dòng)目錄，（ActiveDirectory，AD），它是域的安全管理數(shù)據(jù)庫(kù)?；顒?dòng)目錄是高度伸縮的、分布式的、采用Internet標(biāo)準(zhǔn)技術(shù)建立并在操作系統(tǒng)級(jí)完全集成的企業(yè)級(jí)目錄服務(wù)。它為運(yùn)行在Windows上的應(yīng)用程序提供全面的目錄服務(wù)，同時(shí)它還被設(shè)計(jì)成一個(gè)統(tǒng)一的合并點(diǎn)，用于隔離、遷移和集中管理企業(yè)擁有的目錄并減少目錄的數(shù)目。這使得活動(dòng)目錄能在任何系統(tǒng)中正常工作，支持從只有幾百個(gè)對(duì)象、一臺(tái)服務(wù)器的小系統(tǒng)到擁有數(shù)百萬(wàn)個(gè)對(duì)象、上千臺(tái)服務(wù)器的龐大系統(tǒng)，使其成為企業(yè)信息共享和網(wǎng)絡(luò)資源通用管理的理想平臺(tái)。AD在作為域控制器的服務(wù)器上運(yùn)行。通過(guò)AD的操作界面，管理員可以對(duì)網(wǎng)絡(luò)實(shí)施有效的組織與管理。在域模型中有3種不同的服務(wù)器類型：主域控制器后備域控制器服務(wù)器在Windows2000域中，運(yùn)行Windows2000Server并安裝了AD（活動(dòng)目錄）的計(jì)算機(jī)就是一個(gè)域控制器。域控制器存儲(chǔ)目錄數(shù)據(jù)，管理用戶和域之間的交互（包括用戶登錄、驗(yàn)證和目錄搜索）。域控制器的多少可以根據(jù)網(wǎng)絡(luò)的規(guī)模決定，但是使用多個(gè)域控制器可以提高域的可用性和容錯(cuò)性。1．主域控制器（PDC，PrimaryDomainController）每個(gè)域都需要有一個(gè)主域控制器，并且只能有一個(gè)主域控制器，它是整個(gè)域的控制中心，它為域保存主賬戶數(shù)據(jù)庫(kù)和安全性政策，賬戶庫(kù)中的所有改動(dòng)都必須在主域控制器上進(jìn)行，同時(shí)它負(fù)責(zé)一個(gè)域中用戶的合法性檢驗(yàn)。2．后備域控制器（BDC，BackupDomainController）后備域控制器是用于保持PDC目錄數(shù)據(jù)庫(kù)副本的服務(wù)器，該BDC周期性地、自動(dòng)地與PDC保持同步。BDC也可以協(xié)助PDC對(duì)用戶登錄操作進(jìn)行身份驗(yàn)證，分擔(dān)PDC的工作，減輕網(wǎng)絡(luò)流量。同時(shí)，當(dāng)PDC關(guān)機(jī)或出了故障時(shí)，BDC可以升級(jí)為PDC，但如果一個(gè)BDC升級(jí)為PDC，則在最后一次從原來(lái)的PDC拷貝目錄數(shù)據(jù)庫(kù)之后，用戶對(duì)目錄數(shù)據(jù)庫(kù)所進(jìn)行的更改都將會(huì)丟失。一個(gè)域可以有多個(gè)BDC。主域控制器、后備域控制器都可作為文件、打印和應(yīng)用程序的服務(wù)器。3．獨(dú)立的服務(wù)器（StandAloneServer）在域中不作為主域控制器和后備域控制器的域服務(wù)器稱為獨(dú)立的服務(wù)器，它可以用做專用文件、打印和應(yīng)用程序的服務(wù)器。服務(wù)器保存自身的數(shù)據(jù)庫(kù)，域中的賬戶可被授權(quán)訪問(wèn)服務(wù)器上的資源。在Windows2000Server以上版本中，已經(jīng)沒(méi)有主域控制器和備份域控制器的區(qū)別，在活動(dòng)目錄中只有域控制器，所有的域控制器都是平等的，管理員對(duì)任何一個(gè)域控制器的更改都會(huì)復(fù)制給別的域控制器。這其中的主要原因是活動(dòng)目錄（ActiveDictionary）是基于多主復(fù)制（MultimasterReplication），所有的域控制器都是平等的，ActiveDictionary的復(fù)制中已去掉了主域控制器和備份域控制器之間的差別，這就是說(shuō)，所有對(duì)象都可以在域中的任意一臺(tái)域控制器上創(chuàng)建和修改，并且在創(chuàng)建或修改之后又可復(fù)制到其他的域控制器上。3.4.3域和委托Windows系統(tǒng)的域之間可以建立委托（Trust）關(guān)系，當(dāng)域的委托關(guān)系建立起來(lái)之后，一個(gè)域就可以識(shí)別其他的域中的全局用戶（GlobalUserAccounts）和全局組（GlobalGroups），這樣，用戶只需要一個(gè)登錄標(biāo)識(shí)便可以訪問(wèn)其他域中的資源。例如域A委托域B，那么所有域B中的賬號(hào)可以用來(lái)從本地或遠(yuǎn)程登錄域A，除非有其他設(shè)置來(lái)阻止這種訪問(wèn)。在所有的委托關(guān)系中，一個(gè)域?yàn)槭芡杏?，另外一個(gè)域就是委托域。受托域：又稱賬戶域，賬戶被放在受托域中。受托域的用戶和組允許在委托域中擁有用戶權(quán)力、資源權(quán)限和本地組員身份。委托域：委托資源通?？偡旁谖杏蛑校杏蛟试S其他域（受托域）的用戶訪問(wèn)其資源。委托域（TrustingDomain）又稱信任域，含有可用的資源，也稱為資源域。委托與受托的概念差別可以從資源的角度考慮。通過(guò)建立恰當(dāng)?shù)奈嘘P(guān)系和授予訪問(wèn)的權(quán)限，資源所在域可委托另外一個(gè)域的用戶，并允許他們使用這些資源。域之間的委托關(guān)系可以有單向和雙向兩種。1．單向委托關(guān)系一個(gè)域委托其他域中的用戶使用其資源。更準(zhǔn)確地說(shuō)，一個(gè)域委托其他域中的域控制器來(lái)確認(rèn)用戶賬戶，以使用戶能使用其資源。這樣，可用的資源被保存在委托域中，而利用這些資源的賬戶卻在受托域中。如果委托域中的用戶賬戶需要使用受托域中的資源，則需要雙向委托關(guān)系。2．雙向委托關(guān)系相當(dāng)于兩個(gè)單向委托關(guān)系，每個(gè)域都委托對(duì)方域中的用戶賬戶，用戶可從任一個(gè)域的計(jì)算機(jī)登錄到他們的域賬戶中，每個(gè)域都有自己的賬戶和資源。全局用戶賬戶和全局組可用來(lái)從任何一個(gè)域中得到授權(quán)來(lái)訪問(wèn)其中任何一個(gè)域中的資源。3.4.4工作組工作組（Workgroup）的概念是從Windows3.0開(kāi)始引入的，并在Windows3.1lforWorkgroup中得到增強(qiáng)。工作組網(wǎng)絡(luò)共享雖然不如Windows系統(tǒng)域模型安全，但它對(duì)于小規(guī)模的網(wǎng)絡(luò)環(huán)境還是頗具吸引力的。它是資源和管理都分布在整個(gè)網(wǎng)絡(luò)上的一種網(wǎng)絡(luò)模式。這種網(wǎng)絡(luò)被稱為“對(duì)等網(wǎng)”，即在工作組模型中，每臺(tái)計(jì)算機(jī)的地位都是平等的，每臺(tái)計(jì)算機(jī)既可用做服務(wù)器，也可用做工作站，每臺(tái)計(jì)算機(jī)都有自己的賬戶和對(duì)象。工作組是單獨(dú)的系統(tǒng)或不屬于一個(gè)域中的多系統(tǒng)的有組織的單元。在工作組中，系統(tǒng)各自獨(dú)立管理自己的用戶賬號(hào)和組賬號(hào)的信息及它們的安全賬號(hào)管理數(shù)據(jù)庫(kù)，它們不與別的系統(tǒng)共享這些信息。如果一個(gè)系統(tǒng)不是一個(gè)域的組成部分，那么它就自動(dòng)地成為了工作組的一部分。加入工作組的所有用戶稱為全局用戶（GlobalUser）。工作組模型適宜于管理要求不太復(fù)雜的環(huán)境。3.5用戶賬號(hào)1．賬號(hào)的概念由于Windows系統(tǒng)的安全模型是基于用戶級(jí)的（User-Level）而不是共享式的，因此每個(gè)要訪問(wèn)Windows系統(tǒng)控制的資源的用戶必須由系統(tǒng)管理員建立一個(gè)賬號(hào)。Windows為每一個(gè)用戶分配了一個(gè)唯一的安全識(shí)別碼（SecurityID，簡(jiǎn)稱SID），SID由用戶的帳戶、密碼、所屬群組以及網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限等數(shù)據(jù)構(gòu)成。在用戶登錄系統(tǒng)時(shí)，系統(tǒng)會(huì)檢查用戶的帳戶和密碼．在確定無(wú)誤后，系統(tǒng)會(huì)產(chǎn)生一個(gè)包含帳戶及密碼等信息的安全存取令牌（SecurityAccessToken，簡(jiǎn)稱SAT）。無(wú)論用戶進(jìn)行任何操作都會(huì)得到安全訪問(wèn)標(biāo)記的一個(gè)拷貝，在啟動(dòng)應(yīng)用程序或讀取文件之前，系統(tǒng)會(huì)用SAT與程序或文件的存取清單上的訪問(wèn)控制清單（AccessControlList，簡(jiǎn)稱ACL）進(jìn)行比較，如果用戶的SID在ACL的清單中，用戶就可以執(zhí)行這個(gè)操作。SID是不會(huì)被重復(fù)使用的，當(dāng)把帳戶刪除之后，其SID仍然會(huì)被保留。因此在刪除一個(gè)帳戶后，即使再添加一個(gè)與其相同名稱的帳戶，它也不會(huì)擁有原來(lái)該帳戶的權(quán)限設(shè)置，因?yàn)樗鼈兊腟ID不同，必須對(duì)新產(chǎn)生帳戶的權(quán)限等有關(guān)信息進(jìn)行重新定義。根據(jù)網(wǎng)絡(luò)所采用的域模型，一個(gè)用戶可以擁有一個(gè)或幾個(gè)賬號(hào)，以不同的訪問(wèn)等級(jí)和訪問(wèn)權(quán)限共享工作組或域中的資源。如果用戶的賬號(hào)屬于工作組，那么用戶的賬號(hào)信息存儲(chǔ)在用戶自己的機(jī)器上；如果屬于域，則存儲(chǔ)在域控制器或服務(wù)器上，賬號(hào)的運(yùn)行方式要比儲(chǔ)存方式重要。用戶的賬號(hào)決定著對(duì)資源的訪問(wèn)權(quán)限。系統(tǒng)管理員通過(guò)授予特定用戶的資源訪問(wèn)權(quán)限建立起授權(quán)機(jī)制。只有當(dāng)用戶擁有適當(dāng)?shù)氖跈?quán)時(shí)，他才有可能進(jìn)行資源訪問(wèn)。Windows系統(tǒng)也利用用戶賬號(hào)產(chǎn)生審核及日志跟蹤信息。2．賬號(hào)類型在WindowsServer2003中有三種類型的用戶賬號(hào)：內(nèi)置賬戶內(nèi)置賬戶是在安裝windowsserver2003時(shí)由系統(tǒng)預(yù)先設(shè)置的，系統(tǒng)默認(rèn)的兩個(gè)內(nèi)置賬戶是Administrator和Guest。Administrator賬戶可以重新命名，但不可以刪除；該賬戶是系統(tǒng)預(yù)設(shè)的系統(tǒng)管理員，具有對(duì)整個(gè)域和計(jì)算機(jī)進(jìn)行設(shè)置的超級(jí)權(quán)限。Guest賬戶可以更名和禁用，但不能刪除，該用戶可作為匿名帳戶來(lái)臨時(shí)訪問(wèn)計(jì)算機(jī)。本地用戶賬戶本地用戶賬戶只具有登錄到創(chuàng)建該本地用戶賬戶的計(jì)算機(jī)上且只訪問(wèn)這臺(tái)計(jì)算機(jī)資源的權(quán)限。創(chuàng)建本地用戶賬戶的同時(shí)也會(huì)在本地計(jì)算機(jī)安全數(shù)據(jù)庫(kù)中創(chuàng)建本地用戶。當(dāng)本地用戶賬戶創(chuàng)建后，創(chuàng)建此用戶的計(jì)算機(jī)就會(huì)通過(guò)本地安全數(shù)據(jù)庫(kù)來(lái)驗(yàn)證本地用戶。因?yàn)楸镜赜脩糍~戶不能被域識(shí)別，所以不能在作為域成員的計(jì)算機(jī)創(chuàng)建本地用戶。當(dāng)WindowsServer2003工作在“工作組”模式下或者作為域中的成員服務(wù)器時(shí)，在計(jì)算機(jī)操作系統(tǒng)中存在的是本地用戶和本地組。本地用戶賬戶的作用范圍僅限于在創(chuàng)建該賬戶的計(jì)算機(jī)上，以控制用戶對(duì)該計(jì)算機(jī)上的資源的訪問(wèn)。所以當(dāng)需要訪問(wèn)在“工作組”模式下的計(jì)算機(jī)時(shí)，必須在每一個(gè)需要訪問(wèn)的計(jì)算機(jī)上都有其本地賬戶。其中本地賬戶都存儲(chǔ)在%SystemRoot%\system32\config\Sam數(shù)據(jù)庫(kù)中。域用戶賬戶域用戶賬戶具有使用域內(nèi)資源的權(quán)限。域用戶賬戶的信息被存放在域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)中，活動(dòng)目錄服務(wù)器利用這些信息來(lái)鑒別用戶身份。管理員可以設(shè)置域用戶帳戶在限定的計(jì)算機(jī)上登錄，或在域網(wǎng)絡(luò)中任一計(jì)算機(jī)上登錄。登錄時(shí)，活動(dòng)目錄服務(wù)為具有登錄權(quán)限的用戶創(chuàng)建具有用戶屬性的安全設(shè)置信息的訪問(wèn)令牌。訪問(wèn)令牌用于確認(rèn)用戶是否可以登錄到運(yùn)行windowsserver2003域控制器的計(jì)算機(jī)上。域用戶賬戶是用戶訪問(wèn)域的唯一憑證，因此在域中必須是唯一的。域用戶賬戶保存在AD（活動(dòng)目錄）數(shù)據(jù)庫(kù)中，該數(shù)據(jù)庫(kù)位于在DC（域控制器）上的\%systemroot%\NTDS文件夾下。注意：當(dāng)一臺(tái)服務(wù)器一旦安裝AD成為域控制器后，其本地組和本地賬戶是被禁用的。3.5.2用戶管理Windows系統(tǒng)的用戶管理可以運(yùn)行用戶管理器或域用戶管理器。域用戶管理器是Windows系統(tǒng)域服務(wù)器中的管理工具；用戶管理器則出現(xiàn)在工作站或獨(dú)立服務(wù)器的管理工具中。通過(guò)這些圖形界面的管理工具，系統(tǒng)管理人員可以方便地進(jìn)行用戶和組的更改和審核。3.6用戶組自Windows2000開(kāi)始引入了組的概念，通過(guò)組來(lái)對(duì)網(wǎng)絡(luò)中的眾多用戶進(jìn)行管理。例如：公司的財(cái)務(wù)部門可以具有訪問(wèn)存儲(chǔ)在計(jì)算機(jī)上所有財(cái)務(wù)信息的權(quán)限，因此應(yīng)該在域用戶管理器中創(chuàng)建一個(gè)稱為“財(cái)務(wù)”的用戶組，并且使財(cái)務(wù)部門的每個(gè)人都成為該組的一名成員。財(cái)務(wù)組的每個(gè)成員都將具有所有財(cái)務(wù)數(shù)據(jù)的訪問(wèn)權(quán)限。組是指一種目錄對(duì)象，也可以包含其他目錄對(duì)象。如用戶、計(jì)算機(jī)、聯(lián)絡(luò)地址以及其他組。它是活動(dòng)目錄（ActiveDirectory）中特別重要的對(duì)象。合理地創(chuàng)建組結(jié)構(gòu)，就可以在用戶眾多和權(quán)限較復(fù)雜的網(wǎng)絡(luò)環(huán)境中簡(jiǎn)化網(wǎng)絡(luò)的維護(hù)和管理。1．組的種類組在WindowsServer2003中分為安全組和通信組。（1）

安全組安全組列在定義資源和對(duì)象權(quán)限的隨機(jī)訪問(wèn)控制表（DACL）中，它將用戶、計(jì)算機(jī)和其他組對(duì)象作為一個(gè)可管理的單位。管理員為資源指派權(quán)限時(shí)，可以只對(duì)組作為一個(gè)單位來(lái)定義權(quán)利和權(quán)限，而不用對(duì)組中的每個(gè)用戶進(jìn)行操作。安全組可用作電子郵件實(shí)體，當(dāng)給這種組發(fā)送電子郵件時(shí)也會(huì)將該郵件發(fā)給組中的所有成員。（2）

通信組通信組是只用于發(fā)送電子郵件并且沒(méi)有啟用安全性的組。不能將通信組列在用于定義資源和對(duì)象權(quán)限的隨機(jī)訪問(wèn)控制列表（DACL）中。通信組只能和電子郵件程序一起使用，以便將電子郵件發(fā)送到用戶集合。如果需要組來(lái)控制對(duì)共享資源的訪問(wèn)，則創(chuàng)建安全組。2．組的作用域組在域樹(shù)或域林中的應(yīng)用范圍稱為組的作用域，它有三種類型：（1）通用組有通用作用域的組稱為通用組。通用組的成員是域樹(shù)或域林中任何域，且都可獲得權(quán)限的賬戶。（2）全局組有全局作用域的組稱為全局組。全局組的成員可包括只在其中定義該組的域中的其他組和賬戶，而且可在林中的任何域中指派權(quán)限。（3）本地組有本地作用域的組稱為本地組，本地組的成員是本地域的賬戶。本地組主要用來(lái)指定其所屬域內(nèi)的存取權(quán)限。3.7.1注冊(cè)表概述注冊(cè)表（Registry）是MicrosoftWindows中的一個(gè)重要的數(shù)據(jù)庫(kù)，用于存儲(chǔ)系統(tǒng)和應(yīng)用程序的設(shè)置信息。3.7.2注冊(cè)表的功能及結(jié)構(gòu)1．注冊(cè)表的功能（1）注冊(cè)表是系統(tǒng)參數(shù)的數(shù)據(jù)庫(kù)。一般來(lái)說(shuō)注冊(cè)表控制所有應(yīng)用程序和驅(qū)動(dòng)，控制的方法可以是基于用戶或基于計(jì)算機(jī)的，而不依賴于應(yīng)用程序或驅(qū)動(dòng)，每個(gè)注冊(cè)表的參數(shù)項(xiàng)控制了一個(gè)用戶的功能或者計(jì)算機(jī)功能。（2）注冊(cè)表是連接操作系統(tǒng)、硬件設(shè)置和驅(qū)動(dòng)程序的數(shù)據(jù)庫(kù)。在Windows系統(tǒng)中，注冊(cè)表是作為保存驅(qū)動(dòng)程序所有設(shè)置及位置的數(shù)據(jù)庫(kù)來(lái)使用的。這個(gè)數(shù)據(jù)庫(kù)的內(nèi)容包括了很多東西，像驅(qū)動(dòng)程序的位置、存放地址、版本號(hào)以及硬件的常設(shè)設(shè)置等信息。（3）注冊(cè)表也是操作系統(tǒng)與應(yīng)用程序關(guān)聯(lián)的數(shù)據(jù)庫(kù)。注冊(cè)表保存了與應(yīng)用程序相關(guān)的缺省數(shù)據(jù)和輔助文件的位置信息、菜單、按鈕條、窗口狀態(tài)和其他可選項(xiàng)。它同樣也保存了應(yīng)用程序的安裝信息（比如說(shuō)日期），安裝軟件的用戶，軟件版本號(hào)和日期、序列號(hào)等。根據(jù)安裝軟件的不同，它包括的信息也不同。2．注冊(cè)表的數(shù)據(jù)結(jié)構(gòu)注冊(cè)表的數(shù)據(jù)結(jié)構(gòu)由以下五個(gè)子樹(shù)組成：HKEY_LOCAL_MACHINE：含有本地系統(tǒng)的部分信息。這些信息包括硬件設(shè)備、操作系統(tǒng)設(shè)置、啟動(dòng)控制數(shù)據(jù)和驅(qū)動(dòng)器的驅(qū)動(dòng)程序。HKEY_CLASSES_ROOT：含有與對(duì)象的鏈接與嵌套和文件級(jí)關(guān)聯(lián)的相關(guān)信息。HKEY_CURRENT_USERS：含有正在登錄上網(wǎng)的用戶的信息，包括用戶所屬的組、環(huán)境變量、桌面設(shè)置、網(wǎng)絡(luò)鏈接、打印機(jī)和應(yīng)用程序等。HKEY_USERS：含有所有登錄入網(wǎng)用戶的信息，包括從本地訪問(wèn)系統(tǒng)的用戶。HKEY_CURRENT_USER是HKEY_USERS的一部分。HKEY_CURRENT_CONFIG：是在HKEY_LOCAL_MACHINE中當(dāng)前硬件配置信息的映射3．注冊(cè)表中的關(guān)鍵字注冊(cè)表中的所有數(shù)據(jù)均作為“值”來(lái)存儲(chǔ)。這些值經(jīng)過(guò)組織后寫入了標(biāo)題和子標(biāo)題，這些標(biāo)題及子標(biāo)題共同稱為關(guān)鍵字。4．注冊(cè)表中的值注冊(cè)表雖然是通過(guò)各個(gè)根鍵和子鍵來(lái)分類管理各種信息，但具體數(shù)據(jù)信息還是依靠鍵值項(xiàng)和鍵值來(lái)實(shí)現(xiàn)。在注冊(cè)表中絕大多數(shù)分支或子項(xiàng)中還包含了一個(gè)或若干個(gè)“值項(xiàng)”，每個(gè)值項(xiàng)又對(duì)應(yīng)于一定數(shù)據(jù)類型的一組數(shù)據(jù)，這就是鍵值項(xiàng)和鍵值，打開(kāi)注冊(cè)表編輯器后，選擇一個(gè)分支或子項(xiàng)，在注冊(cè)表編輯器的右側(cè)窗口中顯示的就是鍵值項(xiàng)和鍵值。在鍵值項(xiàng)窗口空白處單擊右鍵，選擇“新建”菜單項(xiàng)，可以看到這些鍵值被細(xì)分為：字符串值、二進(jìn)制值、DWORD值、多字符串值、可擴(kuò)充字符串值五種類型。3.8.1作業(yè)對(duì)象作業(yè)對(duì)象是在Windows2000中新出現(xiàn)的，在WindowsNT以前的版本中作業(yè)對(duì)象并不存在。作業(yè)是一組進(jìn)程，引入作業(yè)對(duì)象的基本原因是允許多個(gè)進(jìn)程（及其相關(guān)線程）能夠作為一個(gè)單一的、方便的實(shí)體被管理、監(jiān)視和操作。每一個(gè)進(jìn)程可以與0個(gè)或1個(gè)作業(yè)相關(guān)聯(lián)，但不能與多個(gè)作業(yè)相關(guān)聯(lián)。一個(gè)作業(yè)對(duì)象可以對(duì)與其相關(guān)的進(jìn)程施加限制。如果某個(gè)進(jìn)程與某個(gè)試圖違背這些限制的作業(yè)對(duì)象相關(guān)聯(lián)，請(qǐng)求將不能完成，并且函數(shù)調(diào)用將被忽略。作業(yè)對(duì)象也可以對(duì)其進(jìn)程加以限制，如果違背了這些限制，將導(dǎo)致進(jìn)程被強(qiáng)制終止。（1）一個(gè)作業(yè)級(jí)的用戶模式CPU時(shí)間限制。該時(shí)限指明了與某個(gè)作業(yè)相關(guān)的所有線程在用戶模式下執(zhí)行代碼所花費(fèi)時(shí)間的總數(shù)，但系統(tǒng)用于應(yīng)用程序執(zhí)行指令（在內(nèi)核模式）所花費(fèi)的時(shí)間不計(jì)算在內(nèi)。這一指標(biāo)包括了已經(jīng)完成的進(jìn)程和已退出的進(jìn)程。這個(gè)時(shí)限可以由某個(gè)具有足夠特權(quán)的進(jìn)程在任何時(shí)間設(shè)置和復(fù)位。不過(guò)如果達(dá)到該時(shí)限，則與作業(yè)相關(guān)的所有進(jìn)程都被終止，并且在該作業(yè)內(nèi)不能再創(chuàng)建新的進(jìn)程。（2）針對(duì)每個(gè)進(jìn)程的用戶模式CPU時(shí)間限制。該時(shí)間限制和上面的限制是相似的，只是它是在逐個(gè)進(jìn)程的基礎(chǔ)上施加的。如果該時(shí)間限制達(dá)到，進(jìn)程將立即被終止。（3）可以創(chuàng)建的并發(fā)運(yùn)行進(jìn)程的最多個(gè)數(shù)。在達(dá)到該限制之后，Windows操作系統(tǒng)的調(diào)度程序?qū)⒉辉僬{(diào)度額外的進(jìn)程，直到現(xiàn)有的某些進(jìn)程退出。作業(yè)提供了一種對(duì)一組進(jìn)程施加安全性設(shè)置的便捷方法作業(yè)對(duì)象可以對(duì)進(jìn)程所允許具有的安全性權(quán)限設(shè)置過(guò)濾器在一個(gè)作業(yè)中的進(jìn)程還可以具有用戶界面限制作業(yè)對(duì)象還可以記錄一組關(guān)于與它相關(guān)的所有進(jìn)程的記賬信息3.8.2進(jìn)程進(jìn)程是能和其他程序并行執(zhí)行的程序段在某數(shù)據(jù)集合上的一次運(yùn)行過(guò)程，它是系統(tǒng)資源分配和調(diào)度的一個(gè)獨(dú)立單位。在理解進(jìn)程的概念時(shí)應(yīng)注意以下問(wèn)題：能構(gòu)成進(jìn)程的程序段可以和別的程序并行執(zhí)行，不能并行執(zhí)行的程序段在執(zhí)行中不能成為進(jìn)程。這恰恰反映了進(jìn)程特征之一，即進(jìn)程具有并發(fā)性。進(jìn)程的基礎(chǔ)是一個(gè)程序段，而不是整個(gè)程序。進(jìn)程是程序段在一些數(shù)據(jù)上的一次運(yùn)行，即在“某數(shù)據(jù)集合”上的運(yùn)行。進(jìn)程是一個(gè)動(dòng)態(tài)的概念，它實(shí)質(zhì)上是程序的一次執(zhí)行過(guò)程，也就是說(shuō)，進(jìn)程具有動(dòng)態(tài)性。進(jìn)程是一個(gè)能獨(dú)立運(yùn)行的基本單位，具有獨(dú)立性，是資源分配和調(diào)度的單位。3.8.3線程在操作系統(tǒng)中引入進(jìn)程的目的是為了使多個(gè)程序并發(fā)執(zhí)行，以提高資源的利用率和系統(tǒng)的吞吐量，而在操作系統(tǒng)中引入線程則是為了減少程序并發(fā)執(zhí)行時(shí)所付出的時(shí)空開(kāi)銷，