返回
windows系统安全5(访问控制)

windows系统安全5(访问控制)

ID:13388443

大小:3.50 MB

页数:52页

时间:2018-07-22

windows系统安全5(访问控制)_第1页
windows系统安全5(访问控制)_第2页
windows系统安全5(访问控制)_第3页
windows系统安全5(访问控制)_第4页
windows系统安全5(访问控制)_第5页
资源描述:

《windows系统安全5(访问控制)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第五章:访问控制内容1访问控制概述2访问控制机制3用户和组基础4内置本地组默认组成员默认的访问控制设置1访问控制概述访问控制的目的:限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用。描述一个保护系统的最简单框架模型是使用访问控制矩阵模型,这个模型将所有用户对于文件的权限存储在矩阵中。访问控制矩阵模型客体集O是所有被保护实体的集合(所有于系统保护状态相关的实体)。主体集S是所有活动对象的集合,如进程和用户。所有的权限的类型用集合R来表示。在访问控制矩阵模型中,客体集O和主体集S之间的关系用带有权限的矩阵A来描述,

2、A中的任意元素a[s,o]满足sS,oO,a[s,o]R。元素a[s,o]代表的意义是主体s对于客体o具有权限a[s,o]。安全策略安全策略是一种声明,它将系统的状态分成两个集合:已授权的,即安全的状态集合;未授权的,即不安全的状态集合。任何访问控制策略最终均可被模型化为访问矩阵形式。目标x读、修改、管理读、修改、管理目标y目标z用户a用户b用户c用户d读读读、修改、管理读、修改读、修改目标用户访问矩阵实例矩阵中的许多元素常常为空。在实现自主访问控制机制时,常常是基于1矩阵的行来表达访问控制信息。2矩阵的列来表达访问控制信息基于访问控制列表基于保护位访问控制矩

3、阵的行file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowC-Lists:Andy:{(file1,rx)(file2,r)(file3,rwo)}Betty:{(file1,rwxo)(file2,r)}Charlie:{(file1,rx)(file2,rwo)(file3,w)}访问控制列表(ACL)访问控制矩阵的列file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowACLs:file1:{(Andy,rx)(Betty,rwxo)(Charlie,rx)}file2:{(

4、Andy,r)(Betty,r)(Charlie,rwo)}file3:{(Andy,rwo)(Charlie,w)}保护位如果主体很多,可以在访问控制列表中使用组ACLs很长,所以合并用户UNIX:三级用户:owner,group,restrwxrwxrwxrestgroupowner访问控制策略类型强制访问控制(Mandatoryaccesscontrol)系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。强制访问控

5、制进行了很强的等级划分,所以经常用于军事用途。自主访问控制(Discretionaryaccesscontrol)自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。主流操作系统(WindowsServer,UNIX系统),防火墙(ACLs)等都是基于自主访问控制机制来实现访问控制。基于角色的访问控制(Rolebasedaccesscontrol)基于任务的访问控制(Taskbase

6、daccesscontrol)使用访问控制用户角色操作客体许可2Windows安全模型安全主体的访问令牌<客体的安全描述用户登录时,系统为其创建访问令牌用户启动程序时,线程获取令牌的拷贝程序请求访问客体时,提交令牌。系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制2.1保护客体对象—安全描述符Windows2000可保护的对象列表文件和文件夹网络共享打印机管道进程和线程服务每一个安全性对象都有一个安全性描述符与之相连2.1保护客体对象一个安全描述符包含以下信息对象所有者的SID基本所有组的SID自定义的访问控制列表(DACL:discretionarya

7、ccesscontrollist)系统访问控制列表(SACL:systemaccesscontrollist)DACL(discretionaryaccess-controllist):用来做访问控制,决定用户是否有相关权限SACL(securityaccess-controllist):用于审计的列表2.1保护客体对象客体的安全描述当在授权用户安全环境中执行的线程创建对象时,安全描述中就会被填入访问控制信息。访问控制信息的来源:执行线程(主体线程)直接把访问控制信息分配给对象。系统从父对象中检查可继承的访问控制信息,并将其分配给对象。(如果有冲突,下级的优先权

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。