第61讲-访问控制技术与Windows访问控制课件

信息安全技术信息安全技术第第 6 6 讲讲 访问控制与审计技术访问控制与审计技术l l6.1 访问控制技术与访问控制技术与Windows访问控制访问控制l l访问控制的基本概念访问控制的基本概念l lWindows XP的访问控制的访问控制l l6.2 审计追踪技术与审计追踪技术与Windows安全审计功安全审计功能能 第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l1.访问控制的基本概念访问控制的基本概念l l访问控制是在保障授权用户能获取所需访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制资源的同时拒绝非授权用户的安全机制，也是信息安全理论基础的重要组成部分。也是信息安全理论基础的重要组成部分。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l在用户身份认证和授权之后，在用户身份认证和授权之后，访问控制访问控制机制将根据预先设定的规则对用户访问机制将根据预先设定的规则对用户访问某项资源某项资源(目标目标)进行控制进行控制，只有规则允，只有规则允许时才能访问，违反预定的安全规则的许时才能访问，违反预定的安全规则的访问行为将被拒绝。访问行为将被拒绝。l l资源可以是信息资源、处理资源、通信资源可以是信息资源、处理资源、通信资源或者物理资源资源或者物理资源，访问方式可以是获访问方式可以是获取信息、修改信息或者完成某种功能取信息、修改信息或者完成某种功能(例例如可以是读、写或者执行等如可以是读、写或者执行等)。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l访问控制的目的访问控制的目的是为了限制访问主体对是为了限制访问主体对访问客体的访问权限，从而使计算机系访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程什么，也决定代表一定用户身份的进程能做什么。其中主体可以是某个用户，能做什么。其中主体可以是某个用户，也可以是用户启动的进程和服务。也可以是用户启动的进程和服务。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l为达到目的，访问控制需要完成以下为达到目的，访问控制需要完成以下两个两个任务任务：l l识别和确认访问系统的用户。识别和确认访问系统的用户。l l决定该用户可以对某一系统资源进行何决定该用户可以对某一系统资源进行何种类型访问。种类型访问。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l访问控制一般包括访问控制一般包括3种类型：种类型：1.1.自主访问控制自主访问控制2.2.强制访问控制强制访问控制3.3.基于角色的访问控制等。基于角色的访问控制等。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l(1)自主访问控制自主访问控制(DAC)l l这是常用的访问控制方式，它这是常用的访问控制方式，它基于对主基于对主体或主体所属的主体组的识别来限制对体或主体所属的主体组的识别来限制对客体的访问客体的访问。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l自主自主是指主体能够自主地是指主体能够自主地(可能是间接的可能是间接的)将访问权或访问权的某个子集授予其他主将访问权或访问权的某个子集授予其他主体。简单来说，就是由拥有资源的用户自体。简单来说，就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么己来决定其他一个或一些主体可以在什么程度上访问哪些资源。即程度上访问哪些资源。即资源的拥有者对资源的拥有者对资源的访问策略具有决策权资源的访问策略具有决策权，这是一种限，这是一种限制比较弱的访问控制策略。制比较弱的访问控制策略。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l自主访问控制是一种比较宽松的访问控自主访问控制是一种比较宽松的访问控制机制。制机制。一个主体的访问权限具有传递一个主体的访问权限具有传递性性，比如大多数交互系统的工作流程是，比如大多数交互系统的工作流程是这样的：用户首先登录，然后启动某个这样的：用户首先登录，然后启动某个进程为该用户做某项工作，这个进程就进程为该用户做某项工作，这个进程就继承了该用户的属性，包括访问权限。继承了该用户的属性，包括访问权限。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l这种权限的传递可能会给系统带来安全这种权限的传递可能会给系统带来安全隐患，某个主体通过继承其他主体的权隐患，某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限，限而得到了它本身不应具有的访问权限，就可能破坏系统的安全性。就可能破坏系统的安全性。这是自主访这是自主访问控制方式的缺点。问控制方式的缺点。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l(2)强制访问控制强制访问控制(MAC)l l这是一种这是一种较强硬较强硬的控制机制，的控制机制，系统为所系统为所有的主体和客体指定安全级别有的主体和客体指定安全级别，比如绝，比如绝密级、机密级、秘密级和无密级等。不密级、机密级、秘密级和无密级等。不同级别标记了不同重要程度和能力的实同级别标记了不同重要程度和能力的实体，不同级别的主体对不同级别的客体体，不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。的访问是在强制的安全策略下实现的。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l(2)强制访问控制强制访问控制(MAC)l l在强制访问控制机制中，将安全级别进在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定行排序，如按照从高到低排列，规定高高级别可以单向访问低级别，也可以规定级别可以单向访问低级别，也可以规定低级别可以单向访问高级别低级别可以单向访问高级别。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l(3)基于角色的访问控制基于角色的访问控制(RBAC)l l传统的访问控制传统的访问控制l l基于角色的访问控制基于角色的访问控制第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l在传统的访问控制中，主体始终和特定的在传统的访问控制中，主体始终和特定的实体相对应实体相对应。例如，用户以固定的用户名。例如，用户以固定的用户名注册，系统分配一定的权限，该用户将始注册，系统分配一定的权限，该用户将始终以其用户名访问系统，直至销户。其间，终以其用户名访问系统，直至销户。其间，用户的权限可以变更，但必须在系统管理用户的权限可以变更，但必须在系统管理员的授权下才能进行。员的授权下才能进行。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l然而，在现实社会中，然而，在现实社会中，传统访问控制方式传统访问控制方式表现出很多弱点表现出很多弱点，不能满足实际需求。主，不能满足实际需求。主要问题在于：要问题在于：l l同一用户在不同场合应该以不同的权限同一用户在不同场合应该以不同的权限访问系统访问系统。而按传统的做法，变更权限。而按传统的做法，变更权限必须经系统管理员授权修改，因此很不必须经系统管理员授权修改，因此很不方便。方便。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l当用户大量增加时，按每用户一个注册当用户大量增加时，按每用户一个注册账号的方式将使得系统管理变得复杂、账号的方式将使得系统管理变得复杂、工作量急剧增加，也容易出错。工作量急剧增加，也容易出错。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l传统访问控制模式传统访问控制模式不容易实现层次化管不容易实现层次化管理理。即按每用户一个注册账号的方式很。即按每用户一个注册账号的方式很难实现系统的层次化分权管理，尤其是难实现系统的层次化分权管理，尤其是当同一用户在不同场合处在不同的权限当同一用户在不同场合处在不同的权限层次时，系统管理很难实现。除非同一层次时，系统管理很难实现。除非同一用户以多个用户名注册。用户以多个用户名注册。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l基于角色的访问控制模式就是为了克服以基于角色的访问控制模式就是为了克服以上问题而提出来的。上问题而提出来的。l l在基于角色的访问控制模式中，用户不是在基于角色的访问控制模式中，用户不是自始至终以同样的注册身份和权限访问系自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。机制只看到角色，而看不到用户。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l用户在访问系统前，经过角色认证而充当用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。制机制控制角色的访问能力。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l1)角色角色(role)的概念。的概念。l l角色定义为与一个特定活动相关联的一角色定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色，组动作和责任。系统中的主体担任角色，完成角色规定的责任，具有角色拥有的完成角色规定的责任，具有角色拥有的权限。权限。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l一个主体可以同时担任多个角色，它的权一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。限就是多个角色权限的总和。基于角色的基于角色的访问控制就是通过各种角色的不同搭配授访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限权来尽可能实现主体的最小权限(最小授权最小授权指主体在能够完成所有必需的访问工作基指主体在能够完成所有必需的访问工作基础上的最小权限础上的最小权限)。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l例如，在一个银行系统中，可以定义例如，在一个银行系统中，可以定义出纳出纳员、分行管理者、系统管理员、顾客、审员、分行管理者、系统管理员、顾客、审计员计员等角色。其中，担任系统管理员的用等角色。其中，担任系统管理员的用户具有维护系统文件的责任和权限，无论户具有维护系统文件的责任和权限，无论这个用户具体是谁。系统管理员可能是由这个用户具体是谁。系统管理员可能是由某个出纳员兼任，他就具有两种角色。某个出纳员兼任，他就具有两种角色。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l但是出于责任分离的考虑，需要对一些权但是出于责任分离的考虑，需要对一些权利集中的角色组合进行限制利集中的角色组合进行限制，比如规定分，比如规定分行管理者和审计员不能由同一个用户担任行管理者和审计员不能由同一个用户担任等。等。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l基于角色的访问控制可以看作是基于组的基于角色的访问控制可以看作是基于组的自主访问控制的一种变体，一个角色对应自主访问控制的一种变体，一个角色对应一个组一个组。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l2)基于角色的访问控制。就是通过定义角基于角色的访问控制。就是通过定义角色的权限，为系统中的主体分配角色来实色的权限，为系统中的主体分配角色来实现访问控制的现访问控制的。用户先经认证后获得一定。用户先经认证后获得一定角色，该角色被分派了一定的权限，用户角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。检查角色的权限，并决定是否允许访问。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l3)基于角色访问控制方法的特点基于角色访问控制方法的特点l l 提供了提供了3种授权管理的控制途径种授权管理的控制途径l l改变客体的访问权限，即修改客体可以改变客体的访问权限，即修改客体可以由哪些角色访问以及具体的访问方式由哪些角色访问以及具体的访问方式l l改变角色的访问权限改变角色的访问权限l l改变主体所担任的角色。改变主体所担任的角色。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l3)基于角色访问控制方法的特点基于角色访问控制方法的特点l l 系统中所有角色的关系结构可以是层系统中所有角色的关系结构可以是层次化的，便于管理次化的，便于管理。角色的定义是从现。角色的定义是从现实出发，所以可以用面向对象的方法来实出发，所以可以用面向对象的方法来实现，运用类和继承等概念表示角色之实现，运用类和继承等概念表示角色之间的层次关系非常自然而且实用。间的层次关系非常自然而且实用。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l 具有较好的提供最小权利的能力，从具有较好的提供最小权利的能力，从而提高了安全性而提高了安全性。由于对主体的授权是。由于对主体的授权是通过角色定义，因此，调整角色的权限通过角色定义，因此，调整角色的权限粒度可以做到更有针对性，不容易出现粒度可以做到更有针对性，不容易出现多余权限。多余权限。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l 具有责任分离的能力具有责任分离的能力。定义角色的人定义角色的人不一定是担任角色的人不一定是担任角色的人，这样，不同角，这样，不同角色的访问权限可以相互制约，因而具有色的访问权限可以相互制约，因而具有更高的安全性。更高的安全性。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l2.Windows XP的访问控制的访问控制l l这里，我们来了解这里，我们来了解Windows XP操作系操作系统的访问控制实现机制。统的访问控制实现机制。l lWindows的安全模型的安全模型l lWindows的安全概念的安全概念l lWindows的访问控制过程的访问控制过程第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l(1)Windows的安全模型的安全模型l lWindows采用的是微内核采用的是微内核(microkernel)结构和模块化的系统设计结构和模块化的系统设计。有的模块运。有的模块运行在底层的内核模式上，有的模块则运行在底层的内核模式上，有的模块则运行在受内核保护的用户模式上。行在受内核保护的用户模式上。Windows的安全子系统置于核心的安全子系统置于核心(kernel)层。层。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l lWindows安全模型由以下几个关键部分构安全模型由以下几个关键部分构成，各部分在访问控制的不同阶段发挥了成，各部分在访问控制的不同阶段发挥了各自的作用。各自的作用。l l1)登录过程登录过程(logon process，LP)。接受。接受本地用户或者远程用户的登录请求，处本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。理用户信息，为用户做一些初始化工作。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l2)本地安全授权机构本地安全授权机构(local security authority，LSA)。根据安全账号管理器。根据安全账号管理器中的数据处理本地或者远程用户的登录中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是信息，并控制审计和日志。这是整个安整个安全子系统的核心全子系统的核心。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l3)安全账号管理器安全账号管理器(security account manager，SAM)。维护账号的安全性管维护账号的安全性管理数据库理数据库。l lSAM数据库，又称目录数据库数据库，又称目录数据库)。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l4)安全引用监视器安全引用监视器(security reference monitor，SRM)。检查存取合法性，防检查存取合法性，防止非法存取和修改。止非法存取和修改。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l(2)Windows的安全概念的安全概念l l1)安全标识安全标识(security identifier，SID)。安全标识和账号唯一对应，在账号创建安全标识和账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再时创建，账号删除时删除，而且永不再用。用。l l安全标识与对应的用户和组的账号信息安全标识与对应的用户和组的账号信息一起存储在一起存储在SAM数据库里。数据库里。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l2)访问令牌访问令牌(access token)。当用户登录当用户登录时，本地安全授权机构为用户创建一个时，本地安全授权机构为用户创建一个访问令牌，包括用户名、所在组、安全访问令牌，包括用户名、所在组、安全标识等信息标识等信息。以后，用户的所有程序都。以后，用户的所有程序都将拥有访问令牌的拷贝。将拥有访问令牌的拷贝。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l3)主体。主体。用户登录到系统之后，本地安用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌，全授权机构为用户构造一个访问令牌，这个令牌与该用户所有的操作相联系，这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成一用户进行的操作和访问令牌一起构成一个主体。个主体。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l4)对象、资源、共享资源。对象的实质对象、资源、共享资源。对象的实质是封装了数据和处理过程的一系列信息是封装了数据和处理过程的一系列信息集合体集合体；资源是用于网络环境的对象；资源是用于网络环境的对象；共享资源是在网络上共享的对象共享资源是在网络上共享的对象。l l5)安全描述符安全描述符(security descript)。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l lWindows系统为共享资源创建的安全描述系统为共享资源创建的安全描述符包含了该对象的一组安全属性，分为符包含了该对象的一组安全属性，分为4个个部分：部分：l l 所有者安全标识所有者安全标识(owner security ID)，拥有该对象的用户或者用户组的，拥有该对象的用户或者用户组的SID；l l 组安全标识组安全标识(group security)；第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l 自主访问控制表自主访问控制表(DAC)，该对象的访问，该对象的访问控制表，由对象的所有者控制；控制表，由对象的所有者控制；l l 系统访问控制表系统访问控制表(ACL)，定义操作系统，定义操作系统将产生何种类型的审计信息，由系统的安全将产生何种类型的审计信息，由系统的安全管理员控制。管理员控制。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l其中，安全描述符中的每一个其中，安全描述符中的每一个访问控制表访问控制表(ACL)都由都由访问控制项访问控制项(ACEs)组成，组成，用来用来描述用户或者组对对象的访问或审计权限描述用户或者组对对象的访问或审计权限。l lACEs有有3种类型：种类型：Access Allowed、Access Denied和和System Audit。前两种用于自主访。前两种用于自主访问控制；后一种用于记录安全日志问控制；后一种用于记录安全日志。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l(3)Windows的访问控制过程的访问控制过程l l当一个账号被创建时，当一个账号被创建时，Windows为它分为它分配一个配一个SID，并与其他账号信息一起存，并与其他账号信息一起存入入SAM数据库。数据库。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l每次用户登录时，登录主机每次用户登录时，登录主机(通常为工作通常为工作站站)的系统首先把用户输入的用户名、口的系统首先把用户输入的用户名、口令和用户希望登录的服务器域信息送给令和用户希望登录的服务器域信息送给安全账号管理器，安全账号管理器将这安全账号管理器，安全账号管理器将这些信息与些信息与SAM数据库中的信息进行比较，数据库中的信息进行比较，第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l比较结果，如果匹配，服务器发给工作比较结果，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安全站允许访问的信息，并返回用户的安全标识和用户所在组的安全标识，工作站标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工记录用户账号的特权、主目录位置、工作站参数等信息。作站参数等信息。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l然后，本地安全授权机构为用户创建访然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标问令牌，包括用户名、所在组、安全标识等信息。此后，用户每新建一个进程，识等信息。此后，用户每新建一个进程，都将访问令牌复制作为该进程的访问令都将访问令牌复制作为该进程的访问令牌。牌。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制l l当用户或者用户生成的进程要访问某个对象时，当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户安全引用监视器将用户/进程的访问令牌中的进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。行比较，从而决定用户是否有权访问对象。l l在这个过程中应该注意在这个过程中应该注意SID对应账号的整个有对应账号的整个有效期，而访问令牌只对应某一次账号登录效期，而访问令牌只对应某一次账号登录(系系统出问题后重启统出问题后重启)。第第第第 6-1 6-1 6-1 6-1讲讲讲讲 访问控制技术与访问控制技术与WindowsWindows访问控制访问控制p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe学习总结结束语当你尽了自己的最大努力时，失败也是伟大的，所以不要放弃，坚持就是正确的。When You Do Your Best,Failure Is Great,So DonT Give Up,Stick To The End演讲人：XXXXXX 时 间：XX年XX月XX日