windows系统安全6(访问控制)

第六章：访问控制第六章：访问控制内容内容l1 1 访问控制概述访问控制概述l2 2 访问控制机制访问控制机制l3 3 用户和组基础用户和组基础内置本地组内置本地组默认组成员默认组成员1 访问控制概述访问控制概述l访问控制的目的：访问控制的目的： 限制访问主体（用户、进程、服务等）对限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用。从而使计算机系统在合法范围内使用。l描述一个保护系统的最简单框架模型是使描述一个保护系统的最简单框架模型是使用访问控制矩阵模型，这个模型将所有用用访问控制矩阵模型，这个模型将所有用户对于文件的权限存储在矩阵中。户对于文件的权限存储在矩阵中。访问控制矩阵模型访问控制矩阵模型l客体集客体集O O是所有被保护实体的集合（所有于是所有被保护实体的集合（所有于系统保护状态相关的实体）。系统保护状态相关的实体）。l主体集主体集S S是所有活动对象的集合，如进程和是所有活动对象的集合，如进程和用户。用户。l所有的权限的类型用集合所有的权限的类型用集合R R来表示。来表示。l在访问控制矩阵模型中，客体集在访问控制矩阵模型中，客体集O O和主体集和主体集S S之间的关系用带有权限的矩阵之间的关系用带有权限的矩阵A A来描述，来描述，A A中的任意元素中的任意元素a s , o a s , o 满足满足s s S, oS, o O O, a , a s , o s , o R R。元素。元素a s , o a s , o 代表的意义是主代表的意义是主体体s s对于客体对于客体o o具有权限具有权限a s , o a s , o 。 安全策略安全策略l安全策略是一种声明，它将系统的状态分成两个集合：安全策略是一种声明，它将系统的状态分成两个集合：已授权的，即安全的状态集合；未授权的，即不安全已授权的，即安全的状态集合；未授权的，即不安全的状态集合。任何访问控制策略最终均可被模型化为的状态集合。任何访问控制策略最终均可被模型化为访问矩阵形式。访问矩阵形式。目标目标x读、修改、管理读、修改、管理读、修改、管理读、修改、管理目标目标y目标目标z用户用户a用户用户b用户用户c用户用户d读读读读读、修改、管理读、修改、管理读、修改读、修改读、修改读、修改 目标目标用户用户 访问矩阵实例访问矩阵实例访问控制策略类型访问控制策略类型l强制访问控制（强制访问控制（Mandatory access controlMandatory access control）系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通常对数据和用户按照安全别或对象的安全属性。这种访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定授予还是拒等级划分标签，访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事用途。常用于军事用途。l自主访问控制自主访问控制（Discretionary access controlDiscretionary access control）自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业系统。其易用性与可扩展性，自主访问控制机制经常被用于商业系统。主流操作系统主流操作系统(Windows Server, UNIX(Windows Server, UNIX系统系统) )，防火墙（，防火墙（ACLsACLs）等都是基于自主访问控制机制来实现访问控制。等都是基于自主访问控制机制来实现访问控制。l基于角色的访问控制（基于角色的访问控制（Role based access control Role based access control ）用户角色操作客体许可l矩阵中的许多元素常常为空。在实现自主矩阵中的许多元素常常为空。在实现自主访问控制机制时，常常是基于访问控制机制时，常常是基于1 矩阵的行来表达访问控制信息。矩阵的行来表达访问控制信息。2 矩阵的列来表达访问控制信息矩阵的列来表达访问控制信息基于访问控制列表基于访问控制列表基于保护位基于保护位l访问控制矩阵的行访问控制矩阵的行 file1file1file2file2file3file3AndyAndyrxrxr rrworwoBettyBettyrwxorwxor rCharlieCharlierxrxrworwow wC-Lists:C-Lists:lAndy: (file1, rx) (file2, r) (file3, rwoAndy: (file1, rx) (file2, r) (file3, rwo) ) lBetty: (file1, rwxoBetty: (file1, rwxo) (file2, r) ) (file2, r) lCharlie: (file1, rx) (file2, rwoCharlie: (file1, rx) (file2, rwo) (file3, w) ) (file3, w) 访问控制列表（访问控制列表（ACL）l访问控制矩阵的列访问控制矩阵的列l file1file1file2file2file3file3lAndyAndyrxrxr rrworwolBettyBettyrwxorwxor rlCharlieCharlierxrxrworwow wlACLsACLs: :file1: (Andy, rx) (Betty, rwxo) (Charlie, rx) file2: (Andy, r) (Betty, r) (Charlie, rwo) file3: (Andy, rwo) (Charlie, w) 保护位保护位l如果主体很多，可以在访问控制列表中使用组如果主体很多，可以在访问控制列表中使用组ACLs 很长，所以合并用户很长，所以合并用户 UNIX: 三级用户三级用户: owner, group, restrwx rwx rwxrestgroupowner2 Windows安全模型安全模型l安全主体的访问令牌安全主体的访问令牌 客体的安全描述客体的安全描述用户登录时，系统为其创建访问令牌用户登录时，系统为其创建访问令牌用户启动程序时，线程获取令牌的拷贝用户启动程序时，线程获取令牌的拷贝程序请求访问客体时，提交令牌。程序请求访问客体时，提交令牌。系统使用该令牌与客体的安全描述进行比较来执行访问系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制检查和控制l2.1 2.1 保护客体对象保护客体对象 安全描述符安全描述符Windows 2000可保护的对象列表可保护的对象列表文件和文件夹文件和文件夹网络共享网络共享打印机打印机管道管道进程和线程进程和线程服务服务每一个安全性对象都有一个安全性描述符与之相连每一个安全性对象都有一个安全性描述符与之相连l一个安全描述符包含以下信息一个安全描述符包含以下信息对象所有者的对象所有者的SID基本所有组的基本所有组的SID自定义的访问控制列表（自定义的访问控制列表（DACL:discretionary access control list）系统访问控制列表（系统访问控制列表（SACL:system access control list）DACLDACL（discretionary access-control listdiscretionary access-control list）: :用来做访问用来做访问控制，决定用户是否有相关权限控制，决定用户是否有相关权限SACL (security access-control list):SACL (security access-control list):用于审计的列表用于审计的列表客体的客体的 安全描述安全描述l当在授权用户安全环境中执行的线程创建对象当在授权用户安全环境中执行的线程创建对象时，安全描述中就会被填入访问控制信息。时，安全描述中就会被填入访问控制信息。l访问控制信息的来源：访问控制信息的来源：执行线程（主体线程）直接把访问控制信息分配给对象。执行线程（主体线程）直接把访问控制信息分配给对象。系统从父对象中检查可继承的访问控制信息，并将其分配系统从父对象中检查可继承的访问控制信息，并将其分配给对象。给对象。（如果有冲突，下级的优先权更高）（如果有冲突，下级的优先权更高）系统使用对象管理器所提供的默认访问控制信息，并将其系统使用对象管理器所提供的默认访问控制信息，并将其分配给对象。分配给对象。（如果前两种权限不存在，就用这项，可能（如果前两种权限不存在，就用这项，可能性不大）性不大）l访问控制列表（访问控制列表（ACLACL） 是访问控制项是访问控制项(ACE)(ACE)的有序列表的有序列表l“ “空空DACL”DACL”和和”无无DACL”DACL”空空DACLDACL在列表中没有任何在列表中没有任何ACEACE的存在，因此也就不允许任何的存在，因此也就不允许任何用户进行访问。用户进行访问。无无DACLDACL指的是对于该对象没有任何保护，发出请求的任何用指的是对于该对象没有任何保护，发出请求的任何用户都被允许访问该对象。户都被允许访问该对象。访问控制项访问控制项(ACE)(ACE)的结构的结构lACEACE大小大小分配的内存字节数分配的内存字节数lACEACE类型类型允许、禁止或监视访问允许、禁止或监视访问l继承和审计标志继承和审计标志l访问屏蔽码访问屏蔽码32位，每一位对应着该对象的访问权限，可设置为打位，每一位对应着该对象的访问权限，可设置为打开或关闭。开或关闭。lSIDSID标识标识访问控制项在列表中的顺序访问控制项在列表中的顺序l直接直接ACEACE在继承在继承ACEACE之前之前l从第一层（父对象）继承下从第一层（父对象）继承下来的来的ACEACE在在ACLACL的最前面。的最前面。l拒绝拒绝ACEACE在允许在允许ACEACE之前之前2.2 标识主体：安全标识符标识主体：安全标识符Windows 使用安全标识符使用安全标识符（SID）来唯一标示安全主）来唯一标示安全主体和安全组体和安全组SID在主体账户和安全组创在主体账户和安全组创建时生成。建时生成。SID的创建者和作用范围依的创建者和作用范围依赖于账户类型赖于账户类型SID的一般格式的一般格式l访问令牌访问令牌 当用户登录系统时，当用户登录系统时，LSA就会从登录进程中获得该用就会从登录进程中获得该用户和所属组的户和所属组的SID,并用这些并用这些SID为用户创建令牌。为用户创建令牌。此后代表该用户工作的每个进程和线程都将获得一份该此后代表该用户工作的每个进程和线程都将获得一份该访问令牌的拷贝访问令牌的拷贝安全访问令牌的内容安全访问令牌的内容lUser :User :用户账号的用户账号的SIDSIDlGroups:Groups:用户所属组的一列用户所属组的一列SIDSIDlOwners:Owners:持有的持有的 用户或安全组的用户或安全组的SIDSIDlPrimary Group :Primary Group :用户主要安全组的用户主要安全组的SIDSIDlDefault DACL Default DACL ：当主体创建一个客体时的默认访问当主体创建一个客体时的默认访问控制列表控制列表lPrivileges:Privileges:用户在本地计算机上所具有的特权列表用户在本地计算机上所具有的特权列表lSource:Source:即导致访问令牌被创建的进程即导致访问令牌被创建的进程lType:Type:主令牌还是主令牌还是模拟令牌模拟令牌l模拟级别模拟级别l统计信息统计信息l限制限制SIDSIDl会话会话IDID模拟（模拟（Impersonation）l模拟能力是为了适应客户模拟能力是为了适应客户/ /服务器应用的安全服务器应用的安全需求而设计的。需求而设计的。正常情况下，服务进程在自己的安全上下文内运行，其中正常情况下，服务进程在自己的安全上下文内运行，其中的线程使用服务自己安全环境相关联的的线程使用服务自己安全环境相关联的主访问令牌主访问令牌。客户请求服务时，服务进程创建执行线程来完成任务。该客户请求服务时，服务进程创建执行线程来完成任务。该线程使用客户安全环境相关联的线程使用客户安全环境相关联的模拟令牌模拟令牌。任务完成之后，线程丢弃模拟令牌并重新使用服务的主访任务完成之后，线程丢弃模拟令牌并重新使用服务的主访问令牌。问令牌。l模拟级别模拟级别当客户连接到服务器并请求模拟时，还可以选择一个模拟级别当客户连接到服务器并请求模拟时，还可以选择一个模拟级别（Impersonation level）,有如下四种级别有如下四种级别Anonymous(匿名匿名) 允许服务程序模拟客户身份，但可以不让服务知道任何有关客户的信息允许服务程序模拟客户身份，但可以不让服务知道任何有关客户的信息Identify(等同等同) 允许服务获得客户的身份供自己使用，但不允许服务模拟该用户允许服务获得客户的身份供自己使用，但不允许服务模拟该用户Impersonation(模拟模拟) 允许服务器在访问服务器计算机上的资源时，可模拟客户来访问网络资源允许服务器在访问服务器计算机上的资源时，可模拟客户来访问网络资源Delegate(委派委派) 允许服务在访问服允许服务在访问服 务器计算机和其他计算机上的资源时，模拟客户。务器计算机和其他计算机上的资源时，模拟客户。3 用户和组用户和组l用户用户l组组n创建于创建于DC，对整个网络起作用，对整个网络起作用n创建于本机，只对本机起作用创建于本机，只对本机起作用 用户帐号用户帐号创建和设置域用户帐号创建和设置域用户帐号nAdministrator Guest System 等等用户权利的默认指派用户权利的默认指派安全组安全组用于授权用于授权：可用来分配访问资源的：可用来分配访问资源的权限和执行任务的权利。权限和执行任务的权利。安全组也可拥有分布组的所有功能。安全组也可拥有分布组的所有功能。分布组分布组不能用于授权，不能用于授权，当组的唯一功能当组的唯一功能与安全性（如同时向一组用户发与安全性（如同时向一组用户发送电子邮件）不相关时，可以是送电子邮件）不相关时，可以是用分布组用分布组组的类型和范围组的类型和范围域组域组本地组本地组l创建于创建于DCDCl存于存于 Active DirectoryActive Directoryl控制对域资源的访问控制对域资源的访问n创建于非创建于非DC计算机计算机n保存于保存于SAM中中n控制对本机资源的访问控制对本机资源的访问Domain ControllerClient ComputerMember Server组的范围组的范围本地组本地组l本地组是本地计算机上的用户账户集合本地组是本地计算机上的用户账户集合本地组权限只提供对本地组所在计算机上资源的访问本地组权限只提供对本地组所在计算机上资源的访问可在运行可在运行windows2000的非域控制器的计算机上使用的非域控制器的计算机上使用本地组，不能在域控制器上创建本地组。本地组，不能在域控制器上创建本地组。内置本地组内置本地组Administrators 管理员对计算机管理员对计算机/域有不受限制的完全访问权域有不受限制的完全访问权Power Users 权限高的用户拥有最高的管理权限，但有限制。权限高的用户拥有最高的管理权限，但有限制。 因因 此，权限高的用户可以运行经过证明的文此，权限高的用户可以运行经过证明的文 件，也可以运行继承应用程序。件，也可以运行继承应用程序。Users 用户无法进行有意或无意的改动。因此，用户可用户无法进行有意或无意的改动。因此，用户可 以运行经过证明的文件，但不能运行大多数继承以运行经过证明的文件，但不能运行大多数继承 应用程序。应用程序。Guests 按默认值，来宾跟用户组的成员有同等访问权，按默认值，来宾跟用户组的成员有同等访问权， 但来宾账户的限制更多。但来宾账户的限制更多。Backup Operators 备份操作员为了备份或还原文件可以替代安全限备份操作员为了备份或还原文件可以替代安全限 制制Replicator 支持域中的文件复制。支持域中的文件复制。Users组组(了解了解)l不允许破坏操作系统的完整性和所安装的应不允许破坏操作系统的完整性和所安装的应用程序。用程序。l不能修改机器级的注册设置、操作系统文件不能修改机器级的注册设置、操作系统文件或程序文件。或程序文件。l不能装可以被其他用户运行的应用程序。不能装可以被其他用户运行的应用程序。l不能访问其他用户的私有数据。不能访问其他用户的私有数据。Power Users组（了解）组（了解）l创建本地用户和组创建本地用户和组l修改其创建的用户和组修改其创建的用户和组l创建和删除创建和删除非管理员文件共享非管理员文件共享。l创建、管理、删除和共享本地打印机。创建、管理、删除和共享本地打印机。l修改系统时间。修改系统时间。l停止或启动停止或启动非自动启动非自动启动的服务。的服务。l允许安装无需修改系统服务的应用程序。允许安装无需修改系统服务的应用程序。本地组管理工具本地组管理工具RunAs服务服务(辅助登录服务辅助登录服务)lRunAsRunAs服务使得管理员可以使用标准的用户账户服务使得管理员可以使用标准的用户账户登录，并在必要的时候可以调用具有更高权限的登录，并在必要的时候可以调用具有更高权限的管理员控制台来执行管理任务。管理员控制台来执行管理任务。 在管理工具（在管理工具（Administrative Tool）应用组件上右击，然）应用组件上右击，然后从弹出的后从弹出的 菜单中选择菜单中选择运行为运行为. 在在Dos命令符中输入命令符中输入runas 。范围范围全局组全局组用于组织域用户用于组织域用户域本地组域本地组用于分配权限用于分配权限通用组通用组用于组织多域用户用于组织多域用户域组域组域组作用域域组作用域l通用组通用组(Universal Group)(Universal Group)成员可来自森林中的任何域成员可来自森林中的任何域可访问任何域中的资源可访问任何域中的资源存储在全局编录存储在全局编录GC中中l全局组全局组(Global Group)(Global Group)成员仅可来自本地域成员仅可来自本地域可访问任何域中的资源可访问任何域中的资源存储在创建它的域中，只能在这个域中复制出现在存储在创建它的域中，只能在这个域中复制出现在GC中，但它的成员不出现。中，但它的成员不出现。l域本地组域本地组(Domain Local Group)(Domain Local Group)成员可来自森林中的任何域成员可来自森林中的任何域仅可访问本地域内的资源仅可访问本地域内的资源其中可包含通用组和全局组其中可包含通用组和全局组存储在创建它的域中，只能在这个域中复制，不会出存储在创建它的域中，只能在这个域中复制，不会出现在现在GC中。中。 单域中使用组的单域中使用组的AGDLP规则规则加入加入域本地组域本地组加入加入全局组全局组用户帐号用户帐号分配分配权限权限在单域中使用组的规则在单域中使用组的规则创建和配置域中的组创建和配置域中的组ENDEND