第八章：访问控制 本章内容主要涉及到 访问控制模型 访问控制策略的表达 访问控制执行机制 访问控制配置管理功能 内容 1 访问控制概述(模型及策略表达) 2 Windows访问控制执行机制 3 windows用户、组及其权限设置 4 windows默认的访问控制设置 1 访问控制概述 1.1 访问控制的目的： 限制访问主体（用户、进程、服务等）对访 问客体（文件、系统等）的访问权限，从而 使计算机系统在合法范围内使用。 1 访问控制概述 1.2 常见访问控制模型： 强制访问控制（Mandatory access control：MAC） 自主访问控制（Discretionary access control:DAC） 主流操作系统，防火墙（ACLs）等都是基于自主访问 控制机制来实现访问控制。 基于角色的访问控制（Role based access control :RBAC） 基于任务的访问控制模型(TBAC) 基于属性的访问控制模型 使用控制模型UCON 强制访问控制（Mandatory access control） 系统独立于用户行为强制执行访问控制，用户不能改变他们的安 全级别或对象的安全属性。这种访问控制规则通常对数据和用户 按照安全等级划分标签，访问控制机制通过比较安全标签来确定 授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等 级划分，所以经常用于军事用途。 自主访问控制（Discretionary access control） 自主访问控制机制允许对象的属主来制定针对该对象的保护策 略。通常DAC通过授权列表（或访问控制列表）来限定哪些主体 针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略 进行调整。由于其易用性与可扩展性，自主访问控制机制经常被 用于商业系统。 RBAC 用户用户 角色角色 操作操作 客体客体 许可许可 管理管理 员员 基于角色的访问控制（基于角色的访问控制（Role based access control ） 1 访问控制概述 1. 3 访问控制策略 访问控制策略是一种声明，是访问规则的集合，它将 系统的状态分成两个集合：已授权的，即安全的状 态集合；未授权的，即不安全的状态集合。 1. 3 访问控制策略 描述一个模型的最简单策略框架是使用访问控 制矩阵，这将所有用户对于资源的权限存储 在矩阵中。 目标目标x 读、修改、管理读、修改、管理 读、修改、管理读、修改、管理 目标目标y 目标目标z 用户用户a 用户用户b 用户用户c 用户用户d 读读 读读 读、修改、管理读、修改、管理 读、修改读、修改 读、修改读、修改 目标目标 用户用户 访问矩阵实例访问矩阵实例 矩阵中的许多元素常常为空。在实现自 主访问控制机制时，常常是基于 1 矩阵的行来表达访问控制信息。 2 矩阵的列来表达访问控制信息 基于访问控制列表(ACL) 基于保护位 访问控制列表（ACL） 访问控制矩阵的列 file1 file2 file3 Andy rx r rwo Betty rwxo r Charlie rx rwo w ACLs: file1: (Andy, rx) (Betty, rwxo) (Charlie, rx) file2: (Andy, r) (Betty, r) (Charlie, rwo) file3: (Andy, rwo) (Charlie, w) 保护位 如果主体很多，可以在访问控制列表中使用组 ACLs 很长，所以合并用户 UNIX: 三级用户: owner, group, rest rwx rwx rwx rest group owner 内容 1 访问控制概述(模型及策略表达) 2 Windows访问控制执行机制 3 windows用户、组及其权限设置 4 windows默认的访问控制设置 2 Windows访问控制执行机制 2.1客体对象 2.2主体及主体标识 2.3 模拟 2 Windows访问控制执行机制 安全主体的访问令牌客体的安全描述 用户登录时，系统为其创建访问令牌 用户启动程序时，线程获取令牌的拷贝 程序请求访问客体时，提交令牌。 系统使用该令牌与客体的安全描述进行比较来执 行访问检查和控制 安全引用安全引用 监视器监视器 Windows访问控制执行机制访问控制执行机制 访问令牌访问令牌 安全访问令牌 安全访问令牌由登录进程分配，并伴随用户启动的 每一个进程，是用户访问系统资源的凭证 安全访问令牌的主要内容 用户的SID 组ID 访问令牌来源 当前模拟级别 用户或组的特权 2.1 保护客体对象 保护客体对象安全描述符 每一个安全性对象都有一个安全性描述符与之相连。 一个安全描述符包含以下信息 对象所有者的SID （Security identifier） 基本所有组的SID 自定义的访问控制列表（DACL:discretionary access control list） 系统访问控制列表（SACL:system access control list） DACLDACL（discretionary accessdiscretionary access- -control listcontrol list）: :用来做访问用来做访问 控制，决定用户是否有相关权限控制，决定用户是否有相关权限 SACL (security accessSACL (security access- -control list):control list):用于审计的列表用于审计的列表 2.1 保护客体对象 客体的 安全描述 当在授权用户安全环境中执行的线程创建对象时，安 全描述中就会被填入访问控制信息。 访问控制信息的来源： 直接把访问控制信息分配给对象。 从父对象中检查可继承的访问控制信息，并将其分配给对象。 （如果有冲突，下级的优先权更高） 系统使用对象管理器（OM）所提供的默认访问控制信息， 并将其分配给对象。（如果前两种权限不存在，就用这项， 可能性不大） 2.1 保护客体对象 访问控制列表ACL(Access Control List) 是包含有访问控制项(ACE)的一个列表。 注意： 空DACL 在列表中没有任何ACE的存在，因此也就不允许 任何用户进行访问。 无DACL 指的是对于该对象没有任何保护，发出请求的任 何用户都被允许访问该对象。 访问控制项(ACE)的结构 ACE大小:分配的内存字节数 ACE类型:允许、禁止或监视访问 继承和审计标志 访问屏蔽码:32位，每一位对应着该对象的访问 权限，可设置为打开或关闭。 SID标识 冲突解决方法- （ACE在列表中的顺序） 拒绝ACE在允许ACE之前 直接ACE在继承ACE之前 从第一层（父对象）继承下来的ACE在其他ACE前面 2.2 标识主体：安全标识符 Windows 使用安全标 识符（SID）来唯一标 示安全主体和安全组 SID在主体账户和安全 组创建时生成。 SID的创建者和作用范 围依赖于账户类型 SID的一般格式 2.2 标识主体 访问令牌 当用户登录系统时，LSA就会从登录进程中获得 该用户和所属组的SID,并用这些SID为用户创建 令牌。 此后代表该用户工作的每个进程和线程都将获得一 份该访问令牌的拷贝 安全访问令牌的内容（了解） User :用户账号的SID Groups:用户所属组的一列SID Owners:持有的 用户或安全组的SID Primary Group :用户主要安全组的SID Default DACL ：当主体创建一个客体时的默认访问控制列表 Privileges:用户在本地计算机上所具有的特权列表 Source:即导致访问令牌被创建的进程 Type:主令牌还是模拟令牌 模拟级别：指示服务对该访问令牌所代表的客户的安全上下文 的接受程度 统计信息 限制SID 会话ID 2.3 模拟（Impersonation） 模拟能力是为了适应客户/服务器应用的安全需求 而设计的。 线程能够在与拥有它的进程的上下文不同的安全 上下文里执行，这种能力称为模拟。 正常情况下，服务进程在自己的安全上下文内运行， 其中的线程使用服务自己安全环境相关联的主访问令 牌。 客户请求服务时，服务进程创建执行线程来完成任务。 该线程使用客户安全环境相关联的模拟令牌。 任务完成之后，线程丢弃模拟令牌并重新使用服务的 主访问令牌。 模拟级别 当客户连接到服务器并请求模拟时，还可以选择一个模拟级 别（Impersonation level）,有如下四种级别 Anonymous(匿名) 服务可模拟客户，但模拟令牌不含有客户的任何信息 Identify(标识) 允许服务获得客户的身份供自己使用，但不允许服务模拟该 用户 Impersonation(模拟) 允许服务器在访问服务器计算机上的资源时，可模拟客户来 访问资源 Delegate(委派) 允许服务在访问服务器计算机和其他计算机上的资源时，都 可模拟客户。 3 访问控制配置管理- 用户、组及其权限设置 3.1 用户 3.2 组的类型和范围 3.3 本地组的权利指派： 3.4 域组及权利指派 域用户帐号域用户帐号 创建于创建于DC，对整个网络起作用，对整个网络起作用 本地帐号本地帐号 创建于本机，只对本机起作用创建于本机，只对本机起作用 3.1 用户帐号回顾用户帐号回顾 本地账户创建 创建和设置域用户帐号创建和设置域用户帐号 内置帐号内置帐号 Administrator Guest System 等等 组的类型组的类型 安全组安全组 用于授权用于授权：可用来分配访问资源的可用来分配访问资源的 权限和执行任务的权利。权限和执行任务的权利。 安全组也可拥有分布组的所有功能。安全组也可拥有分布组的所有功能。 分布组分布组 不能用于授权，不能用于授权，当组的唯一功能当组的唯一功能 与安全性（如同时向一组用户发与安全性（如同时向一组用户发 送电子邮件）不相关时，可以是送电子邮件）不相关时，可以是 用分布组用分布组 3.2 组的类型和范围组的类型和范围 2 域组域组 创建于DC 存于 Active Directory 控制对域资源的访问 Domain Controller 组的范围组的范围 1 本地组本地组 创建于非创建于非DC计算机计算机 保存于保存于SAM中中 控制对本机资源的访问控制对本机资源的访问 Client Computer Member Server SAM SAM 5.3.2.1 本地组 本地组是本地计算机上的用户账户集合 本地组权限只提供对本地组所在计算机上资源 的访问 可在运行windows的非域控制器的计算机上使 用本地组，不能在域控制器上创建本地组。 内置本地组 Administrators ：管理员对计算机/域有不受限制的完全访问权 Power Users ： 权限高的用户拥有最高的管理权限，但有限制。 因 此，权限高的用户可以运行经过证明的文件，也可以运行继承 应用程序。 Users ：用户无法进行有意或无意的改动。因此，用户可