第五章：访问控制,内容,1 访问控制概述 2 访问控制机制 3 用户和组基础 4 内置本地组 默认组成员 默认的访问控制设置,1 访问控制概述,访问控制的目的： 限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用。,描述一个保护系统的最简单框架模型是使用访问控制矩阵模型，这个模型将所有用户对于文件的权限存储在矩阵中。,访问控制矩阵模型,客体集O是所有被保护实体的集合（所有于系统保护状态相关的实体）。 主体集S是所有活动对象的集合，如进程和用户。 所有的权限的类型用集合R来表示。 在访问控制矩阵模型中，客体集O和主体集S之间的关系用带有权限的矩阵A来描述，A中的任意元素a s , o 满足sS, oO, a s , o R。元素a s , o 代表的意义是主体s对于客体o具有权限a s , o 。,安全策略,安全策略是一种声明，它将系统的状态分成两个集合：已授权的，即安全的状态集合；未授权的，即不安全的状态集合。任何访问控制策略最终均可被模型化为访问矩阵形式。,目标x,读、修改、管理,读、修改、管理,目标y,目标z,用户a,用户b,用户c,用户d,读,读,读、修改、管理,读、修改,读、修改,目标 用户,访问矩阵实例,矩阵中的许多元素常常为空。在实现自主访问控制机制时，常常是基于 1 矩阵的行来表达访问控制信息。 2 矩阵的列来表达访问控制信息 基于访问控制列表 基于保护位,访问控制矩阵的行 file1 file2 file3 Andy rx r rwo Betty rwxo r Charlie rx rwo w C-Lists: Andy: (file1, rx) (file2, r) (file3, rwo) Betty: (file1, rwxo) (file2, r) Charlie: (file1, rx) (file2, rwo) (file3, w) ,访问控制列表（ACL）,访问控制矩阵的列 file1 file2 file3 Andy rx r rwo Betty rwxo r Charlie rx rwo w ACLs: file1: (Andy, rx) (Betty, rwxo) (Charlie, rx) file2: (Andy, r) (Betty, r) (Charlie, rwo) file3: (Andy, rwo) (Charlie, w) ,保护位,如果主体很多，可以在访问控制列表中使用组,ACLs 很长，所以合并用户 UNIX: 三级用户: owner, group, rest rwx rwx rwx rest group owner,访问控制策略类型,强制访问控制（Mandatory access control） 系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级 别或对象的安全属性。这种访问控制规则通常对数据和用户按照安全 等级划分标签，访问控制机制通过比较安全标签来确定授予还是拒 绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经 常用于军事用途。 自主访问控制（Discretionary access control） 自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通 常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客 体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于 其易用性与可扩展性，自主访问控制机制经常被用于商业系统。 主流操作系统(Windows Server, UNIX系统)，防火墙（ACLs） 等都是基于自主访问控制机制来实现访问控制。 基于角色的访问控制（Role based access control ） 基于任务的访问控制（Task based access control） 使用访问控制,2 Windows安全模型,安全主体的访问令牌客体的安全描述 用户登录时，系统为其创建访问令牌 用户启动程序时，线程获取令牌的拷贝 程序请求访问客体时，提交令牌。 系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制,2.1 保护客体对象安全描述符 Windows 2000可保护的对象列表 文件和文件夹 网络共享 打印机 管道 进程和线程 服务 每一个安全性对象都有一个安全性描述符与之相连,2.1 保护客体对象,一个安全描述符包含以下信息 对象所有者的SID 基本所有组的SID 自定义的访问控制列表（DACL:discretionary access control list） 系统访问控制列表（SACL:system access control list）,DACL（discretionary access-control list）:用来做访问控制，决定用户是否有相关权限 SACL (security access-control list):用于审计的列表,2.1 保护客体对象,客体的 安全描述 当在授权用户安全环境中执行的线程创建对象时，安全描述中就会被填入访问控制信息。 访问控制信息的来源： 执行线程（主体线程）直接把访问控制信息分配给对象。 系统从父对象中检查可继承的访问控制信息，并将其分配给对象。（如果有冲突，下级的优先权更高） 系统使用对象管理器所提供的默认访问控制信息，并将其分配给对象。（如果前两种权限不存在，就用这项，可能性不大）,2.1 保护客体对象,访问控制列表（ACL） 是访问控制项(ACE)的有序列表,2.1 保护客体对象,“空DACL”和”无DACL” 空DACL 在列表中没有任何ACE的存在，因此也就不允许任何用户进行访问。 无DACL 指的是对于该对象没有任何保护，发出请求的任何用户都被允许访问该对象。,访问控制项(ACE)的结构,ACE大小 分配的内存字节数 ACE类型 允许、禁止或监视访问 继承和审计标志 访问屏蔽码 32位，每一位对应着该对象的访问权限，可设置为打开或关闭。 SID标识,访问控制项在列表中的顺序,直接ACE在继承ACE之前 从第一层（父对象）继承下来的ACE在ACL的最前面。 拒绝ACE在允许ACE之前,2.2 标识主体：安全标识符,Windows 使用安全标识符（SID）来唯一标示安全主体和安全组 SID在主体账户和安全组创建时生成。 SID的创建者和作用范围依赖于账户类型,SID的一般格式,2.2 标识主体,访问令牌 当用户登录系统时，LSA就会从登录进程中获得该用户和所属组的SID,并用这些SID为用户创建令牌。 此后代表该用户工作的每个进程和线程都将获得一份该访问令牌的拷贝,安全访问令牌的内容,User :用户账号的SID Groups:用户所属组的一列SID Owners:持有的 用户或安全组的SID Primary Group :用户主要安全组的SID Default DACL ：当主体创建一个客体时的默认访问控制列表 Privileges:用户在本地计算机上所具有的特权列表 Source:即导致访问令牌被创建的进程 Type:主令牌还是模拟令牌 模拟级别：指示服务对该访问令牌所代表的客户的安全上下文的接受程度 统计信息 限制SID 会话ID,2.3 模拟（Impersonation）,线程能够在与拥有它的进程的上下文不同的安全上下文里执行，这种能力称为模拟。 模拟能力是为了适应客户/服务器应用的安全需求而设计的。 正常情况下，服务进程在自己的安全上下文内运行，其中的线程使用服务自己安全环境相关联的主访问令牌。 客户请求服务时，服务进程创建执行线程来完成任务。该线程使用客户安全环境相关联的模拟令牌。 任务完成之后，线程丢弃模拟令牌并重新使用服务的主访问令牌。,模拟级别 当客户连接到服务器并请求模拟时，还可以选择一个模拟级别（Impersonation level）,有如下四种级别 Anonymous(匿名) 服务可模拟客户，但模拟令牌不含有客户的任何信息 Identify(标识) 允许服务获得客户的身份供自己使用，但不允许服务模拟该用户 Impersonation(模拟) 允许服务器在访问服务器计算机上的资源时，可模拟客户来访问资源 Delegate(委派) 允许服务在访问服 务器计算机和其他计算机上的资源时，都可模拟客户。,3 用户和组,用户 组,3.1 用户帐号回顾,本地账户创建,创建和设置域用户帐号,组的类型,安全组,用于授权：可用来分配访问资源的 权限和执行任务的权利。 安全组也可拥有分布组的所有功能。,分布组,不能用于授权，当组的唯一功能 与安全性（如同时向一组用户发 送电子邮件）不相关时，可以是 用分布组,3.2 组的类型和范围,2 域组,创建于DC 存于 Active Directory 控制对域资源的访问,Domain Controller,组的范围,1 本地组,创建于非DC计算机 保存于SAM中 控制对本机资源的访问,3.2.1 本地组,本地组是本地计算机上的用户账户集合 本地组不同于具有域本地作用域的活动目录组 本地组权限只提供对本地组所在计算机上资源的访问 可在运行windows2000的非域控制器的计算机上使用本地组，不能在域控制器上创建本地组。,内置本地组,Administrators 管理员对计算机/域有不受限制的完全访问权 Power Users 权限高的用户拥有最高的管理权限，但有限制。 因 此，权限高的用户可以运行经过证明的文 件，也可以运行继承应用程序。 Users 用户无法进行有意或无意的改动。因此，用户可 以运行经过证明的文件，但不能运行大多数继承 应用程序。 Guests 按默认值，来宾跟用户组的成员有同等访问权， 但来宾账户的限制更多。 Backup Operators 备份操作员为了备份或还原文件可以替代安全限 制 Replicator 支持域中的文件复制。,本地组管理工具,Administrators组,安装操作系统和组件 （包括硬件驱动程序，系统服务及其他） 安装Service Pack和Hotfix修补程序。 安装Windows Update. 升级和修复操作系统 配置机器范围内的重要的操作系统参数 （如密码策略、访问控制、审核策略、内核模式驱动程序配置等） 获取已经不能访问的文件的所有权 管理安全措施和审核日志 备份和还原系统,RunAs服务(辅助登录服务),RunAs服务使得管理员可以使用标准的用户账户登录，并在必要的时候可以调用具有更高权限的管理员控制台来执行管理任务。 在管理工具（Administrative Tool）应用组件上右击，然后从弹出的 菜单中选择“运行为.“. 在Dos命令符中输入“runas“ 。,Users组,不允许破坏操作系统的完整性和所安装的应用程序。 不能修改机器级的注册设置、操作系统文件或程序文件。 不能装可以被其他用户运行的应用程序。 不能访问其他用户的私有数据。,Power Users组,创建本地用户和组 修改其创建的用户和组 创建和删除非管理员文件共享。 创建、管理、删除和共享本地打印机。 修改系统时间。 停止或启动非自动启动的服务。 允许安装无需修改系统服务的应用程序。,本地组的权限指派：,3.2.2 域组,域组作用域,域本地组(Domain Local Group) 在管理域资源时，我们一般会把权限指派给本地域组。而不会直接指派给用户账户。 本地域组可包含的成员 同一个域中的其他本地域组 森林中的任何域的用户成员 整个森林的全局组和通用组 特点 仅管理本地域内的资源 存储在创建它的域中，只能在这个域中复制，不会出现在GC中。,全局组(Global Group) 在实际应用中