windows安全基础
- 安全主体 security principal
是可以进行身份验证的实体。
哪个安全主体在要求访问?这个维度可以是用户,计算机和进程。一旦确认以后,系统就会发放SID。
例子:你正在运行服务,该进程需要访问计算机上的文件。操作系统需要知道谁要求访问这些文件。这个时候需要有适用于它的安全主体。
您将在windows中找到任何对象或实体都有一个安全主体(security principal)
- 安全标识符 security identifier(SID)
类似于系列号。windows中创建对象或实体时,会创建一个唯一的SID。每个安全主体都有一个唯一SID。
如果你强烈渴望更详细的看看SID,记住两个搜索的地方,WIKI和微软的开发人员中心。
较短的本地SID:S-1-1-0 较长的是域SID:S-1-1-1-1111111-1111111111-111111111-1111
我们不需要纠结身份证的每一个数字都是什么含义,同理我们也不需要知道SID的每一节是啥意思,只需要掌握如何用就行了。
并非所有的知识您都需要仔细学习,适当的取舍与删减在个人的成长过程中会经常运用。
如果您不确定什么知识是您确切需要的,可以参考edx平台上的安全,取证的入门课程。(自己花二十分钟,每个菜单点点很容易就会找到的。)
把听不明白的术语记录下来,再回过头来学习windows server 系列的课程时,您就会发现什么rand0 rand1,你怎么备份数据,硬件怎么读取设置,特么管我鸟事。
也不必纠结最优的解,如果怕麻烦,最好就是管他三七二十一还是二十几,windows server课程全部刷掉就行了。
打开注册表-CMD-regedit HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion ProfileList
这里已用户的SID命名
创建一个用户test,系统为用户提供一个SID,不需要时删除了这个用户。以后再创建一个用户名字还是test,系统为用户提供一个新的SID。即使用户名一样,系统也可以通过不同的SID区分它们。如果这时在另一个域中创建一个用户还是test,分配的SID还是一个新的。所有的SID都不一样。类似于身份证,没有相同的。
- ACE / ACL 为了确定是否允许安全主体访问
Access Control Entry/Access Control List 访问控制条目和列表
例子:比如test用户对应的SID要访问word,系统需要确定是否允许test用户访问,使用SID为test用户创建ACE/ACL,最后就是一个SID是否匹配的问题。
攻击者是否有可能获得用户的SID,使用它去访问呢?这就引入了新的部分,windows的安全流程
- Access Token
为了防止未经授权的访问,windows使用access token。它包含该安全主体的上下文,SID,权限,组成员等。
例子:有一个用户test,通过域控制器对test进行身份验证。账户密码正确以后,域控制器会为该用户生成一个access token,访问令牌会包含(user SID,group SID等信息)。然后将其传递给用户。用户手里就有access token了,他使用这个访问令牌来访问网络上的资源。注销或重启登陆,会让access token的数字签名发生变化。
此域中海油一个文件共享服务器,设置了ACL(Group SID)。当用户尝试访问共享文件时,其令牌将传递到文件服务器与ACL中的SID信息进行比较。访问令牌使用数字签名等技术来确保是否篡改。这个数字签名的秘钥在域服务器中。
2842
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
