Windows Security之自主访问控制

最新推荐文章于 2024-07-16 11:24:53 发布
最新推荐文章于 2024-07-16 11:24:53 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: windows编程 文档 文章标签: windows security 安全 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012515877/article/details/73556676
版权
自主访问控制允许资源所有者决定谁可以访问资源及权限。Windows Security中的核心组件安全引用监视器(SRM)执行访问检查,基于线程的安全身份(令牌)、期望的访问权和对象的安全设置(安全描述符)。令牌包含用户和组SID,而安全描述符规定对象访问权限。账户权限和特权则分别用于非对象操作和系统特定功能。
摘要由CSDN通过智能技术生成

自主的访问控制

这使得资源的所有者能够决定谁可以访问该资源,以及他们可以对它做些什么。资源的所有者为单个用户或者一组用户授予各种访问权限。

访问控制,简单的说就是授权,一项操作能否被授权决定了这项操作是否能在安全的前提下成功的进行下去。这里根据操作中是否跟一个特定的对象打交道将其分为两大类:

  1. 保护对象
  2. 账户权限和特权

保护对象

安全引用监视器(SRM) :这是Windows执行体(\Windows\System32\Ntoskrnl.exe)中的一个组件,他负责:

  1. 定义访问令牌数据结构(来表示一个安全环境)
  2. 执行对象的安全访问检查
  3. 管理特权(用户权限)
  4. 生成所有结果的安全审计消息

Windows安全模型要求一个线程打开一个对象的时候,必须制定它期望在该对象上执行哪些类型的动作(R、W、RW、…)系统根据一个线程期望的访问要求来执行 访问检查 。其中的核心模块当然是交由SRM处理的。

SRM安全模型的本质是一个包含三项输入的等式:

  1. 一个线程的安全身份(令牌)
  2. 该线程想要获得的对一个对象的访问权
  3. 该对象的安全设置(安全描述符)

输出为“是”或“否”,以此来表明此安全模型是否授予了该线程所期望的访问权。如果已授权,那么对象管理器将返回一个该对象的句柄以供线程使用。

下面详细讲解这个对象安全等式的各

最低0.47元/天 解锁文章
Muggle_
关注
专栏目录
windows访问控制列表ACL
第七宇林的博客
07-15 7738
文章目录术语定义分类DACLSACL安全对象(so) & 安全描述符(sd)安全对象安全描述符SECURITY_DESCRIPTOR结构体 windows访问控制列表 --ACL(Access Control List) 关于授权(authorization) 与 访问控制(Acess Control) 微软官网详细介绍: https://docs.microsoft.com/zh-cn...
强制访问控制
06-03
这是我自己写的一个强制访问控制mfc程序,间有很多功能还没实现,大神们有时间看看那!
访问控制举例
zhizhong
10-13 602
package lianxii; class Parent { private final int f1 = 1; int f2 = 2; protected int f3 = 3; public int f4 = 4; private void fm1() { ...
访问控制自主访问控制
最新发布
m0_73514785的博客
07-16 876
自主访问控制策略下,每一个客体有且仅有一个属主,由客体属主决定该客体的保护策略,系统决定某主体能否以某种方式访问某客体的依据,是系统是否存在相应属主的授权。最早的自主访问控制模型是访问矩阵模型,它将整个系统可能出现的客体访问情况用一个矩阵表示,主体、客体及授权的任何变化都将造成客体访问情况的变化,系统将检查这些变化是否符合已经定义好的安全特性要求,并进行相应的控制。主体Si访问能力表,图每一表项包括客体的标识和Si对该客体的访问能力,表所示的能力有四项:拥有(o),读(r),写(w),执行(x)。
权限管理组件 - winSecurity
dongxldante的专栏
12-10 373
winSecurity 适用基于springboot或spring创建的项目,依赖spring-data-jpa、shiro,与springboot集成较方便 提供权限管理相关的接口 提供接口文档(使用apidoc生成) winSecurity提供的接口可动态配置,默认全部提供 用户、角色信息支持扩展 关键业务逻辑支持扩展 权限可控制菜单、后端请求、页面的按钮,只要配置就可以使用 使用shi...
Python+Selenium+IE遇到windows security弹出框
weixin_43737310的博客
12-04 2300
driver.get(url)的时候遇到了https的Windows security弹出框,网上查了很多解决方案,试了好用的 https://stackoverflow.com/questions/43666687/how-to-handle-windows-security-pop-up-in-ie-windows-10-using-selenium,即: I was able to solv...
CISP——访问控制自主访问控制和强制访问控制
honest_gg的博客
02-24 9775
访问控制基本概念 什么是访问控制 为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用 访问控制作用 保证用户在系统安全策略下正常工作 拒绝非法用户的非授权访问请求 拒绝合法用户越权的服务请求 访问控制模型: 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的 组成: 主体、客体、实施、决策 访问控制模型的分类 自主访问控制模型(DA...
操作系统安全WINDOWS网络访问控制策略习题.docx
06-02
13. 访问控制自主访问控制和强制性两大类。 14. 组策略设置可以指定操作系统行为、桌面行为、安全性设置、计算机的启动和关机命令、计算机赋予的应用程序选项以及应用程序设置。 15. 修改组策略的继承性的常见...
VC++写的自主访问控制
03-22
在IT领域,自主访问控制(Discretionary Access Control,DAC)是一种常见的权限管理模型,它允许数据所有者或系统管理员自由地决定谁可以访问他们的资源。在这个模型,用户拥有对其创建或被分配的文件和目录的...
Windows原理深入学习系列-访问控制列表
SecSource_Stars的博客
03-04 3655
这是[信安成长计划]的第 19 篇文章 0x00 目录 0x01 介绍 0x02 DACL 0x03 创建DACL 0x04 文件读取测试 0x05 进程注入测试 0x06 原理分析 Win10_x64_20H2 0x07 参考文章 在最后分析的时候纠正一下网上大批分析文章的一个错误,东西只有自己实践了才知道 0x01 介绍 在上一篇讲强制完整性控制的时候提到过,在权限检查的时候,会先进行强制完整性检查,然后再进行 DACL 检查,DACL 就是包含在这次要提到的 ACL 当的。 访问控制列表(Acce
自主访问控制
11-12
自主访问控制概述,介绍传统DAC模型,列举DAC的优势以及劣势
自主访问控制实验——DAC 基于RBAC1的访问控制实验
06-30
题目1:自主访问控制实验; 要求:设计必需的界面环境, (1) 对主体、客体、权限进行定义和配置 (2) 对主体进行自主授权 (3) 对主体的访问权限进行控制实验 (4) 对主体进行传递授权的操作,通过实验观察系统的执行情况 (5) 对访问成功和不成功的两种情形均给出结果 要求:设计必需的界面环境, (1) 对主体、客体、权限进行定义和配置 (2) 对角色及角色的层次关系进行定义 (3) 对角色的权限进行定义(有继承关系的就不用重新定义) (4) 给出用户-角色多对多关系的配置 (5) 对用户的角色信息进行修改,通过访问控制实验,体现不同层次的角色访问权限的差别 (6) 对上述实验情况下访问成功和不成功的两种情形均给出结果 写的不是很好,仅供参考。
自主访问控制(DAC)与带有互斥角色约束的基于角色的访问控制(RBAC)演示程序(附带源码)
09-12
自主访问控制(DAC)与带有互斥角色约束的基于角色的访问控制(RBAC)演示程序,附带源码,采用C++编写。使用VS2008及以上的可以直接打开工程,否则可以使用g++等编译。程序使用命令行形式控制,输入help命令可以查看各指令格式。
linux安全-自主访问控制
jianjian的博客
03-30 1856
在计算机安全领域,访问发起者被称为主体,访问动作就是具体的操作,被访问者被称为客体。比如,进程A 读文件 a,进程 A 是主体,读是操作,文件 a 是客体。Linux的主体只能是进程;操作只有读、写或者执行;客体可以是目录和文件{包括管道、设备、IPC(进程间通信)、socket(套接字)、key(密钥)}。备注:目录的执行是进入,文件的执行是运行,只有普通文件可以执行,管道等文件是不可以执行的。 自主访问控制的自主是指使用计算机的人可以决定访问策略,比如规定某文件只能读不能写,制造出一种“只读”文件,防止
访问控制技术
顺其自然~专栏
03-07 2993
限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
自主(DAC)、强制(MAC)、角色(RBAC)和属性(ABAC)四种系统访问控制模型详解与选择
胡思乱想的程序员
07-06 1811
基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)可以提供更高的安全性和灵活性。系统访问控制模型可以有效保护计算机系统和网络资源的安全,防止未经授权的访问和攻击,提高系统的可靠性和稳定性,为组织提供更好的业务服务和用户体验。因此,在实际应用,需要根据具体的需求和技术环境选择合适的系统访问控制模型,并进行合理的配置和管理,以保证系统的安全性和稳定性。常见的系统访问控制模型有:自主访问控制(DAC)、强制访问控制(MAC)、基于角色访问控制(RBAC)、基于属性访问控制(ABAC)。
访问控制模型总结(DAC MAC RBAC ABAC)
ch1982802500ch的博客
10-26 7509
访问控制模型 在项目需要加入访问空值,于是对访问控制模型多了一些调研,介绍一些常见的访问控制模型. 访问控制模型三要素 主体(Subject) 指主动对其它实体施加动作的实体 客体 (Object) 是被动接受其他实体访问的实体 控制策略 (Policy) 为主体对客体的操作行为和约束条件 自主访问控制模型(DAC) 概念 自主访问控制模型(DAC,Discretionary Access Control)是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值