windows的访问控制机制

最新推荐文章于 2024-03-22 14:07:37 发布
最新推荐文章于 2024-03-22 14:07:37 发布
阅读量691 收藏 1
点赞数 1
文章标签: 操作系统 后端 前端 ViewUI
原文链接:http://www.cnblogs.com/verbs/p/5514699.html
版权

一、基本概念:

1、A访问B,A就是访问的主体,B就是访问的客体。A的令牌和B的安全描述符共同决定A是否可以问B。

  访问的主体的进程。因为线程没有自己的权限,而是来源于线程所属于的进程。一个进程中的所有线程都具有同样权限,因此可以把进程的权限看作访问的主体。

  访问的客体是安全对象,所有被访问的对象都具有安全描述,包括文件、注册表、事件(Evnet)、互斥(Mutex)、管道等。

 

2、进程-----访问令牌

  访问令牌:是操作系统专门表示用户的权限的数据结构。有两部组成,一个是令牌所表示的用户(如:用户标识符SID)及用户组等,另一个部分是“权限”(privilege)

  备注:权限是一个列表,每种取限是列表中一项。权限列表存在于进程的访问令牌中。

3、对象-----安全描述符

  安全描述符:是安全属性(SECURITY_ATTRIBUTES结构体)的表示形式,其包括访问控制列表(ACL)。

  访问控制列表有两种:一种是选择访问控制列表(discretionary access control list,DACL),另一种是系统访问控制列表(system access control list,SACL)。DACL决定了用户和用户组能否访问这个对象,SACL控制了尝试访问安全对象的检测信息的继承关系(这个我也不太清楚)。

  备注:DACL是访问控制的常用信息,DACL中包括一个访问控制入口(AccessControlEntries,ACE)列表。ACE表明了用户是否能进行操作以及能进行哪种操作。系统在进行访问控制检测时,会依次检测DACL中的ACE,直到被允许或被拒绝因此在列表前端的ACE优于列表后端的ACE。

二、具体对应的操作

1、进程访问安全对象时,只会用到SID,与进程的权限无关。

2、进程进行特殊操作时,用到的是权限,例如:如关闭系统、修改系统时间、加载设备驱动等。

3、创建进程相关API

  (1)CreateProcess(),该函数所创建的进程使用的访问令牌是当前登录用户的访问令牌。

  (2)CreateProcessAsUser()和CreateProcessWithTokenW()等,可以指定用户令牌,需要使用LogonUser()登录用户,通过LogonUser()函数的返回值得到用户令牌。

 

转载于:https://www.cnblogs.com/verbs/p/5514699.html

weixin_34392906
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows访问控制 -- SID
weixin_43787608的博客
01-08 1745
windows访问控制之SID
windows内核访问控制机制
Returns' Station
06-27 3244
主要看了下面两部分:     1.进程对系统进行特权操作需要有一个权限(Privilege),所以进程有特权集表示进程拥有的权限,内核会在执行这些权限时检查进程是否有权执行此操作。      2.进程对于每个内核对象的操作权限不同,内核对象有一个访问控制列表(ACL)来标示某个用户启动的进程有如何的访问权。进程对对象执行操作时,会检查相应的权限是否符合。 一、SID:用来表示系统
Windows访问控制机制
12-14
是指的安全特性,这些安全特性控制谁能够访问操作系统资源。应用程序调用访问控制函数来设置谁能够访问特定资源或控制对由应用程序提供的资源的访问。
windows 系统下的访问控制原理
10-01
细致描述windows系统中的账户、令牌、资源、权限、访问控制列表等的的关系及配置方法
windows访问控制
05-12
windows 访问控制 网络操作系统安全ppt 访问控制的目的 访问控制的概述 安全标识符
Windows的钩子机制详解
09-04
总结来说,Windows的钩子机制提供了一种灵活的方法来监控和控制系统的事件处理,开发者可以通过钩子深入理解Windows消息机制,并实现各种高级功能,如系统级的调试、用户行为分析等。不过,使用钩子也需要谨慎,因为...
windows安全的总体机制
12-30
- **安全组**:用户账户可以加入不同的安全组,而这些组可以被赋予不同的权限级别,以实现更精细的访问控制。 #### 三、安全主体的分类 根据其创建的位置和管理方式的不同,安全主体可以分为以下几类: 1. **...
Windows系统访问控制
weixin_51590879的博客
09-04 1998
Windows系统访问控制,在实施过程中能够较好的提升系统的安全性,特别是在开通远程功能之后的一些意外情况
角色的访问控制机制
qq_61141142的博客
10-21 306
访问控制——或者广义的称其为授权——作为概念,在人类有了保护自己的财产的意识时就已经存在。守卫、门和锁在远古时期就已经用作保护个人的财物不受他人侵犯。对访问控制的需求在很大程度上促进了被认为是世界上首个安全处理系统的诞生。在1879年,美国俄亥俄州代顿市一个名为James Ritty的酒馆老板设计出“清廉的出纳员”,即随后广为人知的现金出纳机。通过在顾客的完全注视下录入出售量,这样一项交易就被记入现金记录机,而且只有在此时店员才被允许使用存储现金的抽屉,Ritty的发明减轻了店员偷窃这个普遍存在的难题。通过
计算机访问控制机制,访问控制策略和机制-信息安全工程师知识点
weixin_28861381的博客
07-27 3549
信息安全工程师知识点:访问控制策略和机制访问控制涉及到三个基本概念,即主体、客体和授权访问。主体:一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。客体:指一个包含或接受信息的被动实体,对客体的访问要受控。它可以是一个宇节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。授权访问:指主体访问客体的允许,授权访问对每一对...
java访问控制机制_浅谈Java访问控制机制
weixin_39540178的博客
02-16 524
Java 访问控制机制的原理是:在某些策略配置文件中预定义好某些代码对某些资源具有某些操作权限,当某些代码以某个权限访问某个资源的时候,如果对该资源预指定的权限中没有该权限,则禁止访问,否则可以访问。上面一段话读起来比较晦涩,下面先以数据库用户和数据表为例来说明。指定某些代码对某些资源具有某些操作权限某些代码:用户 Admin, X某些资源:数据库表 User操作权限:用户 Admin(某些代码)...
Windows安全——访问控制概述
stevenjoo67的博客
03-16 1385
Windows安全模型
Windows系统中访问控制概述
CC专栏
05-24 3805
访问控制概述 访问控制是批准用户、组和计算机访问网络上的对象的过程。构成访问控制的主要概念是权限、用户权利和对象审查。 权限 权限定义了授予用户或组对某个对象或对象属性的访问类型。例如,Finance 组可以被授予对名为 Payroll.dat 文件的“读取”和“写入”权限。 权限应用到任何受保护的对象,例如,文件、Active Directory® 对象或注册表对象。权
再聊Windows访问控制(Access Control)(一)
最新发布
stevenjoo67的博客
03-22 1353
Windows 访问控制
访问控制介绍
晓川吖的专栏
09-15 1万+
概念以及要素 指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC网络准入控制系统的原理就是基于此技术之上。 访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 访问控制的概念及要素 访问控制Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等
windows下 IP 访问策略控制 (Windows IP安全策略控制)
tiankongxi的专栏
08-19 3万+
起因:        由于一些原因要对公司一台服务器做访问控制,要求只有部分网段可以访问,其他网段无法访问这台服务器。曾经做过Windows下的IP访问控制,不过由于过久忘记如何操作,翻看了其他人的文章后都说的比较模棱两可,如果没操作过完全看不明白,就把自己的操作思路重新整理记录下: 操作目标:        只允许部分IP/网段访问本服务器 主要操作步骤: (要达到这个目的,我们需要添
windows访问控制笔记
风雨无阻 http://blog.csdn.net/ShineOrRain
02-07 789
DACL 包含允许拒绝项 SACL包含审核项(审核成功/失败)告诉Windows哪些动作要向安全事件日志中记录   打开对象时,Windows取得线程令牌中的用户名,读取安全描述符中的DACL,对访问进行判断(允许/拒绝)        关于访问令牌 访问令牌:进程访问令牌、线程访问令牌、线程模拟令牌 除非线程在模拟身份否则不需要线程令牌只需要进程令牌
操作系统 - 加密保护和访问控制机制
sarah_trois的博客
01-03 1790
文件访问保护机制
windows组策略与ACL访问控制列表
热门推荐
Shanfenglan's blog
08-21 27万+
什么是组策略 组策略与工作组没关系,它是许多策略的集合,组策略的组代表的是一组或者说多个,并不代表工作组的组。例如本地安全策略就是组策略的一部分。 ou是组织单元,组策略可以下发给ou可以给域可以给站点等。优先级ou最高一次递减。 但子ou的优先级比父ou高(默认情况)。 组策略相当于一张任务计划书。可以分配给不同的部门。 组策略大体分为如下几种: 域内组策略 在DC直接在服务器管理下面点的那个“组策略管理”即可管理域内组策略,这个组策略只对域内的主机有用。 命令行的命令为gpmc.msc。 它的作用是
Windows 操作系统访问控制机制
05-15
Windows 操作系统访问控制机制是通过安全标识符(SID)和访问令牌(access token)实现的。每个用户都有一个唯一的 SID,用于标识用户身份。当用户登录时,系统会为其创建一个访问令牌,其中包含用户的SID以及与其相...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值