《深入解析Windows操作系统》安全性

内容总结：

安全系统组件
以下是实现 Windows安全性的核心组件和数据库。
1. 安全引用监视器(SRM)
2. 本地安全权威子系统(LSASS)
3. LSASS策略数据库
4. 安全账户管理器(SAM)服务
5. SAM数据库
6. 活动目录
7. 认证包
8. 交互式登录管理器
9. 登录用户界( LogonUI)
10. 凭证提供者
11. 网络登录服务( Netiogon
12. 内核安全设备驱动程序(KSecDD)
13. AppLocker这是一种机制,它允许管理员指定哪些可执行文件、DLL和脚本可以被指定的用户或组使用.

保护对象
对象保护和访问日志记录是自主访问控制和审计功能的本质所在。在 Windows平台上能被保护的对象包括文件、设备、邮件槽、管道(命名的和匿名的)、作业、进程、线程、事件、带键的事件、事件对、互斥体、信号量、共享内存区、/0完成端口、LPC端口、可等待的定时器、访问令牌、卷(volume)、窗口站、桌面、网络共享体、服务、注册表键、打印机和活动目录对象等等—理论上包括所有由执行体对象管理器管理的对象。实际情况是,不暴露给用户模式的对象(例如驱动程序对象)通常是不受保护的。内核模式代码是受信任的,并且通
常使用不执行访问检查的那些接口访问对象管理器。

一种可触发对象管理器执行安全访问验证过程的事件是:当一个进程使用一个名称来打开一个已有对象的时候。当一个对象被通过名称来打开时,对象管理器在对象管理器名字空间中执行一个查找此指定对象的操作。
另一个引发对象管理器执行安全访问验证过程的事件是:一个进程通过一个已有的句柄来引用一个对象。这样的引用往往是间接发生的,比如,一个进程通过 Windows API来操纵一个对象,它把对象句柄传递进去。例如,一个线程在打开一个文件时,可以请求获得读取文件的许可。

安全描述符和访问控制
一个安全描述符由以下的属性构成:
1. 版本号，创建此描述符的SRM安全模型的版本
2. 标志，一些可选的修饰符,定义了该描述符的行为或特征。
3. 所有者SID，所有者的安全ID;
4. 组SID该对象的主组的安全ID(仅用于 POSIX)
5. 自主访问控制列表(DACL)，规定了谁可以用什么方式访问该对象
6. 系统访问控制列表(SACL)，规定了哪些用户的哪些操作应该被记录到安全审计日志中,以及对象的显式完整性级别。

账户权限
账户权限并不是由安全引用监视器强制实施的,也不存储在令牌中。负责登录的函数是 LsaLogonUser例如,当一个用户以交互方式登录到一台机器上时, Winlogon 调用 API LogonUser,而 LogonUser又调用了 LsaLogonUser. LogonUser函数有一个参数指明了要执行的登录的类型,包括交互式登录、网络登录、批方式登录、服务方式登录、终端服务器客户。

《深入解析Windows操作系统》