返回
windows安全模型rea

windows安全模型rea

ID:30438711

大小:84.65 KB

页数:14页

时间:2018-12-29

windows安全模型rea_第1页
windows安全模型rea_第2页
windows安全模型rea_第3页
windows安全模型rea_第4页
windows安全模型rea_第5页
资源描述:

《windows安全模型rea》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Windows安全模型:每个驱动程序作者都需要了解的内容Updated:July7,2004OnThisPage简介Windows安全模型安全场景:创建一个文件驱动程序安全责任行动指南和资源本文提供关于为MicrosoftWindows家族操作系统编写安全的内核模式驱动程序的信息。其中描述了如何将Windows安全模型应用于驱动程序,并解释驱动程序作者必须采取哪些措施来确保其设备的安全性。简介Windows安全模型基于安全对象。操作系统的每个组件都必须确保其负责的对象的安全性。因此,驱动程序必须保证其设备和设备对象的安全性。本文总结了如何将Windows

2、安全模型应用于内核模式驱动程序,以及驱动程序编写人员必须采取哪些措施来确保其设备的安全性。一些类型的设备适用于附加的设备特定要求。请参阅MicrosoftWindowsDriverDevelopmentKit(DDK)中的设备特定的文档,以了解详细信息。注意:关于本文中讨论的例程和问题的当前文档,请参见WindowsDDK最新版本。关于如何获取当前的DDK的信息,请参见http://www.microsoft.com/whdc/devtools/ddk/default.mspx.TopofpageWindows安全模型Windows安全模型主要基于每个对

3、象的权限,以及少量的系统级特权。安全对象包括(但不限于)进程、线程、事件和其它同步对象,以及文件、目录和设备。对于每种类型的对象,一般的读、写和执行权限都映射到详细的对象特定权限中。例如,对于文件和目录,可能的权限包括读或写文件或目录的权限、读或写扩展的文件属性的权限、遍历目录的权限,以及写对象的安全描述符的权限。更多信息(包括完整的权限列表)请参见MSDN库的“安全性”节中的“安全性(常规)”,该库位于http://msdn.microsoft.com.安全模型涉及以下概念:•安全标识符(SID)•存取令牌•安全描述符•访问控制列表(ACL)•特权安全

4、标识符(SID)安全标识符(SID,也称为安全主体)标识一个用户、组或登录会话。每个用户都有一个唯一的SID,在登录时由操作系统检索。SID由一个权威机构(如操作系统或域服务器)分发。一些SID是众所周知的,并且具有名称和标识符。例如,SIDS-1-1-0标识所有人(或全世界)。存取令牌每个进程都有一个存取令牌。存取令牌描述进程的完整的安全上下文。它包含用户的SID、用户所属组的SID、登录会话的SID,以及授予用户的系统级特权列表。默认情况下,当进程的线程与安全对象交互时,系统使用进程的主存取令牌。但是,一个线程可以模拟一个客户端帐户。当一个线程模拟客

5、户端帐户时,它除了拥有自己的主令牌之外还有一个模拟令牌。模拟令牌描述线程正在模拟的用户帐户的安全上下文。模拟在远程过程调用(RemoteProcedureCall,RPC)处理中尤其常见。描述线程或进程的受限制的安全上下文的存取令牌被称为受限令牌。受限令牌中的SID只能设置为拒绝访问安全对象,而不能设置为允许访问安全对象。此外,令牌可以描述一组有限的系统级特权。用户的SID和标识保持不变,但是在进程使用受限令牌时,用户的访问权限是有限的。CreateRestrictedToken函数创建一个受限令牌。受限令牌对于运行不可信代码(例如电子邮件附件)很有用。

6、当您右键单击可执行文件,选择“运行方式”并选择“保护我的计算机和数据不受未授权程序的活动影响”时,MicrosoftWindowsXP就会使用受限令牌。安全描述符每个命名的Windows对象都有一个安全描述符,一些未命名的对象也有。安全描述符描述对象的所有者和组SID,以及对象的ACL。对象的安全描述符通常由创建该对象的函数创建。当驱动程序调用IoCreateDevice或IoCreateDeviceSecure例程来创建设备对象时,系统将一个安全描述符应用于创建的设备对象并为对象设置ACL。对于大多数设备,ACL是在设备信息(INF)文件中指定的。访问

7、控制列表访问控制列表(ACL)允许细粒度地控制对对象的访问。ACL是每个对象的安全描述符的一部分。每个ACL包含零个或多个访问控制条目(ACE)。而每个ACE仅包含一个SID,用来标识用户、组或计算机以及该SID拒绝或允许的权限列表。设备对象的ACL可以使用三种方式设置设备对象的ACL:•在其设备类型的默认安全描述符中设置。•由RtlCreateSecurityDescriptor函数通过编程方式创建,并由RtlSetDaclSecurityDescriptor函数进行设置。•在设备INF文件中使用安全描述符定义语言(SecurityDescriptor

8、DefinitionLanguage,SDDL)指定,或者在对IoCreateD

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。